LINUX.ORG.RU
ФорумAdmin

UnKnown can't find ya.ru: Query refused

 ,


0

1

Здравствуйте. На сервере (192.168.0.1, linux) всё в норме,- при запросе

[bsm@maestro ~]$ nslookup ya.ru
Server:         10.10.0.30
Address:        10.10.0.30#53

Non-authoritative answer:
Name:   ya.ru
Address: 213.180.193.3
Name:   ya.ru
Address: 213.180.204.3
Name:   ya.ru
Address: 77.88.21.3
Name:   ya.ru
Address: 87.250.250.3
Name:   ya.ru
Address: 87.250.250.203
Name:   ya.ru
Address: 87.250.251.3
Name:   ya.ru
Address: 93.158.134.3
Name:   ya.ru
Address: 93.158.134.203
Ответ получен от DNS провайдера. Перехожу на локальную станцию, например 192.168.0.213,- Windows XP, в настройках сетевого подключения- шлюз и DNS- 192.168.0.1 (адрес сервера); станция в сети, Интернете и с почтой работает. Выполняю запрос-
..
C:\Documents and Settings\Loner>nslookup ya.ru
*** Can't find server name for address 192.168.0.1: Query refused
*** Default servers are not available
Server:  UnKnown
Address:  192.168.0.1

*** UnKnown can't find ya.ru: Query refused

C:\Documents and Settings\Loner>
Ответ получен от сервера локальной сети.

Что у меня в настройках DNS. В resolv.conf указано-

domain orizon-navigation.com
nameserver 10.10.0.30            ; DNS Server провайдера
nameserver 195.66.65.1          ; ns1 провайдера
nameserver 91.197.128.61      ; www.mydomain.com на иной площадке
В named.conf указано-
acl lan {       # группа "доверенных" хостов
   localhost;
   192.168.0/24;
};

options {
   directory "/var/named";
   pid-file "/var/run/named/named.pid";
#    dump-file "/var/named/data/cache_dump.db";
#    memstatistics-file "/var/named/data/named_mem_stats.txt";
#    statistics-file "/var/named/data/named_stats.txt";
   dump-file "data/cache_dump.db";
   memstatistics-file "data/named_mem_stats.txt";
   statistics-file "data/named_stats.txt";
   notify yes;
   #
   forwarders { 10.10.0.30; };   # DNS провайдера
   forward first; 
   #***
   listen-on { localhost; }; 
   listen-on port 53 { localhost; 192.168.0.1; };
   listen-on-v6 port 53 { ::1; };
   query-source    port 53;
   query-source-v6 port 53;
   allow-query     { lan; };
   allow-recursion { lan; };
   allow-transfer  { none; };
   blackhole { 192.168.100/24; };
};

logging {
   channel default_debug {
       file "data/named.run";
       severity dynamic;
   };
};

view localhost_resolver {
   match-clients      { localhost; };
   match-destinations { localhost; };
   recursion yes;
   include "/etc/named.rfc1912.zones";
};

//******************************************************************************
//
// a caching only nameserver config
//
controls {
   inet 127.0.0.1 allow { localhost; } keys { rndckey; };
};

#
# Основная зона нашего домена
#
zone "mydomain.com" IN {
   type master;
   file "primary/mydomain.com";
   allow-transfer {
       194.93.163.163;         # ns3.dimedia-ua.com
       212.9.241.134;          # ns4.dimedia-ua.com
   };
};

#
# Обратная зона для почтового сервера.
#
zone "65.66.195.in-addr.arpa" IN {
   type master;
   file "primary/195.66.65.65";
   allow-update { none; };
};
Использование порта 53 tcp/udp в firewall разрешено. Где и что необходимо поправить? Спасибо.


Где и что необходимо поправить?

Директиву listen, чтобы слушала не только локалхост.

netstat -lnp | grep :53

power ()
Ответ на: комментарий от zolden

Ок. Это привычка, братюнь. Иногда еще ss пользуюсь.

power ()
Ответ на: комментарий от zolden

Все таки netstat нагляднее работает чем lsof -i

netstat -ntlp

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:1026            0.0.0.0:*               LISTEN      6764/master
tcp        0      0 0.0.0.0:5666            0.0.0.0:*               LISTEN      19082/nrpe
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      10479/apache2
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      739/sshd
tcp        0      0 0.0.0.0:3128            0.0.0.0:*               LISTEN      894/squid
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      6764/master
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      10479/apache2
tcp6       0      0 :::22                   :::*                    LISTEN      739/sshd

lsof -i

COMMAND   PID     USER   FD   TYPE     DEVICE SIZE/OFF NODE NAME
sshd      739     root    3u  IPv4       3842      0t0  TCP *:ssh (LISTEN)
sshd      739     root    4u  IPv6       3844      0t0  TCP *:ssh (LISTEN)
squid     894    proxy    6u  IPv4       6171      0t0  UDP *:50714
squid     894    proxy   14u  IPv4       8238      0t0  TCP *:3128 (LISTEN)
squid     894    proxy   15u  IPv4       8239      0t0  UDP *:icpv2
master   6764     root   12u  IPv4 1376756024      0t0  TCP *:smtp (LISTEN)
master   6764     root   16u  IPv4 1376756031      0t0  TCP *:1026 (LISTEN)
smtpd    9733  postfix    6u  IPv4 1376756024      0t0  TCP *:smtp (LISTEN)
smtpd    9733  postfix    9u  IPv4 1560415003      0t0  TCP colo.hc.ru:smtp->125.88.73.107:33771 (ESTABLISHED)
smtpd    9983  postfix    6u  IPv4 1376756024      0t0  TCP *:smtp (LISTEN)
smtpd    9983  postfix    9u  IPv4 1560415175      0t0  TCP colo.hc.ru:smtp->ABTS-KK-dynamic-146.23.172.122.airtelbroadband.in:31722 (ESTABLISHED)
smtpd   10028  postfix    6u  IPv4 1376756024      0t0  TCP *:smtp (LISTEN)
smtpd   10028  postfix    9u  IPv4 1560413911      0t0  TCP colo.hc.ru:smtp->dsl-240-90-110.telkomadsl.co.za:svn (ESTABLISHED)
smtpd   10052  postfix    6u  IPv4 1376756024      0t0  TCP *:smtp (LISTEN)
smtpd   10052  postfix    9u  IPv4 1560415182      0t0  TCP colo.hc.ru:smtp->customer-CLN-181-187.megared.net.mx:4462 (ESTABLISHED)
smtpd   10107  postfix    6u  IPv4 1376756024      0t0  TCP *:smtp (LISTEN)
smtpd   10107  postfix    9u  IPv4 1560415214      0t0  TCP colo.hc.ru:smtp->2.50.28.239:3132 (ESTABLISHED)
....................и ещё куча инфы......................................

Или может я не знаю секретный ключик к lsof, чтобы не были видны только открытые порт в выводе?

dsf435 ()
Ответ на: комментарий от bsm

Нет. Убери первый listen-on {localhost;}. Рестартани bind и проверь netstat'ом или lsof'ом, на каких интерфейсах твоего сервера он слушает и ждет подключений. 10.10.0.30 тебе точно не нужно :)

power ()
Ответ на: комментарий от power

Имею-

    named.conf
..
    listen-on port 53 { 127.0.0.1; 192.168.0.1; };
    listen-on-v6 port 53 { ::1; };
..

    resolv.conf
nameserver 127.0.0.1
nameserver 10.10.0.30           ; DNS Server Local Network IPS
nameserver 195.66.65.5          ; VLAN smela.com.ua
nameserver 91.197.128.61        ; www.mydomain.com на иной площадке
Перезапустил named. Выполнил-
[root@maestro DNS]# netstat -lnp | grep ":53 "
tcp        0      0 192.168.0.1:53              0.0.0.0:*                   LISTEN      12027/named
tcp        0      0 127.0.0.1:53                  0.0.0.0:*                   LISTEN      12027/named
tcp        0      0 ::1:53                             :::*                            LISTEN      12027/named
udp        0      0 0.0.0.0:53                     0.0.0.0:*                                       12027/named
udp        0      0 192.168.0.1:53             0.0.0.0:*                                       12027/named
udp        0      0 127.0.0.1:53                 0.0.0.0:*                                       12027/named
udp        0      0 :::53                              :::*                                                12027/named
udp        0      0 ::1:53                            :::*                                                12027/named
На сервере отвечает nslookup-у 127.0.0.1 Для локальной станции ничего не изменилось.

bsm ()
Ответ на: комментарий от bsm

Можешь nmap посканить 53 порт на udp прослушивание. Но я думаю, у тебя всё слушается, у тебя вроде как пишет, что в запросе отказано, т.е. сам сервер то работает... Что-то с пермишнами на запрос, посмотри, может ещё какие конфиги грузятся.

DALDON ★★★★★ ()
acl lan {       # группа "доверенных" хостов
   localhost;
   192.168.0/24;
   10.10.0.какой_там_адрес_к_провайдеру;
};
Kuzz ★★★ ()
Ответ на: комментарий от Kuzz

Сделал так-

..
acl lan {       # группа "доверенных" хостов
   localhost;
   192.168.0/24;
   10.10.0.30;        # DNS провайдера
};
..
    listen-on { localhost; 10.10.0.30; };       # Чтобы bind не принимал запросы со всех запущенных интерфейсов
    listen-on port 53 { localhost; 10.10.0.30; };
    listen-on-v6 port 53 { ::1; };
..
Перезапустил named.
tcp        0      0 195.66.65.65:53          0.0.0.0:*                   LISTEN      24661/named
tcp        0      0 10.10.1.4:53                0.0.0.0:*                   LISTEN      24661/named
tcp        0      0 192.168.0.2:53            0.0.0.0:*                   LISTEN      24661/named
tcp        0      0 192.168.0.1:53            0.0.0.0:*                   LISTEN      24661/named
tcp        0      0 127.0.0.1:53                0.0.0.0:*                   LISTEN      24661/named
tcp        0      0 ::1:53                           :::*                            LISTEN      24661/named
udp        0      0 0.0.0.0:53                  0.0.0.0:*                               24661/named
udp        0      0 195.66.65.65:53        0.0.0.0:*                               24661/named
udp        0      0 10.10.1.4:53              0.0.0.0:*                               24661/named
udp        0      0 192.168.0.2:53          0.0.0.0:*                               24661/named
udp        0      0 192.168.0.1:53          0.0.0.0:*                               24661/named
udp        0      0 127.0.0.1:53              0.0.0.0:*                               24661/named
udp        0      0 :::53                           :::*                                    24661/named
udp        0      0 ::1:53                         :::*                                    24661/named
Результат- без изменений.

bsm ()
Ответ на: комментарий от Kuzz

Сделал так-

..
acl lan {       # группа "доверенных" хостов
   localhost;
   192.168.0/24;
   10.10.1.4; 
};
..
    listen-on { 192.168.0.1; 10.10.1.4; };
    listen-on port 53 { 192.168.0.1; 10.10.1.4; };
    listen-on-v6 port 53 { ::1; };
..
Перезапустил named.
tcp        0      0 195.66.65.65:53          0.0.0.0:*                   LISTEN      24661/named
tcp        0      0 10.10.1.4:53                0.0.0.0:*                   LISTEN      24661/named
tcp        0      0 192.168.0.2:53            0.0.0.0:*                   LISTEN      24661/named
tcp        0      0 192.168.0.1:53            0.0.0.0:*                   LISTEN      24661/named
tcp        0      0 127.0.0.1:53                0.0.0.0:*                   LISTEN      24661/named
tcp        0      0 ::1:53                           :::*                            LISTEN      24661/named
udp        0      0 0.0.0.0:53                  0.0.0.0:*                               24661/named
udp        0      0 195.66.65.65:53        0.0.0.0:*                               24661/named
udp        0      0 10.10.1.4:53              0.0.0.0:*                               24661/named
udp        0      0 192.168.0.2:53          0.0.0.0:*                               24661/named
udp        0      0 192.168.0.1:53          0.0.0.0:*                               24661/named
udp        0      0 127.0.0.1:53              0.0.0.0:*                               24661/named
udp        0      0 :::53                           :::*                                    24661/named
udp        0      0 ::1:53                         :::*                                    24661/named
Результат- без изменений.

bsm ()
Ответ на: комментарий от bsm
logging {
	channel security_info {
		file "/var/log/named-auth.log";
		severity info;
		print-category yes;
		print-severity yes;
		print-time yes;
		};
	channel general {
		file "/var/log/named.log";
		severity warning;
		print-category yes;
		print-severity yes;
		print-time yes;
		};
	category general {
		general;
		default_syslog;
		default_debug;
		default_stderr;
		};
	category security {
		security_info;
		};
};

Тогда хоть логи можно будет посмотреть

Kuzz ★★★ ()
Ответ на: комментарий от Kuzz

Сделал-

..
logging {
    channel default_debug {
        file "data/named.run";
        severity dynamic;
    };
    channel security_info {
        file "/var/log/named-auth.log";
        severity info;
        print-category yes;
        print-severity yes;
        print-time yes;
    };
    channel general {
        file "/var/log/named.log";
        severity warning;
        print-category yes;
        print-severity yes;
        print-time yes;
    };
    category general {
        general;
        default_syslog;
        default_debug;
        default_stderr;
    };
    category security {
        security_info;
    };
};
..

После перезапуска- часть message
Jun 27 13:09:39 maestro named[25795]: starting BIND 9.3.2 -u named -c /etc/named.caching-nameserver.conf -t /var/named/chroot
Jun 27 13:09:39 maestro named[25795]: found 2 CPUs, using 2 worker threads
Jun 27 13:09:39 maestro named[25795]: loading configuration from '/etc/named.caching-nameserver.conf'
Jun 27 13:09:39 maestro named[25795]: /etc/named.caching-nameserver.conf:112: when using 'view' statements, all zones must be in views
Jun 27 13:09:39 maestro named[25795]: listening on IPv6 interface lo, ::1#53
Jun 27 13:09:39 maestro named[25795]: listening on IPv4 interface eth0, 192.168.0.1#53
Jun 27 13:09:39 maestro named[25795]: listening on IPv4 interface eth1, 10.10.1.4#53
Jun 27 13:09:39 maestro named[25795]: command channel listening on 127.0.0.1#953
Jun 27 13:09:39 maestro named[25795]: logging channel 'security_info' file '/var/log/named-auth.log': file not found
Jun 27 13:09:39 maestro named[25795]: logging channel 'general' file '/var/log/named.log': file not found
Jun 27 13:09:39 maestro named[25795]: zone 0.in-addr.arpa/IN/localhost_resolver: loaded serial 42
Jun 27 13:09:39 maestro named[25795]: zone 0.0.127.in-addr.arpa/IN/localhost_resolver: loaded serial 1997022700
Jun 27 13:09:39 maestro named[25795]: zone 255.in-addr.arpa/IN/localhost_resolver: loaded serial 42
Jun 27 13:09:39 maestro named[25795]: zone 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN/localhost_resolver: loaded serial 1997022700
Jun 27 13:09:40 maestro named[25795]: zone localdomain/IN/localhost_resolver: loaded serial 42
Jun 27 13:09:40 maestro named[25795]: zone localhost/IN/localhost_resolver: loaded serial 42
Jun 27 13:09:40 maestro named[25795]: running

Без изменений.

bsm ()
Ответ на: комментарий от Kuzz

В named.run содержится-

..
zone 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN/localhost_resolver: loaded serial 1997022700
zone localdomain/IN/localhost_resolver: loaded serial 42
zone localhost/IN/localhost_resolver: loaded serial 42
running
shutting down: flushing changes
stopping command channel on 127.0.0.1#953
no longer listening on ::1#53
no longer listening on 192.168.0.1#53
no longer listening on 10.10.1.4#53
exiting
zone 0.in-addr.arpa/IN/localhost_resolver: loaded serial 42
zone 0.0.127.in-addr.arpa/IN/localhost_resolver: loaded serial 1997022700
zone 255.in-addr.arpa/IN/localhost_resolver: loaded serial 42
zone 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN/localhost_resolver: loaded serial 1997022700
zone localdomain/IN/localhost_resolver: loaded serial 42
zone localhost/IN/localhost_resolver: loaded serial 42
running

bsm ()
Ответ на: комментарий от bsm

В named-auth.log должны писаться причины отказов

Kuzz ★★★ ()
Ответ на: комментарий от dsf435

lsof удобнее тем, что короче и не требует фильтраций, а сразу показывает конкретный порт
В упомянутом варианте в выводе netstat -lnp | grep :53 могут быть и другие порты, как нетрудно догадаться, а мне лишний стресс ни к чему

чтобы не были видны только открытые порт в выводе

не понял, что имеется в виду

zolden ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.