Jump to content

Existing user? Sign In
Sign In

Remember me Not recommended on shared computers

Forgot your password?
Sign Up

Программное обеспечение, биллинг и *unix системы

DNS BIND заглючил NSLOOKUP

maxkst

By maxkst
June 18, 2019 in Программное обеспечение, биллинг и *unix системы

Share

https://forum.nag.ru/index.php?/topic/150155-dns-bind-zaglyuchil-nslookup/

Recommended Posts

maxkst

maxkst

Posted June 18, 2019

Posted June 18, 2019

На серваке с UBUNTU и DNS BIND заглючил NSLOOKUP у клиента, не на самом сервере.

NSLOOKUP выдает ошибку: Server failed на любом клиенте несколько раз подряд, а потом начинает резолвить имя в IP нормально.

При этом Reverse lookup работает отлично всегда. NSLOOKUP с самого сервера не глючит ни ИМЯ в IP, ни IP в ИМЯ. Куда копать?

ipaddr.ru

ipaddr.ru

Posted June 18, 2019

Posted June 18, 2019

Включить детализацию логов и смотреть в логи.

maxkst

maxkst

Posted June 18, 2019

Author

Posted June 18, 2019

Пример NSLOOUP

C:\Users\User>nslookup nag.ru 10.0.10.148
Server: UnKnown
Address: 10.0.10.148

*** UnKnown can't find nag.ru: Server failed

C:\Users\User>nslookup nag.ru 10.0.10.148
Server: UnKnown
Address: 10.0.10.148

*** UnKnown can't find nag.ru: Server failed

C:\Users\User>nslookup nag.ru 10.0.10.148
Server: UnKnown
Address: 10.0.10.148

*** UnKnown can't find nag.ru: Server failed

C:\Users\User>nslookup nag.ru 10.0.10.148
Server: UnKnown
Address: 10.0.10.148

*** UnKnown can't find nag.ru: Server failed

C:\Users\User>nslookup nag.ru 10.0.10.148
Server: UnKnown
Address: 10.0.10.148

*** UnKnown can't find nag.ru: Server failed

C:\Users\User>nslookup nag.ru 10.0.10.148
Server: UnKnown
Address: 10.0.10.148

*** UnKnown can't find nag.ru: Server failed

C:\Users\User>nslookup nag.ru 10.0.10.148
Server: UnKnown
Address: 10.0.10.148

*** UnKnown can't find nag.ru: Server failed

C:\Users\User>nslookup nag.ru 10.0.10.148
Server: UnKnown
Address: 10.0.10.148

Non-authoritative answer:
Name: nag.ru
Address: 85.112.113.93

C:\Users\User>nslookup nag.ru 10.0.10.148
Server: UnKnown
Address: 10.0.10.148

Non-authoritative answer:
Name: nag.ru
Address: 85.112.113.93

C:\Users\User>nslookup nag.ru 10.0.10.148
Server: UnKnown
Address: 10.0.10.148

Non-authoritative answer:
Name: nag.ru
Address: 85.112.113.93

ipaddr.ru

ipaddr.ru

Posted June 18, 2019

Posted June 18, 2019

Это не логи DNS-сервера.

jffulcrum

Posted June 18, 2019

Posted June 18, 2019

В sudo на сервере выполнить:

rndc querylog

rndc trace 3

Дальше по tail /var/log/messages смотрите запросы, по tail -n 20 /var/bind/named.run смотрите, что делал сервер. От клиентов его желательно в это время изолировать (закрыть порт в iptables), кроме одного (с которого запросы шлете)

maxkst

maxkst

Posted June 18, 2019

Author

Posted June 18, 2019

Включил query.log.

logging {
channel query.log {
file "/var/lib/bind/query.log";
// Set the severity to dynamic to see all the debug messages.
severity debug 3;
};

category queries { query.log; };
};

Вижу запросы от клиента. Но не вижу ответы сервера в этом логе

ipaddr.ru

ipaddr.ru

Posted June 18, 2019

Posted June 18, 2019

Включите категории resolver, client, dnssec, lame-servers, general, security.

maxkst

maxkst

Posted June 18, 2019

Author

Posted June 18, 2019

Включил все логи. резолвер лог пустой

maxkst

maxkst

Posted June 18, 2019

Author

Posted June 18, 2019

@ipaddr.ru из перечисленных вами логов только general и security содержит инфу

guеst

guеst

Posted June 19, 2019

Posted June 19, 2019

8 часов назад, maxkst сказал:

Включил все логи. резолвер лог пустой

tcpdump смотрели же, запросы прилетают от клиента?

нет ли acl в bind ?

swsn

swsn

Posted June 19, 2019

Posted June 19, 2019

Интересно.

Запостите полный конфиг. и вывод ip ro

maxkst

maxkst

Posted June 19, 2019

Author

Posted June 19, 2019

12 часов назад, guеst сказал:

запросы прилетают от клиента?

прилетают, их и в логах видно, не видно только ответы сервера

12 часов назад, guеst сказал:

нет ли acl в bind ?

Есть, но туда все что нужно - добавлено

Были подозрения на железо, или косяк с софтом после обновлений. Начали собирать копию сервера, и после каждого шага проверяли работоспособность. Те же глюки появились после фаервола. Оказалось, что открыть трафик для TCP UDP DST PORT 53 и явного accept всего с вышестоящих DNS серверов и локалки недостаточно.

Блочился INCOMING трафик с SRC PORT 53. Каким боком оно там вообще сдалось - я пока не понимаю, но как только это открыли - всё заработало. Щас буду вникать, что и кому мы открыли )))

alibek

alibek

Posted June 19, 2019

Posted June 19, 2019

Сервер возможно secondary.

maxkst

maxkst

Posted June 19, 2019

Author

Posted June 19, 2019

@alibek что вы имеете ввиду?

murano

murano

Posted June 19, 2019

Posted June 19, 2019 (edited)

Конфиги покажите. Здесь нет телепатов.

Edited June 19, 2019 by murano

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest

Reply to this topic...

× Pasted as rich text. Paste as plain text instead

Only 75 emoji are allowed.

× Your link has been automatically embedded. Display as a link instead

× Your previous content has been restored. Clear editor

× You cannot paste images directly. Upload or insert images from URL.

Insert image from URL

×

Share

https://forum.nag.ru/index.php?/topic/150155-dns-bind-zaglyuchil-nslookup/

Go to topic listing

×

Shop
Portal

×

Create New...

На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.