LINUX.ORG.RU
ФорумAdmin

Unbound не резолвит внутренние PTR записи

 , ,


0

2

Добрый день.

Имеется шлюз на Debian 8.3 c тремя сетевыми интерфейсами. Один из них смотрит в локалку, два других - во внешку. На нём помимо всего остального имеется DNS сервер Unbound. Работает в целом хорошо, но не резолвит внутренние PTR записи, которые должен брать с внутренних виндовых DNS серверов, выдаёт SERVFAIL. При этом обычные внутренние запросы типа А обслуживает без проблем. Пробовал резолвить на виртуалке с такой же конфигурацией - всё работает, в том числе и PTR. Подскажите пожалуйста, что можно сделать ?

Конфигурационный файл:

server:
    # The following line will configure unbound to perform cryptographic
    # DNSSEC validation using the root trust anchor.
    auto-trust-anchor-file: "/var/lib/unbound/root.key"

    interface: 127.0.0.1
    interface: 192.168.0.254
    access-control: 0.0.0.0/0 deny
    access-control: 192.168.0.0/24 allow
    access-control: 127.0.0.0/8 allow
    outgoing-port-avoid: 0-1024
    do-ip6: no
    hide-identity: yes
    hide-version: yes
    local-zone: "0.168.192.in-addr.arpa." transparent
    verbosity: 3

remote-control:
   control-enable: no

forward-zone:
   name: "."
   forward-first: yes
   forward-addr: 8.8.8.8

forward-zone:
   name: "....." # Имя зоны убрал отсюда на всякий случай
   forward-addr: 192.168.0.232
   forward-addr: 192.168.0.2

forward-zone:
   name: "0.168.192.in-addr.arpa."
   forward-addr: 192.168.0.232
   forward-addr: 192.168.0.2

На запрос nslookup 192.168.0.232 выдаёт 

Server:		127.0.0.1
Address:	127.0.0.1#53
** server can't find 232.0.168.192.in-addr.arpa: SERVFAIL

и оставляет примерно такой лог: 

Apr 25 16:33:19 gate unbound: [26001:0] info: validator operate: query 232.0.168.192.in-addr.arpa. PTR IN
Apr 25 16:33:19 gate unbound: [26001:0] debug: iterator[module 1] operate: extstate:module_state_initial event:module_event_pass
Apr 25 16:33:19 gate unbound: [26001:0] info: resolving 232.0.168.192.in-addr.arpa. PTR IN
Apr 25 16:33:19 gate unbound: [26001:0] info: processQueryTargets: 232.0.168.192.in-addr.arpa. PTR IN
Apr 25 16:33:19 gate unbound: [26001:0] info: sending query: 232.0.168.192.in-addr.arpa. PTR IN
Apr 25 16:33:19 gate unbound: [26001:0] debug: sending to target: <0.168.192.in-addr.arpa.> 192.168.0.232#53
Apr 25 16:33:19 gate unbound: [26001:0] debug: cache memory msg=569357 rrset=653929 infra=6310 val=150399
Apr 25 16:33:19 gate unbound: [26001:0] debug: iterator[module 1] operate: extstate:module_wait_reply event:module_event_reply
Apr 25 16:33:19 gate unbound: [26001:0] info: iterator operate: query 232.0.168.192.in-addr.arpa. PTR IN
Apr 25 16:33:19 gate unbound: [26001:0] info: response for 232.0.168.192.in-addr.arpa. PTR IN
Apr 25 16:33:19 gate unbound: [26001:0] info: reply from <0.168.192.in-addr.arpa.> 192.168.0.232#53
Apr 25 16:33:19 gate unbound: [26001:0] info: query response was ANSWER
Apr 25 16:33:19 gate unbound: [26001:0] info: finishing processing for 232.0.168.192.in-addr.arpa. PTR IN
Apr 25 16:33:19 gate unbound: [26001:0] debug: validator[module 0] operate: extstate:module_wait_module event:module_event_moddone
Apr 25 16:33:19 gate unbound: [26001:0] info: validator operate: query 232.0.168.192.in-addr.arpa. PTR IN
Apr 25 16:33:19 gate unbound: [26001:0] debug: cache memory msg=569357 rrset=653929 infra=6310 val=150399
Apr 25 16:33:19 gate unbound: [26001:0] debug: validator[module 0] operate: extstate:module_state_initial event:module_event_new

1. А не винда ли виновата, емнип там надо прописывать с каких адресов разрешены запросы. Причем если не изменяет склероз чуть ли не для каждой зоны это надо настраивать отдельно.
2. Как обычно iptables вдруг какое правило запрещает. Посмотрите tcpdump пакетики летают в обе стороны при запросе и что внутри пакетиков.

anc ★★★★★
()

Тебе днссек нужен? Наверное нет. Отключи валидатор (modules iterator)

Ну и local zone... лишний, насколько я помню.

blind_oracle ★★★★★
()
Последнее исправление: blind_oracle (всего исправлений: 1)
Ответ на: комментарий от anc

У меня тоже была такая мысль, что это винда, или iptables, но ведь в логах видно, что ему вроде как отвечают, вот эти строчки: 

Apr 25 16:33:19 gate unbound: [26001:0] info: response for 232.0.168.192.in-addr.arpa. PTR IN
Apr 25 16:33:19 gate unbound: [26001:0] info: reply from <0.168.192.in-addr.arpa.> 192.168.0.232#53
Apr 25 16:33:19 gate unbound: [26001:0] info: query response was ANSWER
192.168.0.232 - это один из внутренних DNS, этот же адрес я и попросил отрезолвить.

eol3000
() автор топика
Ответ на: комментарий от blind_oracle

Днссек действительно не нужен, спасибо, сейчас отключу. А без local-zone не работает даже на виртуалке, говорит не могу найти такой домен

eol3000
() автор топика
Ответ на: комментарий от blind_oracle

Ха!.. Только что закомментил DNSSEC, и всё вылечилось! Непонятно только, почему он здесь мешал, а на виртуалке нет ?

Спасибо большое всем за помощь!

eol3000
() автор топика
Ответ на: комментарий от eol3000

Зависит от конфигурации других резолверов - может мешать, может нет. Лушче его, если не нужен, сразу вырубать: 

server:
 module-config: iterator
и усё.

И для ссылок на другие домены лучше использовать stub-zone. Он безо всяких local-data точно работает.

blind_oracle ★★★★★
()
Последнее исправление: blind_oracle (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin