LINUX.ORG.RU
ФорумAdmin

Помогите разобраться новичку. (!)


0

1

Проблема состоит в следущем: имеется сервер (хостинг на пару сайтов) который исправно работал до вчерашнего дня. ns сервер у меня держался на домене ns1.domen.in.ua сам же домен domen.in.ua был запаркован на ns сервер провайдера тоесть ukraine.com.ua, остальные домены я уже парковал у себя в ispconfig на ns1.domen.in.ua. Вчера по неизвестным мне причинам это все перестало работать. Проверил все порты, они оказались доступны из вне. Опросил сервер на предмет отклика ns сервера получил вот это.

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> @ns1.domen.in.ua newstroy.kiev.ua
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36472
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;newstroy.kiev.ua.		IN	A

;; ANSWER SECTION:
newstroy.kiev.ua.	3600	IN	A	91.204.26.186

;; AUTHORITY SECTION:
newstroy.kiev.ua.	3600	IN	NS	ns1.domen.in.ua.
newstroy.kiev.ua.	3600	IN	NS	ns2.domen.in.ua.

;; ADDITIONAL SECTION:
ns1.domen.in.ua.		86400	IN	A	91.204.26.186
ns2.domen.in.ua.		86400	IN	A	91.204.26.186

;; Query time: 13 msec
;; SERVER: 91.204.26.186#53(91.204.26.186)
;; WHEN: Sun Dec  7 23:04:56 2014
;; MSG SIZE  rcvd: 125
тоесть тут как я понимаю все ок. Писал провайдеру, тот сказал что у нас все хорошо смотри у себя и если че я дебианом не работал. Так вот теперь незнаю кому верить себе или провайдеру. Прошу у вас помощи разобраться мне в этом. Я только учусь. Заранее всем откликнувшимся очень благодарен.


А теперь попробуй научиться структурировать свои мысли, если хочешь чтоб тебе внятно ответили

dvrts ★★★ ()
Ответ на: комментарий от dvrts

неполучается...2 дня мучусь уже...мозг плавится...хоть в каком направлении мне копать??? ты тут умный весь сидиш, сам таким же был, мысли немог стрктурировать (словож блять нарыл такое где то умник) вот и я немогу структурировать на второй день этого всего пи**деца

ceroz ()

Названия и IP настоящие, или изменены ? Если настоящие, то 91.204.26.186 не отвечает, как DNS.

$ host -t ns newstroy.kiev.ua. 91.204.26.186
;; connection timed out; no servers could be reached

Вообще, ns1 и ns2 на одном IP - весьма ненадёжно.

AS ★★★★★ ()
Ответ на: комментарий от AS

Нет не настоящие...я изменил про 2 ns вкурсе но пока нет воможности раскинуть на 2 ip

ceroz ()
Ответ на: комментарий от ceroz

вот такой ответ

ns1.domen.in.ua - это твой ? Есть возможность опросить его откуда-то снаружи ? Ещё надо бы спросить вот этих

$ host -t ns kiev.ua
kiev.ua name server ho1.ns.kiev.ua.
kiev.ua name server sns-pb.isc.org.
kiev.ua name server k.ns.com.ua.
kiev.ua name server ba1.ns.ua.
kiev.ua name server nix.ns.ua.
на предмет NS для newstroy.kiev.ua.

AS ★★★★★ ()
Ответ на: комментарий от AS

ns1.domen.in.ua - это твой ? Есть возможность опросить его откуда-то снаружи ? Ещё надо бы спросить вот этих

Ситация немного поменялась домен newstroy.kiev.ua я подвязал на бесплатный хостинг. Пока результат тот же самый.Тоесть на бесплатном хосте он тоже отказывается работать, подожду полного обновления записей на серверах. Подопытный домен теперь будет eux.su его ожидала таже участь.

ДАБЫ НЕ ПУТАТЬСЯ Я ДЕЛАЮ ТЕЖЕ ПРОЦЕДУРЫ С ДРУГИМ ДОМЕНОМ.

вывод host -t ns eux.su. 91.203.26.168

Using domain server:
Name: 91.203.26.168
Address: 91.203.26.168#53
Aliases: 

eux.su name server ns2.lnx.in.ua.
eux.su name server ns1.lnx.in.ua.
теперь опрашиваю домен su
root@gateway:# host -t ns su
su name server d.dns.ripn.net.
su name server f.dns.ripn.net.
su name server b.dns.ripn.net.
su name server e.dns.ripn.net.
su name server a.dns.ripn.net.
далее спрашиваю у этих серверов о подробностях этой записи eux.su, каждый мне дает примерно одинаковый результат, тоесть насколько я понимаю они в курсе этой записи и куда домен завязан.
 
; <<>> DiG 9.9.5 <<>> @d.dns.ripn.net eux.su ANY
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46890
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;eux.su.	IN	ANY

;; AUTHORITY SECTION:
eux.su.	345600	IN	NS	ns1.lnx.in.ua.
eux.su.	345600	IN	NS	ns2.lnx.in.ua.

;; Query time: 215 msec
;; SERVER: 194.190.124.17#53(194.190.124.17)
;; WHEN: Mon Dec 08 05:40:06 MSK 2014
;; MSG SIZE rcvd: 80
Далее опрашиваю свой сервер на придмет записи eux.su. ответ был таким
; <<>> DiG 9.9.5 <<>> @ns1.lnx.in.ua eux.su ANY
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

Куда дальше копать?

ceroz ()
Ответ на: комментарий от ceroz

Когда я не мог разобраться с задачей, я хотя бы внятно её описывал, и уж тем более не оскорблял собеседника

dvrts ★★★ ()
Ответ на: комментарий от dvrts

А кто тебя оскорблял? тебе если помочь нечем - не разводи срач пожайлуста в теме.

ceroz ()
Ответ на: комментарий от ceroz

Далее опрашиваю свой сервер на придмет записи eux.su. ответ был таким
...
Куда дальше копать?

Теперь на нём копать. Раз сервера доменя su на него ссылаются, то крайний он.

AS ★★★★★ ()
Ответ на: комментарий от ceroz

С интернет-провайдером могут быть проблемы? или врятли?

Где этот сервер ? Если он у тебя, и не отвечает, то не провайдер. Если между ним и тобой кто-то есть, то может быть. Попробуй прямо с сервера. DNS кто ? Bind ?

AS ★★★★★ ()
Ответ на: комментарий от ceroz

в каком направлении мне копать?

Вниз.

anonymous ()
Ответ на: комментарий от ceroz

Cервер у меня. Напрямую к провайдеру.

Не понял. Между товой и сервером никого, и он тебе не отвечает. Так ? Если дв, смотри на сервере.

Да bind

Смотри, что он слушает: netstat -apn |grep named
Смотри, кому может отвечать (это уже его ACL).

AS ★★★★★ ()
Ответ на: комментарий от AS

Сервер находится дома. К нему подведен интернет. Вывод netstat -apn |grep named

tcp        0      0 192.168.10.1:53         0.0.0.0:*               LISTEN      2391/named      
tcp        0      0 91.203.26.168:53        0.0.0.0:*               LISTEN      2391/named      
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      2391/named      
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      2391/named      
tcp6       0      0 :::53                   :::*                    LISTEN      2391/named      
tcp6       0      0 ::1:953                 :::*                    LISTEN      2391/named      
udp        0      0 192.168.10.1:53         0.0.0.0:*                           2391/named      
udp        0      0 91.203.26.168:53        0.0.0.0:*                           2391/named      
udp        0      0 127.0.0.1:53            0.0.0.0:*                           2391/named      
udp6       0      0 :::53                   :::*                                2391/named      
unix  2      [ ]         DGRAM                    6372     2391/named          

ceroz ()
Ответ на: комментарий от ceroz

ну, значит, смотри всё подряд. Тебе-то он должен что-то ответить. Если таймаут, то или файрвол (это iptables смотри), или... Вот не помню, если acl-ем самого Bind закрыто, всегда ли он ответ denied шлёт, или может не послать. В общем, проверяй iptables и acl.

AS ★★★★★ ()
Ответ на: комментарий от AS

Хорошо. Спасибо тебе огромное за советы. Реально немного помог разобаться в этой ситуации. Как выясню обязательно отпишу что было.

ceroz ()
Ответ на: комментарий от AS

У бинда нет вообще записей acl, тоесть никаких запретов со стороны бинда нету. iptables уменя очень простой и все для того что бы опросить сервер открыто.

#!/bin/bash
# Тут в принципе может и не надо этого всего но не помеха 
# вдруг какой модуль не подгружен или форвардинг не включен
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

# Объявление переменных
export IPT="iptables"

# Интерфейс который смотрит в интернет
export WAN=eth0

# Локальная сеть
export LAN=eth1
export LAN_IP_RANGE=192.168.10.0/24

# Очистка всех цепочек iptables
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

# Закрываем изначально ВСЁ (т.е. изначально все что не разрешено - запрещено):
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

# разрешаем локальный траффик для loopback и внутренней сети
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i $LAN -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o $LAN -j ACCEPT

# Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.
# Пропускать все уже инициированные соединения, а также дочерние от них
$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Пропускать новые, а так же уже инициированные и их дочерние соединения
$IPT -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# Разрешить форвардинг для новых, а так же уже инициированных 
# и их дочерних соединений
$IPT -A FORWARD -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# Включаем фрагментацию пакетов. Необходимо из за разных значений MTU
$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Отбрасывать все пакеты, которые не могут быть идентифицированы 
# и поэтому не могут иметь определенного статуса.
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP

# Приводит к связыванию системных ресурсов, так что реальный
# обмен данными становится не возможным.
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP

# Разрешаем доступ из внутренней сети наружу
$IPT -A FORWARD -i $LAN -o $WAN -j ACCEPT

# Запрещаем доступ снаружи во внутреннюю сеть
$IPT -A FORWARD -i $WAN -o $LAN -j REJECT

# Маскарадинг
$IPT -t nat -A POSTROUTING -o $WAN -s $LAN_IP_RANGE -j MASQUERADE


# Далее дано как пример открытие портов извне:
# **********************************************************************
# Открываем порт для ftp
$IPT -A INPUT -i $WAN -p tcp --dport 21 -j ACCEPT

# Открываем порт для ssh
$IPT -A INPUT -i $WAN -p tcp --dport 22 -j ACCEPT

# Открываем 53 порт для DNS
$IPT -A INPUT -i $WAN -p tcp --dport 53 -j ACCEPT
$IPT -A INPUT -i $WAN -p udp --dport 53 -j ACCEPT

# Открываем 80 порт для веб сайтов
$IPT -A INPUT -i $WAN -p tcp --dport 80 -j ACCEPT
$IPT -A INPUT -i $WAN -p udp --dport 80 -j ACCEPT

# Открытие 443 порта
$IPT -A INPUT -p tcp --dport 443 -j ACCEPT

# Открытие портов для торрентов (такие же указать в torrent-клиенте)
#$IPT -A INPUT -i $WAN -p tcp -m multiport --ports 49152:65535 -j ACCEPT

# Открытие портов для игровых серверов
#$IPT -A INPUT -i $WAN -p tcp --dport 27010:27030 -j ACCEPT
#$IPT -A INPUT -i $WAN -p udp --dport 27010:27030 -j ACCEPT

# Открытие порта для голосового сервера Team Speak 
#$IPT -A INPUT -i $WAN -p tcp --dport 5222 -j ACCEPT
# **********************************************************************
  
# Вывод информации о состоянии таблиц.
#route -n
#$IPT -L
#$IPT -L -v -n
#$IPT -L -v -n -t nat

Незнаю что и думать.

ceroz ()
Ответ на: комментарий от ceroz

iptables уменя очень простой

Совсем неохота проверять портянку. Просто отключи на минуту и проверь доступность DNS. Можешь ещё tcpdump-ом пакетики помониторить заодно.

AS ★★★★★ ()
Ответ на: комментарий от AS

53 порт доступен. tcpdump-ом пробовал мониторить свой ip и 53 порт: Трафик как нестранно идет кода делаю dig запрос с другого сервера, а проблема таже.

ceroz ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.