Почему не работает DNS сервер?

Question

[User99]

Поднял свой BIND на Centos 7. На локальных машинах сайт работает. а вот снаружи и через телефон не открывается, ошибка "не удалось получить доступ к сайту"
Схема такая, стоит модем, перебрасывает порты 80,443, 53. Через сканер порты доступны
Внешний адрес: 178.0.0.10
Адрес сервера: 192.168.10.2
Конфиг:

spoiler

key "rndc-key" {
       algorithm hmac-sha256;
	secret "w8+WrSNVYghvTi2Q9f2hPZB38CqwT537xmd0P8jSCiM=";
};
controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { "rndc-key"; };
};

options {
        listen-on port 53 { 127.0.0.1; localhost; 192.168.10.2; };
        listen-on-v6 { none; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };
 
        recursion yes;
        allow-transfer { none;};
        allow-update { none; };
        allow-recursion {localhost; 192.168.10.0/24;};
        notify yes;
        version "AONPC DNS Server";
        forwarders { 8.8.8.8; 8.8.4.4; };
 
        dnssec-enable yes;
        dnssec-validation yes;
        bindkeys-file "/etc/named.iscdlv.key";
        managed-keys-directory "/var/named/dynamic";
        pid-file "/run/named/named.pid";
        session-keyfile "/run/named/session.key";
};
 
logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};
 
zone "." IN {
        type hint;
        file "named.ca";
};
 
zone "aktobe-edu.kz" in {
type master;
file "aktobeedu.zone";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

Файл aktobeedu.zone

spoiler

@        100       IN      SOA     ns1.aktobe-edu.kz. ns2.aktobe-edu.kz. (
2022060700      ; Serial
60            ; Refresh
900             ; Retry
3600            ; Expire
3600            ; Minimum
)
aktobe-edu.kz. 100 IN NS ns1.aktobe-edu.kz.
ns1.aktobe-edu.kz. 100 IN A 178.0.0.10
ns2.aktobe-edu.kz. 100 IN A 178.0.0.10
aktobe-edu.kz. 100 IN A 178.0.0.10
www 100 IN CNAME aktobe-edu.kz.
mail 100 IN A 178.0.0.10
test1 100 IN CNAME aktobe-edu.kz.

Результат проверки DNS на 2ip.ru:

spoiler

; <<>> DiG 9.11.5-P4-5.1+deb10u7-Debian <<>> aktobe-edu.kz +noidnout -t ANY
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11929
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;aktobe-edu.kz. IN ANY

;; ANSWER SECTION:
aktobe-edu.kz. 100 IN A 178.0.0.10
aktobe-edu.kz. 100 IN SOA ns1.aktobe-edu.kz. ns2.aktobe-edu.kz. 2022060700 60 900 3600 3600
aktobe-edu.kz. 100 IN NS ns1.aktobe-edu.kz.

;; ADDITIONAL SECTION:
ns1.aktobe-edu.kz. 100 IN A 178.0.0.10

;; Query time: 86 msec
;; SERVER: 213.133.98.98#53(213.133.98.98)
;; WHEN: Tue Sep 27 17:05:43 MSK 2022
;; MSG SIZE rcvd: 132

Где загвоздка не пойму

Comments

[AUser0]

А теперь конфиг HTTP-сервера - в студию!!!

Answer 1

[Rsa97]

А с чего вы решили, что проблема в DNS-сервере? Он, как раз, работает нормально.

dig +trace www.aktobe-edu.kz

$ dig +trace www.aktobe-edu.kz

; <<>> DiG 9.12.1 <<>> +trace www.aktobe-edu.kz
;; global options: +cmd
.			498444	IN	NS	a.root-servers.net.
.			498444	IN	NS	b.root-servers.net.
.			498444	IN	NS	c.root-servers.net.
.			498444	IN	NS	d.root-servers.net.
.			498444	IN	NS	e.root-servers.net.
.			498444	IN	NS	f.root-servers.net.
.			498444	IN	NS	g.root-servers.net.
.			498444	IN	NS	h.root-servers.net.
.			498444	IN	NS	i.root-servers.net.
.			498444	IN	NS	j.root-servers.net.
.			498444	IN	NS	k.root-servers.net.
.			498444	IN	NS	l.root-servers.net.
.			498444	IN	NS	m.root-servers.net.
.			498444	IN	RRSIG	NS 8 0 518400 20221010050000 20220927040000 20826 . E5aHqAj0MqKBkUBMP7OC3GDjnnr2T1unuV9Qy29b4VAYj7onRsOJypPn MDlXlFx1PcnOxOR3ATfuJnvKp+e7jOTsX7XJNo3NKhlin+dzdL12q9Rg /D3kutjO6eDFBySaJU9fzt4yFa92hZclEiZSk87GkTZPfkV1k9exgP0U NszN9caQfChOt9/jS+0d8LAO9ZWdiPWeB+d/cXwm+wtE4YmV0eUjmuPw ZOGBLKX6EYSoYBm2gLK4ObAGb9OXgty5ub85RVdwTIIegRHHD0YisYYS 0YiPos4LCDlUgRDWIOicz4a44ThQ5Q59HuZmCgYCIJbGH8u2nmfcYPru xfv8Bw==
;; Received 1137 bytes from 127.0.0.1#53(127.0.0.1) in 0 ms

kz.			172800	IN	NS	ns1.nic.kz.
kz.			172800	IN	NS	ns.nic.kz.
kz.			86400	IN	NSEC	la. NS RRSIG NSEC
kz.			86400	IN	RRSIG	NSEC 8 1 86400 20221010050000 20220927040000 20826 . RQSFc1pWPq1s+sHh7f4YkBy8Bgr5lGw0s/UlFrktVIpAWpEFK93F710b orNboQ8k2tzEezqOuM8A57ew50zWSoK4Ug8CJPWmRh0/jZJvczrpyAev CpDWqeoeWSdm1bKJ/fGHVtnp8ho91AffVdAqTOjTG69APgK/L4RVuSXY p/rD98Fb0HOPe5xTq/bbpLtn4udwcowJESo51n0bDgOKMZFqaCE54GHD 26pEAngTasy6gV3v7yJnIZfe6krgQgs/OCmXk6IDqpcWebF3Qr9gcmQ7 XsXbQXBDc4m1ab8D0dv9Dpu2p11U71R3djqNb5qSpzz6g5ElvJAp0GPK rYXfuQ==
;; Received 516 bytes from 192.112.36.4#53(g.root-servers.net) in 122 ms

aktobe-edu.kz.		86400	IN	NS	ns1.aktobe-edu.kz.
aktobe-edu.kz.		86400	IN	NS	ns2.aktobe-edu.kz.
;; Received 142 bytes from 185.79.212.7#53(ns1.nic.kz) in 84 ms

www.aktobe-edu.kz.	100	IN	CNAME	aktobe-edu.kz.
aktobe-edu.kz.		100	IN	A	178.91.234.10
aktobe-edu.kz.		100	IN	NS	ns1.aktobe-edu.kz.
;; Received 138 bytes from 178.91.234.10#53(ns2.aktobe-edu.kz) in 91 ms

А вот HTTP и HTTPS порты по этому адресу закрыты, зато PostgreSQL светится наружу.

$ nmap -Pn 178.91.234.10
Starting Nmap 7.70 ( https://nmap.org ) at 2022-09-27 17:11 MSK
Nmap scan report for 178.91.234.10
Host is up (0.089s latency).
Not shown: 990 closed ports
PORT     STATE    SERVICE
21/tcp   filtered ftp
22/tcp   open     ssh
23/tcp   filtered telnet
53/tcp   open     domain
80/tcp   filtered http
135/tcp  filtered msrpc
139/tcp  filtered netbios-ssn
443/tcp  filtered https
5432/tcp open     postgresql
8080/tcp filtered http-proxy

Comments

[User99]

Дело в том что на модеме открыты порт 80,443 так же как и 5432 (только час назад открыл по нужде). но сканеры почему то не берут его, возможно что провайдер блокирует. До этого все прекрасно работали, с субботы перестал. Как раз сообщали что навыходных на провайдеров Казахстана была DDOS с зарубежа, наверное из за этого блокнули порты 80, 443.
Когда я сканирую через NMAP для Windows 178.91.234.10 внутри рабочей сети, то пишет что все порты открыты.
Завтра с провайдерами буду разбираться.

Answer 2

[beerchaser]

телнет извне на 80, 443 что говорит? проверить по ip и по имени.