Перейти к содержимому
Калькуляторы

Регистрировать элементарно. Нужны доступы на лир портал: https://apps.db.ripe.net/db-web-ui/#/ там выбираете domain, после этого вбиваете реверс зону соответствующую вашей /24 сети. Если сеть крупнее - дробите по /24. Далее сам RIPE скажет, если у вас косяк в конфиге и не получается вытянуть зону.

Зону пишу, Prefix looks OK, nsserver ip не хавает, ест только имя, вбиваю ns получаю Could not resolve ns

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А имя DNS глобально резолвится? Я боюсь именно это ему не нравится. Ваше XXX.dns.domain.tld должно работать для всего мира и после этого RIPE даст на него возможность делегировать вашу /24.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вобщем проблема скорее всего в RIPE, ns как раз в 185 сети.

We have identified an issue with our DNS provisioning infrastructure. This is causing 
delays to all domain object updates within the 185.in-addr.arpa reverse DNS delegation.

Updates within 185.in-addr.arpa are not applying automatically into the corresponding DNS 
zone. As a result, if you update a domain object within 185.in-addr.arpa, it may take up to
one day to appear in DNS, until we fix the underlying issue.

Update 31 March 2016: We have fixed the underlying issue and will be putting in place more 
stringent checks to prevent this from happening in the future. All affected services are now
fully operational.

Написал запрос в RIPE посмотрим что ответят.

Изменено пользователем PhantomGT

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в RIPE говорят, что сам дурак зоны настроены неправильно, почти до утра сидел поверял, параллельно перечитывал книгу DNS&BIND

конфа мастера такая:

named.conf

options {
listen-on port 53 { 127.0.0.1; 192.168.1.25; 185.56.78.9; };
#	listen-on-v6 port 53 { ::1; };
directory 	"/var/named";
dump-file 	"/var/named/data/cache_dump.db";
       statistics-file "/var/named/data/named_stats.txt";
       memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query     {  any; };
allow-query-cache { 127.0.0.1; 192.168.1.0/24; 0.0.0.0/0; };
recursion no;
//	allow-recursion { 127.0.0.1; 192.168.1.0/24; 0.0.0.0/0; };
forwarders { 193.0.9.6; 8.8.8.8; };
auth-nxdomain no;
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;

/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
};

logging {
category lame-servers { null; };
       channel default_debug {
               file "data/named.run";
               severity dynamic;
       };

};

zone "." IN {
type hint;
file "named.ca";
};

zone "my-domain.com." {
type master;
file "my-domain.com";
allow-update { none;  };
allow-transfer { 185.123.456.78; };
};


zone "78.56.185.in-addr.arpa." {
type master;
file "78.56.185.in-addr.arpa";
allow-update { none; };
allow-transfer { 185.123.456.78; };
};

zone "456.123.185.in-addr.arpa." {
type master;
file "456.123.185.in-addr.arpa";
allow-update { none; };
allow-transfer { 185.123.456.78; };
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
include "/etc/rndc.key";

my-domain.com

$TTL 3D
@			IN	SOA	ns1.my-domain.com.	admin.my-domain.com. (
2017021304
4h
1h
1w
1h)
@			IN	NS	ns1.my-domain.com.
@			IN	NS	ns2.my-domain.com.
my-domain.com.		IN	A	185.123.456.78
ns1.my-domain.com.	IN	A	185.56.78.9
ns2.my-domain.com.	IN	A	185.123.456.78

78.56.185.in-addr.arpa

$ORIGIN 78.56.185.in-addr.arpa.
$TTL 3D
@		IN	SOA	ns1.my-domain.com. admin.my-domain.com. (
2017021304
4h
1h
1w
1h)
	IN	NS	ns1.my-domain.com.
	IN	NS	ns2.my-domain.com.
$TTL 3600
9		IN	PTR	ns1.my-domain.com.

456.123.185.in-addr.arpa

$ORIGIN 456.123.185.in-addr.arpa.
$TTL 3D
@		IN	SOA	ns1.my-domain.com. admin.my-domain.com. (
2017021304
4h
1h
1w
1h)
	IN	NS	ns2.my-domain.com.
	IN	NS	ns1.my-domain.com.
$TTL 3600
78		IN	PTR	ns2.my-domain.com.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это где вы такой ip-адрес нашли ? 185.123.456.78

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

dig то от внешнего аккаунта к этой сети всё нормально кажет? А то, конфиги это одно, а какой-нибудь файрвол - совсем другое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

selinux точно отключен, iptables проброшен 53 порт tcp udp, dig работает корректно только если писать -x ip ns1@ip ns2 во всех возможных комбинациях. Если пытаться просто от гугла, райпа и подобного то даже запрос ptr не доходит до серверов. Если кому интересно ip серверов.

 

 

Изменено пользователем PhantomGT

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

dig ns1.alphanet-cy.com не даёт A

dig @185.78.130.204 -x 185.170.233.204 - таймаут

Вы точно с этими "конфигурация и ареса изменены" не напутали с 204 и 24?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

dig ns1.alphanet-cy.com не даёт A

dig @185.78.130.204 -x 185.170.233.204 - таймаут

Вы точно с этими "конфигурация и ареса изменены" не напутали с 204 и 24?

A и не даст его надо куда-то добавить, серверам неделя отроду, изначально и встал вопрос с регистрацией. 130.24 233.204

с правилными адресами все дает

Изменено пользователем PhantomGT

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

selinux точно отключен, iptables проброшен 53 порт tcp udp, dig работает корректно только если писать -x ip ns1@ip ns2 во всех возможных комбинациях. Если пытаться просто от гугла, райпа и подобного то даже запрос ptr не доходит до серверов. Если кому интересно ip серверов.

ns1 185.170.233.204 и ns2 185.78.130.24

 

traceroute в конце выдает !Z (communication with destination host administratively prohibited)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

dig ns1.alphanet-cy.com не даёт A

dig @185.78.130.204 -x 185.170.233.204 - таймаут

Вы точно с этими "конфигурация и ареса изменены" не напутали с 204 и 24?

A и не даст его надо куда-то добавить, серверам неделя отроду, изначально и встал вопрос с регистрацией. 130.24 233.204

с правилными адресами все дает

На как произойдёт по вашему рекурсия, если у вас указаны ns-ы, которые невозможно разрезольвить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

traceroute в конце выдает !Z (communication with destination host administratively prohibited)

чдуеса ей богу !X

 

На как произойдёт по вашему рекурсия, если у вас указаны ns-ы, которые невозможно разрезольвить?

Как сделать по уму, первый раз в жизни такая задача стоит, обычно все арендное, там "кнопку жмешь спина потеет"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как сделать по уму, первый раз в жизни такая задача стоит, обычно все арендное, там "кнопку жмешь спина потеет"

Ну вот смотрите. У вас указано в AUTHORITY SECTION, что зона 233.170.185.in-addr.arpa. обслуживается NS ns1.alphanet-cy.com. Следовательно, чтобы узнать конкретный PTR нам надо к нему и обратиться. А адрес (A) мы и не получаем, только SOA.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

traceroute в конце выдает !Z (communication with destination host administratively prohibited)

чдуеса ей богу !X

 

Ну а во freebsd примерно так

8 185.170.233.1 (185.170.233.1) 132.435 ms 137.205 ms 138.887 ms

9 185.170.233.204 (185.170.233.204) 128.450 ms !Z 125.827 ms !Z 128.532 ms

!Z

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как сделать по уму, первый раз в жизни такая задача стоит, обычно все арендное, там "кнопку жмешь спина потеет"

Ну вот смотрите. У вас указано в AUTHORITY SECTION, что зона 233.170.185.in-addr.arpa. обслуживается NS ns1.alphanet-cy.com. Следовательно, чтобы узнать конкретный PTR нам надо к нему и обратиться. А адрес (A) мы и не получаем, только SOA.

в реверс допилить запись типа ns a ip.in-addr.arpa.? в книге по dns&bind такого не видел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как сделать по уму, первый раз в жизни такая задача стоит, обычно все арендное, там "кнопку жмешь спина потеет"

Ну вот смотрите. У вас указано в AUTHORITY SECTION, что зона 233.170.185.in-addr.arpa. обслуживается NS ns1.alphanet-cy.com. Следовательно, чтобы узнать конкретный PTR нам надо к нему и обратиться. А адрес (A) мы и не получаем, только SOA.

в реверс допилить запись типа ns a ip.in-addr.arpa.? в книге по dns&bind такого не видел.

Вы не поняли, вам прямую зону допилить для начала надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я мож что-то не понимаю но в прямой зоне в конце есть A записи

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я мож что-то не понимаю но в прямой зоне в конце есть A записи

Чего там понимать, пилить надо, как добъётесь показа у dig @8.8.8.8 ns1.alphanet-cy.com, так уже о регистрации реверса можно подумать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я мож что-то не понимаю но в прямой зоне в конце есть A записи

 

Вы уже 4-тый день топчетесь на одном месте.

Когда советчикам надоест объяснять азы, останетесь 1 на 1 со своими проблемами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Смею предположить, что даже гуру когда-то также топтались над чем-то ни день ни два, но не суть.

Худо-бедно резольвятся адреса ns1 ns2. Правда пришлось один адрес бросить т.к. братья киты запарили запросами.

DNSCheck остался непреклонен:

Could not find reverse address for w.x.y.z (z.y.x.w.in-addr.arpa.).

в tcpdump при попытке сделать DNSCheck наблюдаю странные запросы:

04:34:43.324852 IP ripe > ns1: 22423+ SOA? nigonsibutbovedtidafhyfudramuf.nxdomain.example.com. (69)
04:34:43.325131 IP ns1 > ripe: 22423 Refused- 0/0/0 (69)
04:36:19.297368 IP ripe > ns1: 40682+ SOA? fuvyvpasumtozevluzapkakopgaryz.nxdomain.example.com. (69)
04:36:19.297532 IP ns1 > ripe: 40682 Refused- 0/0/0 (69)

причем от запроса к запросу комбинация символов каждый раз разная.

есть идея на ripe добавить domain и посмотреть что произойдет)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Смею предположить, что даже гуру когда-то также топтались над чем-то ни день ни два, но не суть.

Худо-бедно резольвятся адреса ns1 ns2. Правда пришлось один адрес бросить т.к. братья киты запарили запросами.

DNSCheck остался непреклонен:

Could not find reverse address for w.x.y.z (z.y.x.w.in-addr.arpa.).

в tcpdump при попытке сделать DNSCheck наблюдаю странные запросы:

04:34:43.324852 IP ripe > ns1: 22423+ SOA? nigonsibutbovedtidafhyfudramuf.nxdomain.example.com. (69)
04:34:43.325131 IP ns1 > ripe: 22423 Refused- 0/0/0 (69)
04:36:19.297368 IP ripe > ns1: 40682+ SOA? fuvyvpasumtozevluzapkakopgaryz.nxdomain.example.com. (69)
04:36:19.297532 IP ns1 > ripe: 40682 Refused- 0/0/0 (69)

причем от запроса к запросу комбинация символов каждый раз разная.

есть идея на ripe добавить domain и посмотреть что произойдет)

У вас уже всё вроде нормально кроме двух вещей, если вы не поменяли после публикования конфига bind-а.

Вы запретили рекурсию всем, но разрешили кеш всем. Мало того, что это странное бескорыстие, это ещё и глупость по причине того, что кеш то будет пуст, так как никто, даже локальная сеть не сможет дать запрос на его заполнение.

Также рекомендую указать разрешение на трансфер зон на ваш slave.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну вроде, работает. В моем случае была проблема от того что "гугл" =) имена нсов не знал.

Да вы правы, в конфиге были некоторые глупости, но сейчас он имеет вид, для мастера:

// named.conf

options {
       listen-on port 53 { 127.0.0.1; ip ns1; };
#       listen-on-v6 port 53 { ::1; };
       directory       "/var/named";
       dump-file       "/var/named/data/cache_dump.db";
       statistics-file "/var/named/data/named_stats.txt";
       memstatistics-file "/var/named/data/named_mem_stats.txt";
       allow-transfer { ip ns2; 193.0.0/22;};
       allow-query     { any; };
       recursion no;
       dnssec-enable yes;
       dnssec-validation yes;
       /* Path to ISC DLV key */
       bindkeys-file "/etc/named.iscdlv.key";
       managed-keys-directory "/var/named/dynamic";
};
logging {
       channel default_debug {
               file "data/named.run";
               severity dynamic;
       };
};
zone "." IN {
       type hint;
       file "named.ca";
};
zone "domain.com" {
   type master;
   file "db.domain.com";   
};
zone "123.234.123.in-addr.arpa" {
   type master;
   file "db.123.234.123";
};
zone "234.123.234.in-addr.arpa" {
   type master;
   file "db.234.123.234"; 
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

Для зон конфиги не менял, только имена сделал покороче, внутри все также.

Для кэша я так думаю собирать надо другой нс сервер, но это уже совсем другая история, единственное я так не могу понять:

10:55:39.360153 IP ripe > ns1: 24530 NS? 123.234.123.in-addr.apra. (42)
10:55:39.360616 IP ns1 > ripe: 24530 Refused- 0/0/0 (42)

на пустой запрос NS? тоже ответ Refused

Изменено пользователем PhantomGT

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.