Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - tridster

Stran: [1]
1
Server / Re:Autoritativní DNS server Bind pro PTR
« kdy: 24. 06. 2022, 08:42:48 »
Update je takový, že tu změnu jsem byl nakonec nucen revertovat. Pokud jsem se doptal explicitně mého namesereru, tak odpověděl, respektive, občas odpověděl, ale občas jsem měl timeout, ačkoli v logu jsem vždy viděl, že dotaz dorazil.

Nicméně na prostý dotaz bez specifikace name serveru, už jsem žádnout odpověď nedostal.

Čili, jsem zony zpět přejmenoval a opět povolil rekurzi, abych alespoň fungoval.

Díky za to RFC, přečtu si jej v klidu o víkendu.

2
Server / Re:Autoritativní DNS server Bind pro PTR
« kdy: 23. 06. 2022, 12:08:32 »
Děkuji všem za reakci.

Vskutku pokud tu zonu zkratim z:
Kód: [Vybrat]
128/27.XXX.YYY.ZZZ.in-addr.arpana:
Kód: [Vybrat]
XXX.YYY.ZZZ.in-addr.arpaTak to vážně chodí. Nevím proč mne vlastně takové banální řešení nenapadlo hned. Měl jsem nevím proč za to, že ten zápis zóny musí být stejný jako je v té delegaci u providera.

Děkuji ještě jednou všem.

3
Server / Re:Autoritativní DNS server Bind pro PTR
« kdy: 22. 06. 2022, 14:40:24 »
Dobrý den,

konfigurace v named.conf:

Kód: [Vybrat]
options {
        listen-on port 53 { any; };
        listen-on-v6 { any; };
        auth-nxdomain no;
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        dnssec-validation auto;
        allow-transfer { none; };
        allow-query { any; };
};

include "/etc/rndc.key";
include "/etc/named.zones";

controls {
        inet 127.0.0.1 allow { localhost; } keys { "rndc-key"; };
};

statistics-channels {
          inet 10.180.47.104 port 8081 allow { any; };
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };

        channel dns_log {
                file "/var/log/dns.log";
                severity dynamic;
                print-category yes;
                print-severity yes;
                print-time yes;
        };

        channel queries_log {
                file "/var/log/queries.log";
                severity dynamic;
                print-category yes;
                print-severity yes;
                print-time yes;
        };

        channel security_file {
                file "/var/log/security.log";
                severity dynamic;
                print-time yes;
        };
        channel resolver_file {
                file "/var/log/resolver.log";
                severity dynamic;
                print-time yes;
        };

        category queries  { queries_log; };
        category default  { dns_log; };
        category security { security_file; };
        category resolver { resolver_file; };

};


v named.zones:

Kód: [Vybrat]
zone "128/27.XXX.YYY.ZZZ.in-addr.arpa"  {
  type master;
  file "db.XXX.YYY.ZZZ.in-addr.arpa";
  allow-update { none; };
};

a zone file:

Kód: [Vybrat]
$TTL            600
@               IN      SOA     ns01.mujserver.xz. root.mujserver.xz. ( 2022062001 8H 2H 2W 1D )
@               IN      NS      ns01.mujserver.xz.
@               IN      NS      ns02.mujserver.xz.

129             IN      PTR     web1.mujserver.xz.

4
Server / Re:Autoritativní DNS server Bind pro PTR
« kdy: 22. 06. 2022, 13:29:39 »
Díky moc za komentář. Problém je, že se jedná o veřejný rozsah, kdy samozřejmě, já nejsem vlastníkem celého Cčka ale mám jen část:

tzn v RIPE je pro ZZZ.YYY.XXX.0/24 uvedena zona XXX.YYY.ZZZ.in-addr.arpa je na NS providera. Provider nastavil delegaci pro:

Kód: [Vybrat]
128/27.XXX.YYY.ZZZ.in-addr.arpa nameserver ns01.mujserver.xz
128/27.XXX.YYY.ZZZ.in-addr.arpa nameserver ns02.mujserver.xz

A CNAME pro všechny moje přidělené adresy:

Kód: [Vybrat]
129.XXX.YYY.ZZZ.in-addr.arpa.  64322   CNAME   129.128/27.XXX.YYY.ZZZ.in-addr.arpa.
130.XXX.YYY.ZZZ.in-addr.arpa.  64322   CNAME   129.128/27.XXX.YYY.ZZZ.in-addr.arpa.
...
atd

následně já mám na obou serverech vytvořenou zonu:
Kód: [Vybrat]
128/27.XXX.YYY.ZZZ.in-addr.arpa
ve které už mám ty konkrétní IP adresy a k ním reverzní záznamy ve tvaru:

Kód: [Vybrat]
129   IN   PTR web1.mujserver.cz.
Nicméně dokud nezapnu rekurzi, tak ten server neresolvuje, ale je autoritativní tak hádám, že vlastně i díky té delegaci by měl být jediný, kdo je schopný odpovědět.

Otázka tedy je, jestli je ta delegace správně a jestli v případě té delegace musí být povolena rekurze, ačkoli nechápu proč, nebo prostě ten bind neakceptuje tento zápis, ale to bych zase očekával, že zhavaruje již při restartu služby..

5
Server / Autoritativní DNS server Bind pro PTR
« kdy: 22. 06. 2022, 08:36:51 »
Dobrý den,

rád bych požádal o radu ohledně bind serveru. Je možné že jsem jen dosud nepochopil souvislosti, ale třeba mi to dojde po této diskuzi.

Mám dva autoritativní name servery,  oba mají bind 9.13. Nejsou ve vztahu master-slave, jsou oba master a každý se konfiguruje zvlášť, ale v zásadě je ten konfig stejný. Proč to tak je, bych teď nerad probíral.

Servery jsou veřejné a hostují zakoupené zóny. Od poskytovatele internetu mám i delegaci pro PTR, tudíž hostuji i PTR zónu pro moje veřejné adresy.

V bindu mám explicitně řečeno na obou serverech:

Kód: [Vybrat]
allow-query { any; };

Nicméně, v logu obou bind serverů vidím:

Kód: [Vybrat]
query REFUSED
na jakýkoli PTR dotaz, dokud nepovolím rekurzi:

Kód: [Vybrat]
recursion yes;
Je toto správné chování. Nebo mám prostě jen špatně nadefinovanou tu reverzní zónu? Spíš mi jde o tu úvahu. Případně konfig mohu zaslat taky.

Díky za jakoukoli reakci.

Stran: [1]