Перейти к содержимому
Калькуляторы

DNS BIND заглючил NSLOOKUP

Ответить

maxkst   

maxkst
Опубликовано · Жалоба

На серваке с  UBUNTU и DNS BIND заглючил NSLOOKUP у клиента, не на самом сервере.

NSLOOKUP выдает  ошибку: Server failed на любом клиенте несколько раз подряд, а потом начинает резолвить имя в IP нормально. 

При этом Reverse lookup работает отлично всегда. NSLOOKUP с самого сервера не глючит ни ИМЯ в IP, ни IP в ИМЯ. Куда копать?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

maxkst   

maxkst
Опубликовано · Жалоба

Пример NSLOOUP

 

C:\Users\User>nslookup nag.ru 10.0.10.148
Server:  UnKnown
Address:  10.0.10.148

*** UnKnown can't find nag.ru: Server failed

C:\Users\User>nslookup nag.ru 10.0.10.148
Server:  UnKnown
Address:  10.0.10.148

*** UnKnown can't find nag.ru: Server failed

C:\Users\User>nslookup nag.ru 10.0.10.148
Server:  UnKnown
Address:  10.0.10.148

*** UnKnown can't find nag.ru: Server failed

C:\Users\User>nslookup nag.ru 10.0.10.148
Server:  UnKnown
Address:  10.0.10.148

*** UnKnown can't find nag.ru: Server failed

C:\Users\User>nslookup nag.ru 10.0.10.148
Server:  UnKnown
Address:  10.0.10.148

*** UnKnown can't find nag.ru: Server failed

C:\Users\User>nslookup nag.ru 10.0.10.148
Server:  UnKnown
Address:  10.0.10.148

*** UnKnown can't find nag.ru: Server failed

C:\Users\User>nslookup nag.ru 10.0.10.148
Server:  UnKnown
Address:  10.0.10.148

*** UnKnown can't find nag.ru: Server failed

C:\Users\User>nslookup nag.ru 10.0.10.148
Server:  UnKnown
Address:  10.0.10.148

Non-authoritative answer:
Name:    nag.ru
Address:  85.112.113.93


C:\Users\User>nslookup nag.ru 10.0.10.148
Server:  UnKnown
Address:  10.0.10.148

Non-authoritative answer:
Name:    nag.ru
Address:  85.112.113.93


C:\Users\User>nslookup nag.ru 10.0.10.148
Server:  UnKnown
Address:  10.0.10.148

Non-authoritative answer:
Name:    nag.ru
Address:  85.112.113.93

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

jffulcrum   

jffulcrum
Опубликовано · Жалоба

В sudo на сервере выполнить:

rndc querylog

rndc trace 3

 

Дальше по tail  /var/log/messages смотрите запросы, по tail -n 20 /var/bind/named.run смотрите, что делал сервер. От клиентов его желательно в это время изолировать (закрыть порт в iptables), кроме одного (с которого запросы шлете)

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

maxkst   

maxkst
Опубликовано · Жалоба

Включил query.log.

 

logging {
    channel query.log {
        file "/var/lib/bind/query.log";
        // Set the severity to dynamic to see all the debug messages.
        severity debug 3;
    };

    category queries { query.log; };
};
 

 

Вижу запросы от клиента. Но не вижу ответы сервера в этом логе

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

maxkst   

maxkst
Опубликовано · Жалоба

@ipaddr.ru из перечисленных вами логов только general и security содержит инфу

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

guеst   

guеst
Опубликовано · Жалоба
8 часов назад, maxkst сказал:

Включил все логи. резолвер лог пустой

tcpdump  смотрели же, запросы прилетают от клиента?

нет ли acl в bind ?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

swsn   

swsn
Опубликовано · Жалоба

Интересно.

Запостите полный конфиг. и вывод ip ro

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

maxkst   

maxkst
Опубликовано · Жалоба
12 часов назад, guеst сказал:

запросы прилетают от клиента?

прилетают, их и в логах видно, не видно только ответы сервера

 

12 часов назад, guеst сказал:

нет ли acl в bind ?

Есть, но туда все что нужно - добавлено

 

Были подозрения на железо, или косяк с софтом после обновлений. Начали собирать копию сервера, и после каждого шага проверяли работоспособность. Те же глюки появились после фаервола.  Оказалось, что открыть трафик для  TCP UDP DST PORT 53 и явного accept всего с вышестоящих DNS серверов и локалки недостаточно. 

Блочился  INCOMING трафик с SRC PORT 53. Каким боком оно там вообще сдалось - я пока не понимаю, но как только это открыли - всё заработало. Щас буду вникать, что и кому мы открыли )))

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

murano   

murano
Опубликовано (изменено) · Жалоба

Конфиги покажите. Здесь нет телепатов.

Изменено пользователем murano

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Программное обеспечение, биллинг и *unix системы