NAMED

Автор vlvasya, 13 Апреля 2011, 15:22

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

vlvasya

13 Апреля 2011, 15:22 Последнее редактирование: 13 Апреля 2011, 15:25 от vlvasya
всем привет!

Система Fedora 13 (rfremix), named - bind 9.7
вот мой /etc/named.conf

//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//

options {
        listen-on port 53 { 127.0.0.1; 10.168.5.1; };
        listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { localhost; 10.168.5.0/24;};
        recursion yes;

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "." IN {
        type hint;
        file "named.ca";
};

include "/etc/named.rfc1912.zones";

zone "work.net" IN {
             type master;
             file "named.work";
     };

вот /var/named/named.work

$TTL    86400
@       IN      SOA     ns1.work.net. admin.geo-a.kz. (
                             1194087297      ; Serial
                             10800   ; Refresh
                             3600    ; Retry
                             604800  ; Expire
                             10800 ) ; Minimum

        work.net.       IN NS    ns1.work.net.
        ns1.work.net.   IN A     10.168.5.1
        work.net.       IN A     10.168.5.1
        www             IN CNAME work.net.
        v1              IN A     10.168.5.55
        s1              IN A     10.165.5.100

a вот что происходит при service named restart

[root@local ~]# service named restart
Stopping named:                                            [  OK  ]
Starting named:
Error in named configuration:
zone localhost.localdomain/IN: loaded serial 0
zone localhost/IN: loaded serial 0
zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0
zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0
zone 0.in-addr.arpa/IN: loaded serial 0
named.work:9: unknown RR type 'work.net.'
named.work:10: unknown RR type 'ns1.work.net.'
named.work:11: unknown RR type 'work.net.'
named.work:12: unknown RR type 'www'
named.work:13: unknown RR type 'v1'
named.work:14: unknown RR type 's1'
zone work.net/IN: loading from master file named.work failed: unknown class/type
zone work.net/IN: not loaded due to errors.
_default/work.net/IN: unknown class/type
                                                           [FAILED]


ничего не понимаю, что не так? сегодня все работало (добавил запись s1 IN A 10.165.5.100 в /var/named/named.work) и оно сломалось





Vicpo

13 Апреля 2011, 20:00 #1 Последнее редактирование: 13 Апреля 2011, 20:01 от Vicpo
как вариант проверить наличие спец символов, в mc их обычно хорошо видно и кстати после смены/добавления/удаления записи надо серийный номер менять у зоны

vlvasya

14 Апреля 2011, 09:18 #2 Последнее редактирование: 14 Апреля 2011, 09:27 от vlvasya
Цитата: Vicpo от 13 Апреля 2011, 20:00как вариант проверить наличие спец символов, в mc их обычно хорошо видно и кстати после смены/добавления/удаления записи надо серийный номер менять у зоны
спасибо, дело было в спецсимволах, смена серийника не помогла (спасибо за подсказку, не знал), редактор mc крут (всегда nano использовал)





vlvasya

15 Апреля 2011, 09:19 #3 Последнее редактирование: 15 Апреля 2011, 09:21 от vlvasya
Есть еще вопрос, на том же сервере работает ejabberd, как должна выглядеть srv-запись, чтобы можно было подключаться к серверу work.net?
пока подключаемся к серверу 10.168.5.1, с такими JID: username@10.168.5.1





Vicpo

15 Апреля 2011, 09:45 #4 Последнее редактирование: 15 Апреля 2011, 09:46 от Vicpo
_xmpp-server._tcp.my-jabber.kz. 3600 IN SRV 20 10 5269 xmpp-server.kz.
_xmpp-client._tcp.my-jabber.kz. 3600 IN SRV 20 [i]10[/i] 5222 xmpp-server.kz.
_jabber._tcp.my-jabber.kz. 3600 IN SRV 20 [i]10[/i] 5269 xmpp-server.kz.

vlvasya

Цитата: Vicpo от 15 Апреля 2011, 09:45_xmpp-server._tcp.my-jabber.kz. 3600 IN SRV 20 10 5269 xmpp-server.kz.
_xmpp-client._tcp.my-jabber.kz. 3600 IN SRV 20 [i]10[/i] 5222 xmpp-server.kz.
_jabber._tcp.my-jabber.kz. 3600 IN SRV 20 [i]10[/i] 5269 xmpp-server.kz.
спасибо. только без [i][/i] ;-)

_xmpp-server._tcp.my-jabber.kz. 3600 IN SRV 20 10 5269 xmpp-server.kz.
_xmpp-client._tcp.my-jabber.kz. 3600 IN SRV 20 10 5222 xmpp-server.kz.
_jabber._tcp.my-jabber.kz. 3600 IN SRV 20 10 5269 xmpp-server.kz.





vlvasya

итак нужен просто кэширующий dns (пробовал на Fedora 13, Fedora 14. CentOS 6.1 вообще по ssh не пустил, хотя selinux вырублен)

[root@fedora ~]# yum install caching-nameserverвстает без проблем

[root@fedora ~]# service named restart
Stopping named: .                                          [  OK  ]
Starting named:                                            [  OK  ]

[root@fedora ~]# cat /etc/resolv.conf
nameserver 127.0.0.1

на всякий случай:
[root@fedora ~]# cat /etc/named.conf
//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//

options {
        listen-on port 53 { 127.0.0.1;10.168.5.1; };
        listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { localhost;10.168.5.0/24; };
        recursion yes;

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "." IN {
        type hint;
        file "named.ca";
};

include "/etc/named.rfc1912.zones";

[root@fedora ~]# nslookup xmpp.kz
;; connection timed out; no servers could be reached

что не так?





Zhan

service named restart

ps ax | grep named
А нынешние дураки ничем не хуже своих предков..:)

vlvasya

21 Декабря 2011, 14:04 #8 Последнее редактирование: 21 Декабря 2011, 14:11 от vlvasya
[root@fedora yum.repos.d]# ps ax | grep named
16103 ?        Ssl    0:00 /usr/sbin/named -u named
16113 pts/0    S+     0:00 grep named

однако я, не врубаюсь в вывод...





Vicpo

named запущен под пользователем named - pid процесса 16103

Zhan

а в iptables разрешены udp 53 и tcp 53?
А нынешние дураки ничем не хуже своих предков..:)

vlvasya

Цитата: Vicpo от 21 Декабря 2011, 14:36named запущен под пользователем named - pid процесса 16103
а это хорошо и плохо? как то не очень понятно для меня суть данного...

[quote name='Zhan']
а в iptables разрешены udp 53 и tcp 53?
[/quote]

[root@fedora ~]# cat /etc/sysconfig/iptables
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING ! -d 10.168.5.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 10.168.5.1:3128
-A PREROUTING ! -d 10.168.5.0/24 -i eth1 -p tcp -m multiport --dports 2041,2042 -j DNAT --to-destination 10.168.5.1:3128
-A POSTROUTING -s 10.168.5.0/24 -o eth0 -j MASQUERADE
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [98:16908]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 901 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 88 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -i eth0 -p gre -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 1723 -j ACCEPT
-A FORWARD -j RH-Firewall-1-INPUT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -i ppp0 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o ppp0 -j ACCEPT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth1 -j ACCEPT
-A RH-Firewall-1-INPUT -s 10.168.5.0/24 -j ACCEPT
-A RH-Firewall-1-INPUT -d 10.168.5.0/24 -j ACCEPT
COMMIT





vlvasya

вот еще до кучи...
[root@fedora ~]# /etc/init.d/named status
version: 9.7.3-P1-RedHat-9.7.3-2.P1.fc13
CPUs found: 1
worker threads: 1
number of zones: 19
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF
recursive clients: 0/0/1000
tcp clients: 0/100
server is up and running
named (pid  16103) is running...

telnet 127.0.0.1 53
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.

Connection closed by foreign host.





Zhan

21 Декабря 2011, 15:48 #13 Последнее редактирование: 21 Декабря 2011, 15:50 от Zhan
Во первых, зачем правила, если у вас INPUT ACCEPT и FORWARD ACCEPT  http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/blush.gif\' class=\'bbc_emoticon\' alt=\':blush:\' />
Во вторых
Цитироватьа это хорошо и плохо? как то не очень понятно для меня суть данного...
- это нормально. т.е. named - работает!

Ну и наконец касательно named:

добавьте в /etc/named.conf после recursuon yes; строку forwarders { ip_dns_provaidera; };
затем service named restart и проверьте
А нынешние дураки ничем не хуже своих предков..:)

vlvasya

21 Декабря 2011, 16:35 #14 Последнее редактирование: 21 Декабря 2011, 16:39 от vlvasya
Цитата: Zhan от 21 Декабря 2011, 15:48Во первых, зачем правила, если у вас INPUT ACCEPT и FORWARD ACCEPT  http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/blush.gif\' class=\'bbc_emoticon\' alt=\':blush:\' />
Во вторых  - это нормально. т.е. named - работает!

Ну и наконец касательно named:

добавьте в /etc/named.conf после recursuon yes; строку forwarders { ip_dns_provaidera; };
затем service named restart и проверьте
про iptables, я еще отдельно спрошу (пользуюсь по принципу "работает - не трогай!", понимаю не все аспекты его работы)
про named...
тут вообще фигня, конфиг не правил, заново прописал 127.0.0.1 в resolv.conf и оно стало резолвить о_О ... не понятно.
есть сразу еще вопрос, вот я сделал так - в named.conf добавил
// blogger.com zone
zone "blogger.com" IN {
    type master;
    notify no;
    file "blogger.com.zone";
    allow-update { none; };
};

сам blogger.com.zone
$TTL 86400
$ORIGIN blogger.com.
@ IN SOA ns1.google.com. dns-admin.google.com. (
2011010100 ; serial
3H ; refresh
15M ; retry
1W ; expire
1D ) ; minimum
 
NS ns1.google.com.
NS ns2.google.com.
NS ns3.google.com.
NS ns4.google.com.
 
MX 10 gmr-smtp-in.l.google.com.
TXT "v=spf1 include:_netblocks.google.com -all"
 
@ A 212.154.168.240
A 212.154.168.241
A 212.154.168.242
A 212.154.168.243
 
*.blogger.com. A 212.154.168.240
A 212.154.168.241
A 212.154.168.242
A 212.154.168.243

вопрос: если я впишу forwarders { ip_dns_provaidera; }; а на клиентской машине dns будет настроен на мой локальный сервер, откуда будет браться ip blogger.com с ip_dns_provaidera или с локальной зоны? и имеет ли вообще смысл использовать forwarders, если я сам расписываю dns-зоны?





Zhan

брать будет с твоего сервака а не от прова, так как ты эту зону держишь...
ты же не все зоны расписываешь ))) forwarders для зон - о которых не знает твой named
А нынешние дураки ничем не хуже своих предков..:)

vlvasya

сегодня добавил forwarders, и вот:
[root@fedora ~]# service named restart
Stopping named: .............                              [FAILED]
Starting named: named: already running                     [  OK  ]
[root@fedora ~]# service named stop
Stopping named: .............                              [FAILED]
[root@fedora ~]# service named restart
Stopping named: .............                              [FAILED]
Starting named: named: already running                     [  OK  ]
[root@fedora ~]#
как его рестартнуть?





hedgeven

можно и killall named выполнить, но лучше по логам глянуть почему не возможно остановить сервис.

да, killall -HUP named по идее, должен заставить перечитать конфиги.
Jah will give us everything...