https://www.opennet.ru/openforum/vsluhforumID1/91224.html Добрый день.<br><br>Возникли проблемы с разрешением адресов в обратной зоне, может кто сталкивался??<br>Предистория:<br>Подсеть из 16 адресов выдана провайдером, пусть например 192.168.1.0/28. Мы поднимаем у себя на Ubuntu 10.10 сервер, настраиваем DNS на bind9. Договариваемся с провайдером о делегировании нам зоны 0/28.1.168.192.in-addr.arpa. (RFC 2317)<br><br>При настройке зоны (конфиги ниже) и перезапуске bind9 сервер отказывается разрешать адреса в имена, в syslog - зона загружена успешно с таким-то серийным номером. rndc и check-zone ошибок не выдаёт.<br>Просмотрел конфиги, заменил все &lt;tab&gt; на пробелы и заработало. Зона стягивается на вторичные серверы (у провайдера), адреса разрешаются, почта уходит.<br><br>Сегодня заметили, что форвард, на который настроен наш bind некорректно разрешает ключевое для нас доменное имя, соответственно заменили форвард на правильный, но обратная зона при этом перестала работать. Проверил всё, убрал все табы, в syslog и rndc ошибок не показывает, зона не стягивается на вторичные серверы, ад https://www.opennet.ru/openforum/vsluhforumID1/91224.html#26 Wed, 23 Mar 2011 14:00:13 GMT <br>&gt; Спасибо, именно так всё и есть.<br><br>ну наконец-то )<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/91224.html#25 Wed, 23 Mar 2011 13:55:52 GMT &gt;[оверквотинг удален]<br>&gt;&gt; стягивается, серийный номер аналогичен моему.<br>&gt; ну допустим, ок.<br>&gt;&gt; Но при установке в nslookup в <br>&gt;&gt; качестве сервера моего ubuntu, он говорит, что не является авторитетным для <br>&gt;&gt; этой зоны и, соответственно, перебрасывает на форварды.<br>&gt;&gt; DNS провайдера даёт авторитетный ответ.<br>&gt; что именно запрашивается в nslookup ?<br>&gt; Ваш сервер не является авторитетным для зоны, хранящей реверс для адреса (1.1.162.198.in-addr.arpa.) <br>&gt; Ваш сервер является авторитетным для зоны, в которую указывает CNAME (1.0/28.1.162.198.in-addr.arpa.) <br>&gt; Ответ корректен ? всё ок, он и не должен быть авторитетным.<br><br>Спасибо, именно так всё и есть.<br> https://www.opennet.ru/openforum/vsluhforumID1/91224.html#24 Wed, 23 Mar 2011 12:10:44 GMT Логи перезапуска сервера bind.<br><br>Mar 23 15:03:35 mail named[15670]: received control channel command 'stop -p'<br>Mar 23 15:03:35 mail named[15670]: shutting down: flushing changes<br>Mar 23 15:03:35 mail named[15670]: stopping command channel on 127.0.0.1#953<br>Mar 23 15:03:35 mail named[15670]: stopping command channel on ::1#953<br>Mar 23 15:03:35 mail named[15670]: no longer listening on 192.168.1.1#53<br>Mar 23 15:03:35 mail named[15670]: exiting<br>Mar 23 15:03:36 mail named[15770]: starting BIND 9.7.1-P2 -u bind<br>Mar 23 15:03:36 mail named[15770]: built with '--prefix=/usr' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--sysconfdir=/etc/bind' '--localstatedir=/var' '--enable-threads' '--enable-largefile' '--with-libtool' '--enable-shared' '--enable-static' '--with-openssl=/usr' '--with-gssapi=/usr' '--with-gnu-ld' '--with-dlz-postgres=no' '--with-dlz-mysql=no' '--with-dlz-bdb=yes' '--with-dlz-filesystem=yes' '--with-dlz-ldap=yes' '--with-dlz-stub=yes' '--with-geoip=/usr' '--enable-ipv6' 'CFLAGS=-fno-str https://www.opennet.ru/openforum/vsluhforumID1/91224.html#23 Wed, 23 Mar 2011 09:41:53 GMT nslookup на сервер провайдера, разрешаем адрес 192.168.1.1<br><br>Server: ns0.isp.ru<br>Address: 1.2.3.4#53<br><br>1.1.168.192.in-addr.arpa canonical name = 1.0/28.1.168.192.in-addr.arpa.<br>1.0/28.1.168.192.in-addr.arpa name = ns.domain.ru.<br>1.0/28.1.168.192.in-addr.arpa name = mail.domain.ru.<br><br>nslookup на мой сервер, тот же адрес<br><br>Server: ns.domain.ru<br>Address: 192.168.1.1#53<br><br>Non-authoritative answer:<br>1.1.168.192.in-addr.arpa canonical name = 1.0/28.1.168.192.in-addr.arpa.<br>1.0/28.1.168.192.in-addr.arpa name = ns.domain.ru.<br>1.0/28.1.168.192.in-addr.arpa name = mail.domain.ru.<br><br>Authoritative answers can be found from:<br>0/28.1.168.192.in-addr.arpa nameserver = ns0.isp.ru.<br>0/28.1.168.192.in-addr.arpa nameserver = ns.domain.ru.<br>0/28.1.168.192.in-addr.arpa nameserver = ns1.isp.ru.<br>ns.domain.ru internet address = 192.168.1.1<br>ns0.isp.ru internet address = 1.2.3.4<br>ns1.isp.ru internet address = 1.2.3.5<br><br> https://www.opennet.ru/openforum/vsluhforumID1/91224.html#22 Wed, 23 Mar 2011 09:25:37 GMT Вот, поехали дальше.<br><br>Т.к. сервер мой указывает на то, что не является авторитетным для обратной зоны моей подсети, то при отключении рекурсии разрешение ip адресов прекращается. Может я чего не знаю и для разрешения имен в домене in-addr.arpa рекурсия критична? Повторюсь - ns провайдера сообщает, что является авторитетным, зону стягивает у меня, в ответе выдаёт, что для зоны авторитетны три сервера - один мой и два провайдерских, соответсвенно, это записи ns, которые я указал в своей зоне.<br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/91224.html#21 Wed, 23 Mar 2011 09:02:30 GMT &gt; У провайдера есть запись делегирования, в которой говорится о том, что зона <br>&gt; 0/28.1.162.198.in-addr.arpa содержится на моём сервере. Это я называю делегированием <br>&gt; провайдером мне полномочий на разрешение ip адресов в этой зоне.<br><br>должны быть соответствующие записи и в зоне 1.162.198.in-addr.arpa., а именно:<br><br>- делегирование зоны 0/28.1.162.198.in-addr.arpa. на ваши сервера<br>- склеивающие записи в зоне 1.162.198.in-addr.arpa., для каждого адреса частично делегируемого, записи вида 1.1.162.198.in-addr.arpa. CNAME 1.0/28.1.162.198.in-addr.arpa.<br><br><br>&gt; Далее существуют два dns сервера провайдера, которые являются slave для этой зоны, <br>&gt; они должны стягивать обратную зону на себя.<br>&gt; Сейчас проверил с помощью host -t SOA, серийный номер на dns серверах <br>&gt; провайдера, указал в качестве сервера dns провайдера - зона как оказалось <br>&gt; стягивается, серийный номер аналогичен моему. <br><br>ну допустим, ок.<br><br>&gt; Но при установке в nslookup в <br>&gt; качестве сервера моего ubuntu, он говорит, что не является авторите https://www.opennet.ru/openforum/vsluhforumID1/91224.html#20 Wed, 23 Mar 2011 08:53:01 GMT Ребята, я готов отвечать на все ваши вопросы, не ругайтесь. Свои адреса не называю, потому, что указал версии ОС и Bind на своём ns сервере.<br>У провайдера есть запись делегирования, в которой говорится о том, что зона 0/28.1.162.198.in-addr.arpa содержится на моём сервере. Это я называю делегированием провайдером мне полномочий на разрешение ip адресов в этой зоне. Далее существуют два dns сервера провайдера, которые являются slave для этой зоны, они должны стягивать обратную зону на себя.<br>Сейчас проверил с помощью host -t SOA, серийный номер на dns серверах провайдера, указал в качестве сервера dns провайдера - зона как оказалось стягивается, серийный номер аналогичен моему. Но при установке в nslookup в качестве сервера моего ubuntu, он говорит, что не является авторитетным для этой зоны и, соответственно, перебрасывает на форварды.<br>DNS провайдера даёт авторитетный ответ.<br> https://www.opennet.ru/openforum/vsluhforumID1/91224.html#19 Wed, 23 Mar 2011 08:27:32 GMT &gt; Стягивание зоны проверялось увеличением серйного номера и проверкой оного на ns <br>&gt; провайдера путём письменной переписки с ним.<br><br>O_o - весьма не трвиальный способ проверить трансфер )))<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/91224.html#18 Wed, 23 Mar 2011 08:25:47 GMT &gt; Всё, что вы указали dnstracer и host я запустил. И как вам <br>&gt; уже написал - ip адреса успешно разрешаются с помощью dns провайдеров. <br><br>значит у вас всё работает..<br><br><br> <br>