Jump to content
Калькуляторы

DNS BIND заглючил NSLOOKUP

На серваке с  UBUNTU и DNS BIND заглючил NSLOOKUP у клиента, не на самом сервере.

NSLOOKUP выдает  ошибку: Server failed на любом клиенте несколько раз подряд, а потом начинает резолвить имя в IP нормально. 

При этом Reverse lookup работает отлично всегда. NSLOOKUP с самого сервера не глючит ни ИМЯ в IP, ни IP в ИМЯ. Куда копать?

Share this post


Link to post
Share on other sites

Пример NSLOOUP

 

C:\Users\User>nslookup nag.ru 10.0.10.148
Server:  UnKnown
Address:  10.0.10.148

*** UnKnown can't find nag.ru: Server failed

C:\Users\User>nslookup nag.ru 10.0.10.148
Server:  UnKnown
Address:  10.0.10.148

*** UnKnown can't find nag.ru: Server failed

C:\Users\User>nslookup nag.ru 10.0.10.148
Server:  UnKnown
Address:  10.0.10.148

*** UnKnown can't find nag.ru: Server failed

C:\Users\User>nslookup nag.ru 10.0.10.148
Server:  UnKnown
Address:  10.0.10.148

*** UnKnown can't find nag.ru: Server failed

C:\Users\User>nslookup nag.ru 10.0.10.148
Server:  UnKnown
Address:  10.0.10.148

*** UnKnown can't find nag.ru: Server failed

C:\Users\User>nslookup nag.ru 10.0.10.148
Server:  UnKnown
Address:  10.0.10.148

*** UnKnown can't find nag.ru: Server failed

C:\Users\User>nslookup nag.ru 10.0.10.148
Server:  UnKnown
Address:  10.0.10.148

*** UnKnown can't find nag.ru: Server failed

C:\Users\User>nslookup nag.ru 10.0.10.148
Server:  UnKnown
Address:  10.0.10.148

Non-authoritative answer:
Name:    nag.ru
Address:  85.112.113.93


C:\Users\User>nslookup nag.ru 10.0.10.148
Server:  UnKnown
Address:  10.0.10.148

Non-authoritative answer:
Name:    nag.ru
Address:  85.112.113.93


C:\Users\User>nslookup nag.ru 10.0.10.148
Server:  UnKnown
Address:  10.0.10.148

Non-authoritative answer:
Name:    nag.ru
Address:  85.112.113.93

Share this post


Link to post
Share on other sites

В sudo на сервере выполнить:

rndc querylog

rndc trace 3

 

Дальше по tail  /var/log/messages смотрите запросы, по tail -n 20 /var/bind/named.run смотрите, что делал сервер. От клиентов его желательно в это время изолировать (закрыть порт в iptables), кроме одного (с которого запросы шлете)

Share this post


Link to post
Share on other sites

Включил query.log.

 

logging {
    channel query.log {
        file "/var/lib/bind/query.log";
        // Set the severity to dynamic to see all the debug messages.
        severity debug 3;
    };

    category queries { query.log; };
};
 

 

Вижу запросы от клиента. Но не вижу ответы сервера в этом логе

 

Share this post


Link to post
Share on other sites

Включил все логи. резолвер лог пустой

Share this post


Link to post
Share on other sites

@ipaddr.ru из перечисленных вами логов только general и security содержит инфу

Share this post


Link to post
Share on other sites
8 часов назад, maxkst сказал:

Включил все логи. резолвер лог пустой

tcpdump  смотрели же, запросы прилетают от клиента?

нет ли acl в bind ?

Share this post


Link to post
Share on other sites

Интересно.

Запостите полный конфиг. и вывод ip ro

Share this post


Link to post
Share on other sites
12 часов назад, guеst сказал:

запросы прилетают от клиента?

прилетают, их и в логах видно, не видно только ответы сервера

 

12 часов назад, guеst сказал:

нет ли acl в bind ?

Есть, но туда все что нужно - добавлено

 

Были подозрения на железо, или косяк с софтом после обновлений. Начали собирать копию сервера, и после каждого шага проверяли работоспособность. Те же глюки появились после фаервола.  Оказалось, что открыть трафик для  TCP UDP DST PORT 53 и явного accept всего с вышестоящих DNS серверов и локалки недостаточно. 

Блочился  INCOMING трафик с SRC PORT 53. Каким боком оно там вообще сдалось - я пока не понимаю, но как только это открыли - всё заработало. Щас буду вникать, что и кому мы открыли )))

Share this post


Link to post
Share on other sites

Конфиги покажите. Здесь нет телепатов.

Edited by murano

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this