Настройка bind и zone, почему не работает?

Question

[dmb_1945]

Всем привет, поднял centos 7 И на нем Bind, пока это один днс сервер наружу. На базовом конфиге настроил зону все нормально, но при тюнинге конфига все сломалось, то есть Bind работает, а резолвинга домена снаружи нет. iptables и selinux не причем-ранее работало.(selinux-disabled, iptables-configured correct)
Вопрос в том что забыл бэкапить предыдущие конфиги и не заметил на каком этапе поломал, так как параллельно отвлекался на другие вопросы.

111.111.111.222 -wan ip
111.111.111.100 -DNS1
111.111.111.99 -DNS2
10.0.0.0/8 -LAN IP's (их будет много)
10.2.0.9 -LAN IP dns srv (ns1)

/etc/named.conf

options {
listen-on port 53 { 127.0.0.1; 10.2.0.9; };
listen-on-v6 port 53 { none; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
version "DNS Server";
allow-query { 10.0.0.0/8; };
allow-transfer { localhost; 10.0.0.0/8; };
allow-recursion { 10.0.0.0/8; };
forwarders { 111.111.111.100; 111.111.111.99; };
forward only;
recursive-clients 10;

recursion yes;

dnssec-enable yes;
dnssec-validation yes;

/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";

managed-keys-directory "/var/named/dynamic";

pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
};

logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};

zone "domain.com" {
type master;
file "domain.com.zone";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";



/var/named/domain.com.zone


$TTL 86400
@ IN SOA ns1.domain.com. root.domain.com. (
20161201 ;Serial
3600 ;Refresh
1800 ;Retry
604800 ;Expire
86400 ;Minimum TTL
)
IN NS ns1.domain.com.
ns1 IN A 111.111.111.222
;
@ MX 10 mail.domain.com.
mail IN A 111.111.111.222
@ IN A 111.111.111.222
www IN A 111.111.111.222

Answer 1

[Владимир Дубровин]

listen-on port 53 { 127.0.0.1; 10.2.0.9; };
вы слушаете только на внутреннем IP, поэтому DNS-сервер не доступен снаружи.

Comments

[dmb_1945]

оставить только 127.0.0.1 ?
вопрос в том, что данный параметр походу конфликтует с кем то в низу, так как с этим работал.

[Владимир Дубровин]

dmb_1945: нет, наоборот. Добавить 111.111.111.222 или заменить весь список на 0.0.0.0

[Владимир Дубровин]

dmb_1945: еще не знаю, что у вас в resolv.conf прописано, но в
allow-recursion скорее всего надо добавить 127.0.0.0/8

[Владимир Дубровин]

dmb_1945: и в allow-query разрешить всех.

[dmb_1945]

в resolv.conf прописан 111.111.111.100 так как вообще не резолвиться с него если оставить 127.0.0.1

"allow-recursion скорее всего надо добавить 127.0.0.0/8" не ошибка?

[dmb_1945]

сейчас
listen-on port 53 { 0.0.0.0; };
в resolv.conf 127.0.0.1

резолвинга нет с самого сервера

[dmb_1945]

я уже перегораю, кучу манов прочитал, на убунту одно на чентос другое, ))))

[Владимир Дубровин]

> "allow-recursion скорее всего надо добавить 127.0.0.0/8" не ошибка?
не ошибка, хотя можно добавить и только localhost.
> резолвинга нет с самого сервера
потому и нет резолвинга, когда разрешишь резолвинг с локалхоста - он появится.

[Владимир Дубровин]

allow-query - надо разрешить всем
allow-query { any; };

[dmb_1945]

options {
listen-on port 53 { 127.0.0.1; };
listen-on-v6 port 53 { none; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
version "DNS Server";
allow-query { any; };
allow-transfer { localhost; 10.0.0.0/8; };
allow-recursion { localhost; };
forwarders { 111.111.111.100; 111.111.111.99; };
forward only;
recursive-clients 10;

recursion yes;

dnssec-enable yes;
dnssec-validation yes;

вот что получилось

и резолв.конф 127.0.0.1

[dmb_1945]

с него резолвинг есть, а вот клиенты из нутри не могут резолвить

[dmb_1945]

в 4:00 следующие обновление наших зон, посмотрю утром на резолвинг %domain.com% с наружи

[dmb_1945]

Все работает. Спасибо за помощь, иногда достаточно толчка в нужную сторону )))

Конфиг
options {
listen-on port 53 { 127.0.0.1; 10.2.0.9; };
listen-on-v6 port 53 { none; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
version "DNS Server";
allow-query { any; };
allow-transfer { localhost; 10.0.0.0/8; };
allow-recursion { localhost; 10.0.0.0/8; };
forwarders { 111.111.111.100; 111.111.111.99; };
forward only;
recursive-clients 10;

recursion yes;

dnssec-enable yes;
dnssec-validation yes;

[Владимир Дубровин]

dmb_1945: при таком конфиге ваш сервер доступен только из внутренней сети, запросы к зоне domain.com снаружи не будут работать.

[dmb_1945]

Владимир Дубровин: почта работает, снаружи резолвиться все нормально, icmp бегает по всем нужным записям.