bind9 localhoston megy, kívűlről nem tudom elérni

Debian GNU/Linux

Üdv.
Van egy debian szerverem itthon, amiről osztom a netet 4 gépnek, plussz fut rajta még néhány szolgáltatás(web,php,ftp,mysql).
Feltelepítettem egy bind9-et, sikerült is elvileg jól beállítani mindent.
Ha a szerverről pingelem a gép1.domain.hu gépemet, megy a ping.
Ha pl. a gép1-ről próbálom pingelni saját magát ping gép1.domain.hu, akkor semmi válasz.
Mi lehet a probléma? Hogyan tudnám elérni kívűlről?
Előre is köszönöm a választ.

  • 1900 megtekintés

( mn3monic v | 2010. 05. 20., cs – 17:40 )

Ha a "kívülről" a lan-t érted, akkor echo "nameserver bind9_server_ip_cime" >> /etc/resolv.conf a klienseken.

( bambano | 2010. 05. 20., cs – 17:43 )

a régebbi debianok régebbi bindjén az volt az alapértelmezés, hogy bárkinek hajlandó volt rezolválni, az újabbakon meg az, hogy senkinek.
ezt kell beállítanod. allow-recursion opciót írd bele a neked megfelelő paraméterrel.

cat /var/log/syslog | grep named-ra ezt kapom az utolsó bind9 újraindítás óta.
May 20 22:17:04 matthew3-deb named[2778]: starting BIND 9.5.1-P3 -u bind
May 20 22:17:04 matthew3-deb named[2778]: found 1 CPU, using 1 worker thread
May 20 22:17:04 matthew3-deb named[2778]: using up to 4096 sockets
May 20 22:17:04 matthew3-deb named[2778]: loading configuration from '/etc/bind/named.conf'
May 20 22:17:04 matthew3-deb named[2778]: max open files (1024) is smaller than max sockets (4096)
May 20 22:17:04 matthew3-deb named[2778]: using default UDP/IPv4 port range: [1024, 65535]
May 20 22:17:04 matthew3-deb named[2778]: using default UDP/IPv6 port range: [1024, 65535]
May 20 22:17:04 matthew3-deb named[2778]: listening on IPv6 interface lo, ::1#53
May 20 22:17:04 matthew3-deb named[2778]: listening on IPv4 interface lo, 127.0.0.1#53
May 20 22:17:04 matthew3-deb named[2778]: listening on IPv4 interface eth1, 192.168.1.100#53
May 20 22:17:04 matthew3-deb named[2778]: automatic empty zone: 254.169.IN-ADDR.ARPA
May 20 22:17:04 matthew3-deb named[2778]: automatic empty zone: 2.0.192.IN-ADDR.ARPA
May 20 22:17:04 matthew3-deb named[2778]: automatic empty zone: 255.255.255.255.IN-ADDR.ARPA
May 20 22:17:04 matthew3-deb named[2778]: automatic empty zone: 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
May 20 22:17:04 matthew3-deb named[2778]: automatic empty zone: 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
May 20 22:17:04 matthew3-deb named[2778]: automatic empty zone: D.F.IP6.ARPA
May 20 22:17:04 matthew3-deb named[2778]: automatic empty zone: 8.E.F.IP6.ARPA
May 20 22:17:04 matthew3-deb named[2778]: automatic empty zone: 9.E.F.IP6.ARPA
May 20 22:17:04 matthew3-deb named[2778]: automatic empty zone: A.E.F.IP6.ARPA
May 20 22:17:04 matthew3-deb named[2778]: automatic empty zone: B.E.F.IP6.ARPA
May 20 22:17:04 matthew3-deb named[2778]: command channel listening on 127.0.0.1#953
May 20 22:17:04 matthew3-deb named[2778]: command channel listening on ::1#953
May 20 22:17:04 matthew3-deb named[2778]: the working directory is not writable
May 20 22:17:04 matthew3-deb named[2778]: zone 0.in-addr.arpa/IN: loaded serial 1
May 20 22:17:04 matthew3-deb named[2778]: zone 127.in-addr.arpa/IN: loaded serial 1
May 20 22:17:04 matthew3-deb named[2778]: zone 1.168.192.IN-ADDR.ARPA/IN: loaded serial 2007011501
May 20 22:17:04 matthew3-deb named[2778]: zone 255.in-addr.arpa/IN: loaded serial 1
May 20 22:17:04 matthew3-deb named[2778]: zone domain.hu/IN: loaded serial 2007011501
May 20 22:17:04 matthew3-deb named[2778]: zone localhost/IN: loaded serial 2
May 20 22:17:04 matthew3-deb named[2778]: running
May 20 22:17:04 matthew3-deb named[2778]: zone 1.168.192.IN-ADDR.ARPA/IN: sending notifies (serial 2007011501)
May 20 22:17:04 matthew3-deb named[2778]: zone domain.hu/IN: sending notifies (serial 2007011501)
May 20 22:17:12 matthew3-deb named[2778]: client 127.0.0.1#56520: RFC 1918 response from Internet for 101.2.168.192.in-addr.arpa
May 20 22:17:12 matthew3-deb named[2778]: client 127.0.0.1#52927: RFC 1918 response from Internet for 101.2.168.192.in-addr.arpa
May 20 22:27:26 matthew3-deb named[2778]: client 127.0.0.1#35917: RFC 1918 response from Internet for 101.2.168.192.in-addr.arpa
May 20 22:27:27 matthew3-deb named[2778]: client 127.0.0.1#37041: RFC 1918 response from Internet for 101.2.168.192.in-addr.arpa

( kojot | 2010. 05. 20., cs – 18:51 )

itt a trükk
named.conf !
Részlet.... ! :)
"
options {
listen-on port 53 { 127.0.0.1; };
listen-on port 53 { 192.168.1.1; };
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { localhost; 192.168.1; any; };
recursion yes;
};

"

Sajnos még mindig ugyanaz a problémám. Kiegészítettem a named.conf-om azzal ami hiányzott a te configodhoz képest.
Most a named.conf.options-om így néz ki:
options {
<------>directory "/var/cache/bind";
<------>auth-nxdomain no; # conform to RFC1035
<------>listen-on-v6 port 53 { ::1; };
<------>listen-on port 53 { 127.0.0.1; };
<------>listen-on port 53 {192.168.1.100; };
<------>allow-query { localhost; 192.168.1; any; };
<------>recursion yes;
};
A szerver 192.168.1.100-as ip-n van.

a zóna fájlban ennyi-t tettem be:
zone "domain.hu" {
type master;
file "/etc/bind/zones/master/domain.hu.db";
};

zone "1.168.192.IN-ADDR.ARPA" {
type master;
file "/etc/bind/zones/master/192.168.1.rev";
};
a resolv.conf-ba pedig akkor úgy néz ki elkövettem egy hibát, mert a domain.hu-t adtam meg search-nek.
a search-nek hogy adjam meg akkor a belső hálót? hozzak létre egy acl-t a belső hálóra és azt adjam meg?
bocs a lehet hülye kérdésért.

Rendszerezzünk egy kicsit.

Amit tudunk:
- a szerver címe, amin a bind hallgat: 192.168.1.100
- a kliensek a 192.168.1.0/24 hálózatban vannak
- a 1.168.192.in-addr.arpa. és a domain.hu. zónára autoritatív a bind
- az allow-recursion { any; }; nem oldotta meg
- az allow-query { any; }; úgyszintén nem oldotta meg
- a szerverről név szerint pingelhető a gép1.domain.hu.
- a kliensekről pingelhető a 192.168.1.100
- a kliensekről név szerint nem pingelhető a gép1.domain.hu.
- a klienseken az /etc/resolv.conf-ban szerepel a nameserver 192.168.1.100 sor

Amit nem tudunk:
- mi van a domain.hu. zónafile-ban (amit bemásoltál, az a konfigfile volt; a domain.hu.db tartalma kellene)
- a resolv.conf tartalma a szerveren
- a resolv.conf tartalma a kliensen (Windowson 

ipconfig /all

kimenetéből a DNS-utótag keresési listája)
- a /etc/hosts file tartalma a szerveren
- a /etc/hosts file tartalma a kliensen
- a 

host -t any domain.hu. 192.168.1.100

parancs kimenete a szerveren
- a 

host -t any domain.hu. 192.168.1.100

parancs kimenete a kliensen (Windowson nslookup -query=any domain.hu. 192.168.1.100)
- a szerveren lévő tűzfal szabályai
- a kliensen lévő tűzfal szabályai
- logok a szerveren

Egyéb:
- amire kojot is utalt, hogy nem célszerű bejegyzett domaint (vagy ilyen TLD-t) használni a belső hálózaton, azaz a domain.hu nevet jó lenne elfelejteni

-a kliensek a 192.168.2.0/24 hálózatban vannak
-a domain.hu.db tartalma:
;
; BIND data file for example.com
;
$TTL 604800
@ IN SOA ns1.domain.hu. info.matthew3.a
2007011501 ; Serial
7200 ; Refresh
120 ; Retry
2419200 ; Expire
604800) ; Default TTL
;
@ IN NS ns1.domain.hu.
@ IN NS ns2.domain.hu.
@<----->IN<---->NS<---->hp.domain.hu.

domain.hu. IN MX <-->10 mail.domain.hu
domain.hu. IN A <-->192.168.1.100
ns1 IN A 192.168.1.100
ns2 IN A 192.168.1.100
hp<----><------><------>IN<---->A<----->192.168.2.101
www IN CNAME domain.hu.
mail IN A 192.168.1.100
ftp IN CNAME domain.hu.
domain.hu. IN TXT "v=spf1 ip4:192.168.
mail IN TXT "v=spf1 a -all"

-szerveren a resolv.conf tartalma:
search domain.hu
nameserver 127.0.0.1
nameserver 192.168.1.100
nameserver szolgáltató_névszervere1
namserver szolgáltató_névszervere2

-kliensen a névszerverek ugyanezek

-a host -t any domain.hu 192.168.1.100 kimenete:
domain.hu descriptive text "v=spf1 ip4:192.168.1.100 a mx ~all"
domain.hu has SOA record ns1.domain.hu. info.domain.hu. 2007011501 7200 120 2419200 604800
domain.hu name server ns1.domain.hu.
domain.hu name server ns2.domain.hu.
domain.hu name server hp.domain.hu.
domain.hu mail is handled by 10 mail.domain.hu.
domain.hu has address 192.168.1.100

-windows kliensen ugyanez:

C:\Users\matthew3>nslookup -query=any domain.hu. 192.168.1.100
Kiszolgßlˇ: UnKnown
Address: 192.168.1.100

domain.hu text =

"v=spf1 ip4:192.168.1.100 a mx ~all"
domain.hu
primary name server = ns1.domain.hu
responsible mail addr = info.domain.hu
serial = 2007011501
refresh = 7200 (2 hours)
retry = 120 (2 mins)
expire = 2419200 (28 days)
default TTL = 604800 (7 days)
domain.hu nameserver = ns1.domain.hu
domain.hu nameserver = hp.domain.hu
domain.hu nameserver = ns2.domain.hu
domain.hu MX preference = 10, mail exchanger = mail.domain.hu
domain.hu internet address = 192.168.1.100
hp.domain.hu internet address = 192.168.2.101
ns1.domain.hu internet address = 192.168.1.100
ns2.domain.hu internet address = 192.168.1.100
mail.domain.hu internet address = 192.168.1.100

C:\Users\matthew3>ping hp.domain.hu
A pingkérés nem találta meg az állomást (hp.domain.hu). Ellenőrizze a neve
t, és
próbálja meg újra.

-szerveren a tűzfalba ennyi szabály van összesen:
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.1.100:3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -p tcp --dport 1111 -j ACCEPT
iptables -A INPUT -p udp --dport 1111 -j ACCEPT
iptables -A INPUT -p tcp --dport 6667 -j ACCEPT
iptables -A INPUT -p udp --dport 6667 -j ACCEPT

-kliensen a tűzfal kikapcsolva
-azon a logon kívűl amit bemásoltam, mire lenne még szükség?

-ja és nem a domain.hu-t hazsnálom, hanem egy dyndns-es domain-t. ahol domain.hu van, ott mindenhol a dyndns-en reggelt domain-em van.

Rendben, akkor továbbléptünk. Megállapítottuk, hogy a bind tökéletesen működik.

"kliensen a névszerverek ugyanezek"
Az a sejtésem, hogy a sorrendjük viszont más, és a szolgáltatói szerverek vannak elöl, és itt estél bele a bejegyzett domain csapdájába.

"ahol domain.hu van, ott mindenhol a dyndns-en reggelt domain-em van"
Hú! Ez itt egyre bonyolulabb. Van egy (dyndnses) publikus domained, majd ez alá felvettél 5 hostnevet, és ebből 4 privát (192.168.2.x) IP-re mutat, és ezt felülcsapod egy autoritatív zónával a saját szervereden? Jaj!

( turdus | 2010. 06. 11., p – 22:25 )

Nem tudom, hogy ez számít-e, de szerintem van egy hiba a zónafileodban, mintha az első IN TXT rekordod nem lenne lezárva. Egyébként segítene, ha csinálnál két dig kimenetet, mindkettőt a domain.hu-ra, de különböző ns-ekre a szerverről:
1. egyiket a localhost-ra kiadva (ez ami megy)
2. másikat a 192.168.1.100-ra kiadva (ez meg máshonnan nem)
van különbség a két kimenet között?
Még tipp: named-checkzone mit mond?

Ha ezek közül egyik sem, akkor már csak az marad, hogy ellenőrizd le a 192.168.2.0-ás subnetből merre routeolódik a 192.168.1.100? Ha jó, akkor passz. Egyébként azonos lanból elérhető (192.168.1.0-ásból egy másik gépről)?

Szerk: még pár észrevétel: serial 2007011501? Sose felejtsd el updateelni, ha módosítod a zónát! Egyébként bad things happen.
A tűzfalon hol engeded át az 53-as portot? Szerintem nem engeded, de ezt leellenőrizheted így:
Kliensen tcpdump-olva/wireshark-olva látod kimenni a csomagot (miközben nslookup-olsz) és jön rá válasz, vagy nem jön? Ha forceolod tcp 53-re (tehát nem udp), létrejön a 3way handshake, vagy csak kimegy a SYN csomag, oszt jónapot?