BIND для домена



  • Добрый день, коллеги.

    PFSense 2.3.2_1. Установил пакет BIND чтобы обслуживать свою доменную зону. Прописал ns сервера у регистратора, но адрес так и не резолвится. Проверяю сервисом intodns.com - пишет "WARNING: One or more of your nameservers did not return any of your NS records. ERROR: One or more of your nameservers did not respond: The ones that did not respond are: мой_ip".
    Я так понимаю, что запросы приходят к бинду, но тот говорит что ничего не знает про этот домен. Никак не пойму где и что не правильно прописал.

    Привожу настройки:

    
    Settings:
    Enable BIND: [X]
    IP Version: IPv4
    Listen on: OPT1, loopback
    Enable Notify: [ ]
    Hide Version: [X] 
    Linit Memory Use: 256M
    
    ACLs:
    Name: localnets
    IP: 10.168.0.0/16
    
    Name: Ext
    IP: !localnets
    
    Views: 
    View Name: External
    Recursion: No
    match-clients: localhost, Ext
    
    Zones:
    Zone Type: Master
    View: External
    Reserse Zone: [ ]
    IPv6 Reverse Zone: [ ]
    TTL: 7200
    Name Server: ns1.poteh.pp.ua
    Base Domain IP: 83.220.254.35
    Mail Admin Zone: admin.poteh.pp.ua
    Serial: 2484132592
    Refresh: 1d
    Retry: 2h
    Expire: 4w
    Minimum: 1h
    allow-query: localhost, Ext
    allow-transfer: none
    Zone Domain records:
    Record: ns1; Type: A; IP adress: 83.220.254.35
    
    


  • Доброе
    А прохождение трафика извне на 53-ий порт разрешили?



  • конечно, 53 порт открыт, повесил на 127.0.0.1. доходило до паранойи, что помимо 53 другие порты хочет, открывал все порты - результат тот же.



  • Скрины настроек bind , правил fw на ЛАН, WAN покажите.

    Listen on: OPT1, loopback

    Выберите временно все интерфейсы.



  • Добавил LAN в Listen On BIND'a. Привожу скрины настроек.


















  • Правила fw на LAN, OPT1 - в dest LAN address, OPT1 address (или This firewall), а не 127.0.0.1.  Правило для доступа к веб-фейсу на ОПТ1 аналогично поправьте (dest - OPT1 address)
    И для DNS исп. оба протокола - tcp + udp. Поправьте.



  • @werter:

    Правила fw на LAN, OPT1 - в dest LAN address, OPT1 address (или This firewall), а не 127.0.0.1.  Правило для доступа к веб-фейсу на ОПТ1 аналогично поправьте (dest - OPT1 address)

    Не уверен что понял правильно… Для 53 порта исправил правило, в качестве dest указал This Firewall. Но для 80 порта настроен port forwarding, где dest - opt1 adress. Сейчас, как временная мера, он направляет на сам файрвол, но в дальнейшем будет перенаправлять на другую машину в сети.

    @werter:

    И для DNS исп. оба протокола - tcp + udp. Поправьте.

    Поправил, но не зажило.






  • Читал и не увидел главного, а отключили ли вы втроенные DNS сервера pfSense'a? DNS Resolver и DNS Forwader.
    И чем вас не устроило создание зоны на основе встроенных DNS серверов?



  • DNS Resolver отключён, DNS Forwader включён, но слушает только LAN.
    А разве встроенные DNS сервера не занимаются только тем, что форвардят DNS в локальную сеть? Или они могут держать свою DNS зону? Переопределить зону на другой ип вижу, можно. К тому же ни в DNS Resolver, ни в DNS Forwader не вижу указания master\slave и serial.
    Для чистоты эксперимента отключил DNS Forwader, пока без изменений.



  • @poteh:

    DNS Resolver отключён, DNS Forwader включён, но слушает только LAN.
    А разве встроенные DNS сервера не занимаются только тем, что форвардят DNS в локальную сеть? Или они могут держать свою DNS зону? Переопределить зону на другой ип вижу, можно. К тому же ни в DNS Resolver, ни в DNS Forwader не вижу указания master\slave и serial.
    Для чистоты эксперимента отключил DNS Forwader, пока без изменений.

    Как не странно встроенные это умеют главное задаться вопросом.
    Вот пример выдержки из MAN по dnsmasq

    –auth-zone=<domain>[,<subnet>[/<prefix length="">][,<subnet>[/<prefix length="">]…..]]
        Define a DNS zone for which dnsmasq acts as authoritative server. Locally defined DNS records which are in the domain will be served. If subnet(s) are given, A and AAAA records must be in one of the specified subnets.

    As alternative to directly specifying the subnets, it's possible to give the name of an interface, in which case the subnets implied by that interface's configured addresses and netmask/prefix-length are used; this is useful when using constructed DHCP ranges as the actual address is dynamic and not known when configuring dnsmasq. The interface addresses may be confined to only IPv6 addresses using <interface>/6 or to only IPv4 using <interface>/4. This is useful when an interface has dynamically determined global IPv6 addresses which should appear in the zone, but RFC1918 IPv4 addresses which should not. Interface-name and address-literal subnet specifications may be used freely in the same --auth-zone declaration.

    The subnet(s) are also used to define in-addr.arpa and ip6.arpa domains which are served for reverse-DNS queries. If not specified, the prefix length defaults to 24 for IPv4 and 64 for IPv6. For IPv4 subnets, the prefix length should be have the value 8, 16 or 24 unless you are familiar with RFC 2317 and have arranged the in-addr.arpa delegation accordingly. Note that if no subnets are specified, then no reverse queries are answered.
    --auth-soa=<serial>[,<hostmaster>[,<refresh>[,<retry>[,<expiry>]]]]
        Specify fields in the SOA record associated with authoritative zones. Note that this is optional, all the values are set to sane defaults.
    –auth-sec-servers=<domain>[,<domain>[,<domain>…]]
        Specify any secondary servers for a zone for which dnsmasq is authoritative. These servers must be configured to get zone data from dnsmasq by zone transfer, and answer queries for the same authoritative zones as dnsmasq.
    –auth-peer=<ip-address>[,<ip-address>[,<ip-address>…]]
        Specify the addresses of secondary servers which are allowed to initiate zone transfer (AXFR) requests for zones for which dnsmasq is authoritative. If this option is not given, then AXFR requests will be accepted from any secondary.</ip-address></ip-address></ip-address></domain></domain></domain></expiry></retry></refresh></hostmaster></serial></interface></interface></prefix></subnet></prefix></subnet></domain>

    Ubound умеет приблизительно также — главное прочесть документацию.


Log in to reply