Почему не работает DNS сервер?

Question

[Дмитрий Айткулов]

Добрый день! Имеется сервер на Centos 7 на нем установлен Bind Version 9.9.4 Release : 18.el7_1.1. Конфиг /etc/named.conf

options {
        listen-on port 53 { any; };
        listen-on-v6 port 53 { any; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };
        allow-recursion {"none";};
        recursion no;
        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";

        pid-file "/run/named/named.pid";
        session-keyfile "/run/named/session.key";

};
logging {
        channel default_debug {
                file "data/named.run";
        };
};
zone "." IN {
        type hint;
        file "named.ca";
};


include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

Ip сервера 10.13.0.64. Порты в фаерволе открыты. Указываю ip сервера в качестве dns на клиенте и интернета нет.

в логе /var/log/messages

May 29 15:33:32 dns2 named[23693]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:b::1#53

а если в конфиге закомментировать строку (дома на виртуалке после коментирования этой строки все заработало а на работе нет)
//dnssec-lookaside auto;
то тогда в логе

May 29 15:35:33 dns2 named[23722]: client 10.0.0.1#52247 (www.facebook.com): query (cache) 'www.facebook.com/A/IN' denied

не пойму где ошибка?
Спасибо за помощь

Answer 1

[Алексей Ямщиков]

allow-recursion {"none";};
recursion no;

рекурсивные запросы запрещены. Он у вас будет отдавать только вашу зону, которой у вас нет ))
Вам нужно разрешить рекурсивные запросы от вашей подсети.
Вот часть моего конфига, как пример:

allow-query { any; };
# I'm a local resolver
allow-recursion { localnets; };

Comments

[Дмитрий Айткулов]

allow-recursion {"none";};
эту строку я вообще закоментировал, изменил recursion на yes и тогда днс начал работать на внешку. Спасибо за помощь

[Алексей Ямщиков]

Дмитрий Айткулов: если сервер не смотрит в интернет, то не страшно, но если смотрит, то лучше не открывать рекурсивные запросы чужим, а то твой сервер будет использоваться в ddos атаках.
Успехов.

[Дмитрий Айткулов]

а какой тогда оптимальный конфиг для днс смотрящего в интернет? в будущем он будет slave dns для хостинга

[Алексей Ямщиков]

Дмитрий Айткулов:
вот шаблон конфига
-------------------------------------------------------------------------->8-----
//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//

options {
listen-on port 53 { 127.0.0.1; <%= @ipaddress %>; };
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { any; };

# I'm a local resolver
allow-recursion { localnets; };

version "unknown";

dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;

/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";

managed-keys-directory "/var/named/dynamic";
};

#setup in /etc/named.logging.conf
#logging {
# channel default_debug {
# file "data/named.run";
# severity dynamic;
# };
#};

zone "." IN {
type hint;
file "named.ca";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
include "/etc/named.logging.conf";

zone "ZONA.ru"
{
type slave;
file "slaves/ZONA.ru";
masters { <%= @dns_master_ip %>; };
};

-------------------------------------------------------------------------->8-----

allow-query { any; }; # разрешаем отвечать на запросы по своим зонам
allow-recursion { localnets; }; # разрешаем рекурсию только локальной сети.

[Алексей Ямщиков]

Дмитрий Айткулов: поставьте ещё fail2ban и пусть кулхацкер боты идут в бан

[Дмитрий Айткулов]

ок спасибо посмотрим в эту сторону