maxkst Posted June 18, 2019 На серваке с UBUNTU и DNS BIND заглючил NSLOOKUP у клиента, не на самом сервере. NSLOOKUP выдает ошибку: Server failed на любом клиенте несколько раз подряд, а потом начинает резолвить имя в IP нормально. При этом Reverse lookup работает отлично всегда. NSLOOKUP с самого сервера не глючит ни ИМЯ в IP, ни IP в ИМЯ. Куда копать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ipaddr.ru Posted June 18, 2019 Включить детализацию логов и смотреть в логи. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted June 18, 2019 Пример NSLOOUP C:\Users\User>nslookup nag.ru 10.0.10.148 Server: UnKnown Address: 10.0.10.148 *** UnKnown can't find nag.ru: Server failed C:\Users\User>nslookup nag.ru 10.0.10.148 Server: UnKnown Address: 10.0.10.148 *** UnKnown can't find nag.ru: Server failed C:\Users\User>nslookup nag.ru 10.0.10.148 Server: UnKnown Address: 10.0.10.148 *** UnKnown can't find nag.ru: Server failed C:\Users\User>nslookup nag.ru 10.0.10.148 Server: UnKnown Address: 10.0.10.148 *** UnKnown can't find nag.ru: Server failed C:\Users\User>nslookup nag.ru 10.0.10.148 Server: UnKnown Address: 10.0.10.148 *** UnKnown can't find nag.ru: Server failed C:\Users\User>nslookup nag.ru 10.0.10.148 Server: UnKnown Address: 10.0.10.148 *** UnKnown can't find nag.ru: Server failed C:\Users\User>nslookup nag.ru 10.0.10.148 Server: UnKnown Address: 10.0.10.148 *** UnKnown can't find nag.ru: Server failed C:\Users\User>nslookup nag.ru 10.0.10.148 Server: UnKnown Address: 10.0.10.148 Non-authoritative answer: Name: nag.ru Address: 85.112.113.93 C:\Users\User>nslookup nag.ru 10.0.10.148 Server: UnKnown Address: 10.0.10.148 Non-authoritative answer: Name: nag.ru Address: 85.112.113.93 C:\Users\User>nslookup nag.ru 10.0.10.148 Server: UnKnown Address: 10.0.10.148 Non-authoritative answer: Name: nag.ru Address: 85.112.113.93 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ipaddr.ru Posted June 18, 2019 Это не логи DNS-сервера. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted June 18, 2019 В sudo на сервере выполнить: rndc querylog rndc trace 3 Дальше по tail /var/log/messages смотрите запросы, по tail -n 20 /var/bind/named.run смотрите, что делал сервер. От клиентов его желательно в это время изолировать (закрыть порт в iptables), кроме одного (с которого запросы шлете) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted June 18, 2019 Включил query.log. logging { channel query.log { file "/var/lib/bind/query.log"; // Set the severity to dynamic to see all the debug messages. severity debug 3; }; category queries { query.log; }; }; Вижу запросы от клиента. Но не вижу ответы сервера в этом логе Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ipaddr.ru Posted June 18, 2019 Включите категории resolver, client, dnssec, lame-servers, general, security. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted June 18, 2019 Включил все логи. резолвер лог пустой Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted June 18, 2019 @ipaddr.ru из перечисленных вами логов только general и security содержит инфу Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
guеst Posted June 19, 2019 8 часов назад, maxkst сказал: Включил все логи. резолвер лог пустой tcpdump смотрели же, запросы прилетают от клиента? нет ли acl в bind ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
swsn Posted June 19, 2019 Интересно. Запостите полный конфиг. и вывод ip ro Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted June 19, 2019 12 часов назад, guеst сказал: запросы прилетают от клиента? прилетают, их и в логах видно, не видно только ответы сервера 12 часов назад, guеst сказал: нет ли acl в bind ? Есть, но туда все что нужно - добавлено Были подозрения на железо, или косяк с софтом после обновлений. Начали собирать копию сервера, и после каждого шага проверяли работоспособность. Те же глюки появились после фаервола. Оказалось, что открыть трафик для TCP UDP DST PORT 53 и явного accept всего с вышестоящих DNS серверов и локалки недостаточно. Блочился INCOMING трафик с SRC PORT 53. Каким боком оно там вообще сдалось - я пока не понимаю, но как только это открыли - всё заработало. Щас буду вникать, что и кому мы открыли ))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted June 19, 2019 Сервер возможно secondary. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted June 19, 2019 @alibek что вы имеете ввиду? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
murano Posted June 19, 2019 (edited) Конфиги покажите. Здесь нет телепатов. Edited June 19, 2019 by murano Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
