Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    BIND для домена

    Russian
    3
    10
    1865
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      poteh last edited by

      Добрый день, коллеги.

      PFSense 2.3.2_1. Установил пакет BIND чтобы обслуживать свою доменную зону. Прописал ns сервера у регистратора, но адрес так и не резолвится. Проверяю сервисом intodns.com - пишет "WARNING: One or more of your nameservers did not return any of your NS records. ERROR: One or more of your nameservers did not respond: The ones that did not respond are: мой_ip".
      Я так понимаю, что запросы приходят к бинду, но тот говорит что ничего не знает про этот домен. Никак не пойму где и что не правильно прописал.

      Привожу настройки:

      
      Settings:
      Enable BIND: [X]
      IP Version: IPv4
      Listen on: OPT1, loopback
      Enable Notify: [ ]
      Hide Version: [X] 
      Linit Memory Use: 256M
      
      ACLs:
      Name: localnets
      IP: 10.168.0.0/16
      
      Name: Ext
      IP: !localnets
      
      Views: 
      View Name: External
      Recursion: No
      match-clients: localhost, Ext
      
      Zones:
      Zone Type: Master
      View: External
      Reserse Zone: [ ]
      IPv6 Reverse Zone: [ ]
      TTL: 7200
      Name Server: ns1.poteh.pp.ua
      Base Domain IP: 83.220.254.35
      Mail Admin Zone: admin.poteh.pp.ua
      Serial: 2484132592
      Refresh: 1d
      Retry: 2h
      Expire: 4w
      Minimum: 1h
      allow-query: localhost, Ext
      allow-transfer: none
      Zone Domain records:
      Record: ns1; Type: A; IP adress: 83.220.254.35
      
      
      1 Reply Last reply Reply Quote 0
      • werter
        werter last edited by

        Доброе
        А прохождение трафика извне на 53-ий порт разрешили?

        1 Reply Last reply Reply Quote 0
        • P
          poteh last edited by

          конечно, 53 порт открыт, повесил на 127.0.0.1. доходило до паранойи, что помимо 53 другие порты хочет, открывал все порты - результат тот же.

          1 Reply Last reply Reply Quote 0
          • werter
            werter last edited by

            Скрины настроек bind , правил fw на ЛАН, WAN покажите.

            Listen on: OPT1, loopback

            Выберите временно все интерфейсы.

            1 Reply Last reply Reply Quote 0
            • P
              poteh last edited by

              Добавил LAN в Listen On BIND'a. Привожу скрины настроек.
















              1 Reply Last reply Reply Quote 0
              • werter
                werter last edited by

                Правила fw на LAN, OPT1 - в dest LAN address, OPT1 address (или This firewall), а не 127.0.0.1.  Правило для доступа к веб-фейсу на ОПТ1 аналогично поправьте (dest - OPT1 address)
                И для DNS исп. оба протокола - tcp + udp. Поправьте.

                1 Reply Last reply Reply Quote 0
                • P
                  poteh last edited by

                  @werter:

                  Правила fw на LAN, OPT1 - в dest LAN address, OPT1 address (или This firewall), а не 127.0.0.1.  Правило для доступа к веб-фейсу на ОПТ1 аналогично поправьте (dest - OPT1 address)

                  Не уверен что понял правильно… Для 53 порта исправил правило, в качестве dest указал This Firewall. Но для 80 порта настроен port forwarding, где dest - opt1 adress. Сейчас, как временная мера, он направляет на сам файрвол, но в дальнейшем будет перенаправлять на другую машину в сети.

                  @werter:

                  И для DNS исп. оба протокола - tcp + udp. Поправьте.

                  Поправил, но не зажило.




                  1 Reply Last reply Reply Quote 0
                  • P
                    PbIXTOP last edited by

                    Читал и не увидел главного, а отключили ли вы втроенные DNS сервера pfSense'a? DNS Resolver и DNS Forwader.
                    И чем вас не устроило создание зоны на основе встроенных DNS серверов?

                    1 Reply Last reply Reply Quote 0
                    • P
                      poteh last edited by

                      DNS Resolver отключён, DNS Forwader включён, но слушает только LAN.
                      А разве встроенные DNS сервера не занимаются только тем, что форвардят DNS в локальную сеть? Или они могут держать свою DNS зону? Переопределить зону на другой ип вижу, можно. К тому же ни в DNS Resolver, ни в DNS Forwader не вижу указания master\slave и serial.
                      Для чистоты эксперимента отключил DNS Forwader, пока без изменений.

                      1 Reply Last reply Reply Quote 0
                      • P
                        PbIXTOP last edited by

                        @poteh:

                        DNS Resolver отключён, DNS Forwader включён, но слушает только LAN.
                        А разве встроенные DNS сервера не занимаются только тем, что форвардят DNS в локальную сеть? Или они могут держать свою DNS зону? Переопределить зону на другой ип вижу, можно. К тому же ни в DNS Resolver, ни в DNS Forwader не вижу указания master\slave и serial.
                        Для чистоты эксперимента отключил DNS Forwader, пока без изменений.

                        Как не странно встроенные это умеют главное задаться вопросом.
                        Вот пример выдержки из MAN по dnsmasq

                        –auth-zone=<domain>[,<subnet>[/<prefix length="">][,<subnet>[/<prefix length="">]…..]]
                            Define a DNS zone for which dnsmasq acts as authoritative server. Locally defined DNS records which are in the domain will be served. If subnet(s) are given, A and AAAA records must be in one of the specified subnets.

                        As alternative to directly specifying the subnets, it's possible to give the name of an interface, in which case the subnets implied by that interface's configured addresses and netmask/prefix-length are used; this is useful when using constructed DHCP ranges as the actual address is dynamic and not known when configuring dnsmasq. The interface addresses may be confined to only IPv6 addresses using <interface>/6 or to only IPv4 using <interface>/4. This is useful when an interface has dynamically determined global IPv6 addresses which should appear in the zone, but RFC1918 IPv4 addresses which should not. Interface-name and address-literal subnet specifications may be used freely in the same --auth-zone declaration.

                        The subnet(s) are also used to define in-addr.arpa and ip6.arpa domains which are served for reverse-DNS queries. If not specified, the prefix length defaults to 24 for IPv4 and 64 for IPv6. For IPv4 subnets, the prefix length should be have the value 8, 16 or 24 unless you are familiar with RFC 2317 and have arranged the in-addr.arpa delegation accordingly. Note that if no subnets are specified, then no reverse queries are answered.
                        --auth-soa=<serial>[,<hostmaster>[,<refresh>[,<retry>[,<expiry>]]]]
                            Specify fields in the SOA record associated with authoritative zones. Note that this is optional, all the values are set to sane defaults.
                        –auth-sec-servers=<domain>[,<domain>[,<domain>…]]
                            Specify any secondary servers for a zone for which dnsmasq is authoritative. These servers must be configured to get zone data from dnsmasq by zone transfer, and answer queries for the same authoritative zones as dnsmasq.
                        –auth-peer=<ip-address>[,<ip-address>[,<ip-address>…]]
                            Specify the addresses of secondary servers which are allowed to initiate zone transfer (AXFR) requests for zones for which dnsmasq is authoritative. If this option is not given, then AXFR requests will be accepted from any secondary.</ip-address></ip-address></ip-address></domain></domain></domain></expiry></retry></refresh></hostmaster></serial></interface></interface></prefix></subnet></prefix></subnet></domain>

                        Ubound умеет приблизительно также — главное прочесть документацию.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post