LINUX.ORG.RU
ФорумAdmin

Уличная магия BIND


2

1

Есть сабж самой распоследней версии 9.9.2, в нем помимо прочих есть зона domain.ru, в которой есть TXT SPF запись: 

@                       IN      TXT     "v=spf1 ip4:x.x.x.x/28 -all"
Зона dnssec-подписана, включен inline signing, но вряд-ли в этом дело.

Проблема вот в чем, если я дигаю этот домен, то получаю СТАРУЮ запись, которую поменял уже чёрт знает когда, причем серийник в SOA верный, новый: 

# dig txt domain.ru @localhost
...
;; QUESTION SECTION:
;domain.ru.                     IN      TXT

;; ANSWER SECTION:
domain.ru.              86400   IN      TXT     "v=spf1 mx ip4:x.x.x.x/28 ip4:y.y.y.y/28 -all"
...

# dig soa domain.ru @localhost      
;; ANSWER SECTION:
domain.ru.              86400   IN      SOA     ns1.domain.ru. admin.domain.ru. 2012120405 1800 900 2592000 900

Что делал: 1. Удалял все журналы и подписаные файлы зон (*.jnl, *.jbk, *.signed) 2. Перезагружал бинд через rndc reload, потом, когда не помогло, жёстко.

Откуда он, бл..ть, берёт эту запись?

Добавляю новые записи в зону - они появляются сразу после rndc reload domain.ru: 

# dig ololo.domain.ru
;; ANSWER SECTION:
ololo.domain.ru.        86400   IN      A       1.1.1.1
Причем на слейв уходит тоже старая кривая запись... Я уже всю голову сломал :)

Откуда он, бл..ть, берёт эту запись?

1. Мат вас не красит

2. Показывайте полностью конфигурацию bind и файлы зон - можно будет ответить.

zgen ★★★★★
()
Ответ на: комментарий от zgen

1. Где там мат? Я вижу только две точки :) 

# cat named.conf
include "/etc/bind/rndc.key";

key xfer_key {
    algorithm hmac-sha512;
    secret "xxx";
};

server 10.2.0.3 {
    keys {
        xfer_key;
    };
};

acl good_guys {
    10.0.0.0/8;
    192.168.192.0/24;
    127.0.0.1;
};

acl blackhole_nets {
    0.0.0.0/8;
    1.0.0.0/8;
    2.0.0.0/8;
    192.0.2.0/24;
    224.0.0.0/3;
    10.0.0.0/8;
    172.16.0.0/12;
    192.168.0.0/16;
};

options {
    directory "/etc/bind";
    pid-file "/var/run/bind/named.pid";
    
    listen-on {
        127.0.0.1;
	x.x.x.x;
    };
    
    listen-on-v6 {
        none;
    };
    
    allow-query {
        any;
    };
    
    allow-recursion {
        good_guys;
    };
    
    allow-transfer {
        good_guys;
    };
    
    also-notify {
        10.2.0.3;
    };
    
    dnssec-enable yes;
    dnssec-validation yes;
    dnssec-lookaside auto;
    session-keyfile "session.key";
    
    notify explicit;
    statistics-file "named.stats";
    memstatistics-file "named.memstats";
    zone-statistics no;
    transfers-in 10;
    transfers-per-ns 2;
    max-transfer-time-in 120;
    transfer-format many-answers;
    
    interface-interval 60;
    random-device "/dev/urandom";
    
    max-cache-size 512m;
    tcp-listen-queue 600;
    flush-zones-on-shutdown yes;
    
    minimal-responses yes;
    
    # TTLs
    lame-ttl 180;
    max-ncache-ttl 1800;
    max-cache-ttl 3600;
    
    version "Hackers go away ;)";
};

controls {
    inet 127.0.0.1 allow { localhost; } keys { "rndc-key"; };
};

logging {
    channel myqueries {
        file "logs/named.queries" versions 5 size 10m;
        severity dynamic;
        print-time yes;
        print-category yes;
        print-severity yes;
    };
    
    channel mydefault {
        file "logs/named.default" versions 5 size 10m;
        severity dynamic;
        print-time yes;
        print-category yes;
        print-severity yes;
    };
    
    channel mydnssec {
        file "logs/named.dnssec" versions 5 size 10m;
        print-time yes;
        print-category yes;
        print-severity yes;
        severity debug 4;
    };
    
    channel null {
        null;
    };

    category default {
        mydefault;
    };
    
    category dnssec {
        mydnssec;
    };
};

zone "." {
    type hint;
    file "named.cache";
};

zone "localhost" {
    type master;
    file "misc/localhost.zone";
    allow-update { none; };
    notify no;
};

zone "127.in-addr.arpa" {
    type master;
    file "misc/127.zone";
    allow-update { none; };
    notify no;
};

zone "domain.ru" {
    type master;
    
    auto-dnssec maintain;
    inline-signing yes;
    key-directory "dnssec-keys/";
    
    file "master/domain.ru.zone";
};

# cat domain.ru.zone
$TTL 86400
@                       IN      SOA ns1.domain.ru. admin.domain.ru. (
                                    2012120501 ; Serial
                                    1800 ; Refresh
                                    900 ; Retry
                                    2592000 ; Expire
                                    900 ; Min
                                )

@                       IN      NS      ns1
@                       IN      NS      ns2

@                       IN      MX      10 mx

ns1                     IN      A       x.x.x.x
ns2                     IN      A       x.x.x.x

@                       IN      A       x.x.x.x
www                     IN      A       x.x.x.x

mx                      IN      A       x.x.x.x

; SPF
@                       IN      TXT     "v=spf1 ip4:x.x.x.x/28 -all"

; DKIM
_adsp._domainkey        IN      TXT     "dkim=discardable"
$INCLUDE "master/20121201.txt"

blind_oracle ★★★★★
() автор топика
Ответ на: комментарий от router

Сам бинд, никаких кешей. Нат пустой.

В общем я вырубил бинд, еще раз удалил всё кроме файлов зон, запустил заново и всё стало нормально. Чудеса...

blind_oracle ★★★★★
() автор топика
Ответ на: комментарий от zgen

Буду иметь в виду, спасибо. Хотя намед обычно сразу вылетает при попытке забиндить уже занятый 53 порт...

blind_oracle ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin