PhantomGT Опубликовано 13 февраля, 2017 · Жалоба Регистрировать элементарно. Нужны доступы на лир портал: https://apps.db.ripe.net/db-web-ui/#/ там выбираете domain, после этого вбиваете реверс зону соответствующую вашей /24 сети. Если сеть крупнее - дробите по /24. Далее сам RIPE скажет, если у вас косяк в конфиге и не получается вытянуть зону. Зону пишу, Prefix looks OK, nsserver ip не хавает, ест только имя, вбиваю ns получаю Could not resolve ns Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 13 февраля, 2017 · Жалоба А имя DNS глобально резолвится? Я боюсь именно это ему не нравится. Ваше XXX.dns.domain.tld должно работать для всего мира и после этого RIPE даст на него возможность делегировать вашу /24. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PhantomGT Опубликовано 13 февраля, 2017 (изменено) · Жалоба Вобщем проблема скорее всего в RIPE, ns как раз в 185 сети. We have identified an issue with our DNS provisioning infrastructure. This is causing delays to all domain object updates within the 185.in-addr.arpa reverse DNS delegation. Updates within 185.in-addr.arpa are not applying automatically into the corresponding DNS zone. As a result, if you update a domain object within 185.in-addr.arpa, it may take up to one day to appear in DNS, until we fix the underlying issue. Update 31 March 2016: We have fixed the underlying issue and will be putting in place more stringent checks to prevent this from happening in the future. All affected services are now fully operational. Написал запрос в RIPE посмотрим что ответят. Изменено 13 февраля, 2017 пользователем PhantomGT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Мартин Опубликовано 13 февраля, 2017 · Жалоба Попробуйте проверить настройки зон. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PhantomGT Опубликовано 14 февраля, 2017 · Жалоба в RIPE говорят, что сам дурак зоны настроены неправильно, почти до утра сидел поверял, параллельно перечитывал книгу DNS&BIND конфа мастера такая: named.conf options { listen-on port 53 { 127.0.0.1; 192.168.1.25; 185.56.78.9; }; # listen-on-v6 port 53 { ::1; }; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; allow-query { any; }; allow-query-cache { 127.0.0.1; 192.168.1.0/24; 0.0.0.0/0; }; recursion no; // allow-recursion { 127.0.0.1; 192.168.1.0/24; 0.0.0.0/0; }; forwarders { 193.0.9.6; 8.8.8.8; }; auth-nxdomain no; dnssec-enable yes; dnssec-validation yes; dnssec-lookaside auto; /* Path to ISC DLV key */ bindkeys-file "/etc/named.iscdlv.key"; managed-keys-directory "/var/named/dynamic"; }; logging { category lame-servers { null; }; channel default_debug { file "data/named.run"; severity dynamic; }; }; zone "." IN { type hint; file "named.ca"; }; zone "my-domain.com." { type master; file "my-domain.com"; allow-update { none; }; allow-transfer { 185.123.456.78; }; }; zone "78.56.185.in-addr.arpa." { type master; file "78.56.185.in-addr.arpa"; allow-update { none; }; allow-transfer { 185.123.456.78; }; }; zone "456.123.185.in-addr.arpa." { type master; file "456.123.185.in-addr.arpa"; allow-update { none; }; allow-transfer { 185.123.456.78; }; }; include "/etc/named.rfc1912.zones"; include "/etc/named.root.key"; include "/etc/rndc.key"; my-domain.com $TTL 3D @ IN SOA ns1.my-domain.com. admin.my-domain.com. ( 2017021304 4h 1h 1w 1h) @ IN NS ns1.my-domain.com. @ IN NS ns2.my-domain.com. my-domain.com. IN A 185.123.456.78 ns1.my-domain.com. IN A 185.56.78.9 ns2.my-domain.com. IN A 185.123.456.78 78.56.185.in-addr.arpa $ORIGIN 78.56.185.in-addr.arpa. $TTL 3D @ IN SOA ns1.my-domain.com. admin.my-domain.com. ( 2017021304 4h 1h 1w 1h) IN NS ns1.my-domain.com. IN NS ns2.my-domain.com. $TTL 3600 9 IN PTR ns1.my-domain.com. 456.123.185.in-addr.arpa $ORIGIN 456.123.185.in-addr.arpa. $TTL 3D @ IN SOA ns1.my-domain.com. admin.my-domain.com. ( 2017021304 4h 1h 1w 1h) IN NS ns2.my-domain.com. IN NS ns1.my-domain.com. $TTL 3600 78 IN PTR ns2.my-domain.com. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 14 февраля, 2017 · Жалоба Это где вы такой ip-адрес нашли ? 185.123.456.78 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PhantomGT Опубликовано 14 февраля, 2017 · Жалоба адреса и имена изменены Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vodz Опубликовано 14 февраля, 2017 · Жалоба dig то от внешнего аккаунта к этой сети всё нормально кажет? А то, конфиги это одно, а какой-нибудь файрвол - совсем другое. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PhantomGT Опубликовано 14 февраля, 2017 (изменено) · Жалоба selinux точно отключен, iptables проброшен 53 порт tcp udp, dig работает корректно только если писать -x ip ns1@ip ns2 во всех возможных комбинациях. Если пытаться просто от гугла, райпа и подобного то даже запрос ptr не доходит до серверов. Если кому интересно ip серверов. Изменено 5 декабря, 2017 пользователем PhantomGT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vodz Опубликовано 14 февраля, 2017 · Жалоба dig ns1.alphanet-cy.com не даёт A dig @185.78.130.204 -x 185.170.233.204 - таймаут Вы точно с этими "конфигурация и ареса изменены" не напутали с 204 и 24? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PhantomGT Опубликовано 14 февраля, 2017 (изменено) · Жалоба dig ns1.alphanet-cy.com не даёт A dig @185.78.130.204 -x 185.170.233.204 - таймаут Вы точно с этими "конфигурация и ареса изменены" не напутали с 204 и 24? A и не даст его надо куда-то добавить, серверам неделя отроду, изначально и встал вопрос с регистрацией. 130.24 233.204 с правилными адресами все дает Изменено 14 февраля, 2017 пользователем PhantomGT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 14 февраля, 2017 · Жалоба selinux точно отключен, iptables проброшен 53 порт tcp udp, dig работает корректно только если писать -x ip ns1@ip ns2 во всех возможных комбинациях. Если пытаться просто от гугла, райпа и подобного то даже запрос ptr не доходит до серверов. Если кому интересно ip серверов. ns1 185.170.233.204 и ns2 185.78.130.24 traceroute в конце выдает !Z (communication with destination host administratively prohibited) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vodz Опубликовано 14 февраля, 2017 · Жалоба dig ns1.alphanet-cy.com не даёт A dig @185.78.130.204 -x 185.170.233.204 - таймаут Вы точно с этими "конфигурация и ареса изменены" не напутали с 204 и 24? A и не даст его надо куда-то добавить, серверам неделя отроду, изначально и встал вопрос с регистрацией. 130.24 233.204 с правилными адресами все дает На как произойдёт по вашему рекурсия, если у вас указаны ns-ы, которые невозможно разрезольвить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PhantomGT Опубликовано 14 февраля, 2017 · Жалоба traceroute в конце выдает !Z (communication with destination host administratively prohibited) чдуеса ей богу !X На как произойдёт по вашему рекурсия, если у вас указаны ns-ы, которые невозможно разрезольвить? Как сделать по уму, первый раз в жизни такая задача стоит, обычно все арендное, там "кнопку жмешь спина потеет" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vodz Опубликовано 14 февраля, 2017 · Жалоба Как сделать по уму, первый раз в жизни такая задача стоит, обычно все арендное, там "кнопку жмешь спина потеет" Ну вот смотрите. У вас указано в AUTHORITY SECTION, что зона 233.170.185.in-addr.arpa. обслуживается NS ns1.alphanet-cy.com. Следовательно, чтобы узнать конкретный PTR нам надо к нему и обратиться. А адрес (A) мы и не получаем, только SOA. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 14 февраля, 2017 · Жалоба traceroute в конце выдает !Z (communication with destination host administratively prohibited) чдуеса ей богу !X Ну а во freebsd примерно так 8 185.170.233.1 (185.170.233.1) 132.435 ms 137.205 ms 138.887 ms 9 185.170.233.204 (185.170.233.204) 128.450 ms !Z 125.827 ms !Z 128.532 ms !Z Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PhantomGT Опубликовано 14 февраля, 2017 · Жалоба Как сделать по уму, первый раз в жизни такая задача стоит, обычно все арендное, там "кнопку жмешь спина потеет" Ну вот смотрите. У вас указано в AUTHORITY SECTION, что зона 233.170.185.in-addr.arpa. обслуживается NS ns1.alphanet-cy.com. Следовательно, чтобы узнать конкретный PTR нам надо к нему и обратиться. А адрес (A) мы и не получаем, только SOA. в реверс допилить запись типа ns a ip.in-addr.arpa.? в книге по dns&bind такого не видел. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vodz Опубликовано 14 февраля, 2017 · Жалоба Как сделать по уму, первый раз в жизни такая задача стоит, обычно все арендное, там "кнопку жмешь спина потеет" Ну вот смотрите. У вас указано в AUTHORITY SECTION, что зона 233.170.185.in-addr.arpa. обслуживается NS ns1.alphanet-cy.com. Следовательно, чтобы узнать конкретный PTR нам надо к нему и обратиться. А адрес (A) мы и не получаем, только SOA. в реверс допилить запись типа ns a ip.in-addr.arpa.? в книге по dns&bind такого не видел. Вы не поняли, вам прямую зону допилить для начала надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 14 февраля, 2017 · Жалоба Нет цензурных слов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PhantomGT Опубликовано 14 февраля, 2017 · Жалоба я мож что-то не понимаю но в прямой зоне в конце есть A записи Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vodz Опубликовано 14 февраля, 2017 · Жалоба я мож что-то не понимаю но в прямой зоне в конце есть A записи Чего там понимать, пилить надо, как добъётесь показа у dig @8.8.8.8 ns1.alphanet-cy.com, так уже о регистрации реверса можно подумать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 14 февраля, 2017 · Жалоба я мож что-то не понимаю но в прямой зоне в конце есть A записи Вы уже 4-тый день топчетесь на одном месте. Когда советчикам надоест объяснять азы, останетесь 1 на 1 со своими проблемами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PhantomGT Опубликовано 16 февраля, 2017 · Жалоба Смею предположить, что даже гуру когда-то также топтались над чем-то ни день ни два, но не суть. Худо-бедно резольвятся адреса ns1 ns2. Правда пришлось один адрес бросить т.к. братья киты запарили запросами. DNSCheck остался непреклонен: Could not find reverse address for w.x.y.z (z.y.x.w.in-addr.arpa.). в tcpdump при попытке сделать DNSCheck наблюдаю странные запросы: 04:34:43.324852 IP ripe > ns1: 22423+ SOA? nigonsibutbovedtidafhyfudramuf.nxdomain.example.com. (69) 04:34:43.325131 IP ns1 > ripe: 22423 Refused- 0/0/0 (69) 04:36:19.297368 IP ripe > ns1: 40682+ SOA? fuvyvpasumtozevluzapkakopgaryz.nxdomain.example.com. (69) 04:36:19.297532 IP ns1 > ripe: 40682 Refused- 0/0/0 (69) причем от запроса к запросу комбинация символов каждый раз разная. есть идея на ripe добавить domain и посмотреть что произойдет) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vodz Опубликовано 16 февраля, 2017 · Жалоба Смею предположить, что даже гуру когда-то также топтались над чем-то ни день ни два, но не суть. Худо-бедно резольвятся адреса ns1 ns2. Правда пришлось один адрес бросить т.к. братья киты запарили запросами. DNSCheck остался непреклонен: Could not find reverse address for w.x.y.z (z.y.x.w.in-addr.arpa.). в tcpdump при попытке сделать DNSCheck наблюдаю странные запросы: 04:34:43.324852 IP ripe > ns1: 22423+ SOA? nigonsibutbovedtidafhyfudramuf.nxdomain.example.com. (69) 04:34:43.325131 IP ns1 > ripe: 22423 Refused- 0/0/0 (69) 04:36:19.297368 IP ripe > ns1: 40682+ SOA? fuvyvpasumtozevluzapkakopgaryz.nxdomain.example.com. (69) 04:36:19.297532 IP ns1 > ripe: 40682 Refused- 0/0/0 (69) причем от запроса к запросу комбинация символов каждый раз разная. есть идея на ripe добавить domain и посмотреть что произойдет) У вас уже всё вроде нормально кроме двух вещей, если вы не поменяли после публикования конфига bind-а. Вы запретили рекурсию всем, но разрешили кеш всем. Мало того, что это странное бескорыстие, это ещё и глупость по причине того, что кеш то будет пуст, так как никто, даже локальная сеть не сможет дать запрос на его заполнение. Также рекомендую указать разрешение на трансфер зон на ваш slave. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PhantomGT Опубликовано 16 февраля, 2017 (изменено) · Жалоба Ну вроде, работает. В моем случае была проблема от того что "гугл" =) имена нсов не знал. Да вы правы, в конфиге были некоторые глупости, но сейчас он имеет вид, для мастера: // named.conf options { listen-on port 53 { 127.0.0.1; ip ns1; }; # listen-on-v6 port 53 { ::1; }; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; allow-transfer { ip ns2; 193.0.0/22;}; allow-query { any; }; recursion no; dnssec-enable yes; dnssec-validation yes; /* Path to ISC DLV key */ bindkeys-file "/etc/named.iscdlv.key"; managed-keys-directory "/var/named/dynamic"; }; logging { channel default_debug { file "data/named.run"; severity dynamic; }; }; zone "." IN { type hint; file "named.ca"; }; zone "domain.com" { type master; file "db.domain.com"; }; zone "123.234.123.in-addr.arpa" { type master; file "db.123.234.123"; }; zone "234.123.234.in-addr.arpa" { type master; file "db.234.123.234"; }; include "/etc/named.rfc1912.zones"; include "/etc/named.root.key"; Для зон конфиги не менял, только имена сделал покороче, внутри все также. Для кэша я так думаю собирать надо другой нс сервер, но это уже совсем другая история, единственное я так не могу понять: 10:55:39.360153 IP ripe > ns1: 24530 NS? 123.234.123.in-addr.apra. (42) 10:55:39.360616 IP ns1 > ripe: 24530 Refused- 0/0/0 (42) на пустой запрос NS? тоже ответ Refused Изменено 16 февраля, 2017 пользователем PhantomGT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...