LINUX.ORG.RU
ФорумAdmin

DNS (bind 9)


0

0

Hi all. Такая поблема. Поставил на роутере DNS-сервер.

Правила на firewall:

ipchains -A input -i $EXTERNAL_VIRT -p udp \ -s $ANYWHERE $UNPRIVPORTS \ -d $IPADDR2 53 -j ACCEPT ipchains -A output -i $EXTERNAL_VIRT -p udp \ -s $IPADDR2 53 \ -d $ANYWHERE $UNPRIVPORTS -j ACCEPT

ipchains -A input -i $EXTERNAL_VIRT -p udp \ -s $ANYWHERE 53 \ -d $IPADDR2 53 -j ACCEPT ipchains -A output -i $EXTERNAL_VIRT -p udp \ -s $IPADDR2 53 \ -d $ANYWHERE 53 -j ACCEPT

ipchains -A input -i $EXTERNAL_VIRT -p tcp \ -s $SEC_DNS $UNPRIVPORTS \ -d $IPADDR2 53 -j ACCEPT ipchains -A output -i $EXTERNAL_VIRT -p tcp ! -y \ -s $IPADDR2 53 \ -d $SEC_DNS $UNPRIVPORTS -j ACCEPT

При этом провайдер: #nslookup Default server: ***** Address: ***** > ls -d domain.ru ls: connect: No error *** Can't list doman domain.ru: Unspecified error

У меня из внутренней сети тоже самое. Если я полностью открываю firewall, то провайдер получает list, а у меня во внутренней сети тоже самое (т.е. "Can't list domain") В чем может быть проблема?

anonymous

наверное потому что после -d пишется тока ip/mask а порт указывается --destination-port ещё попробуй iptables -L -v и посмотри как твои правила выглядят. (c)man iptables

anonymous
()

to last anonymous: ничего подобного, в ipchains это выглядит именно так, как приведено выше.

Мне кажется первые 2 пары правил можно объединить: там, где $ANYWHERE можно вообще не писать порт, и даже -s/-d $ANYWHERE можно не писать :-) Смысл не изменится :-)

На счет can't list domain:
я обычно сначала определяю какой-нибудь из nameserver-ов, ответственных за зону, потом в nslookup-е подключаюсь к этому серверу:
> server ns.domain.ru.
и смотрю:
> ls -d domain.ru.

spirit ★★★★★
()

Если все равно ничего не выходит - попробуй по чуть-чуть убирать правила из firewall (т.е. по немногу открывать), использовать "-l" в правилах, открыть все и tcpdump-ом посмотреть что куда идет,...

spirit ★★★★★
()

Кстати, а не может дела быть в настройках bind?
Привожу кусок настроек named.conf
options {

directory "/var/named";
listen-on { 111.111.111.111; };
forwarders {
222.222.222.222;
};
query-source address * port 53;
};

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin