Tôi đang thử nâng cấp máy chủ Debian 10 lên Debian 11.
Máy chủ chạy bind9 dưới dạng DNS có thẩm quyền chính cho một số miền và trên Debian 10 đã hoạt động tốt trong hai năm. (BIND v.9.11.5)
Trong thử nghiệm mới Debian 11 VPS (BIND 9.16.15), với các tệp cấu hình dành riêng cho trang web được sao chép qua (hiện chỉ dành cho 1 miền thử nghiệm), bind9 hoạt động bình thường khi các truy vấn (A, AAAA, MX) được gửi qua IPv4, nhưng không có phản hồi khi sử dụng IPv6.
Tôi có tường lửa nftables cho phép các gói đến cho cổng 53 và nếu tôi bật ghi nhật ký tường lửa cho UDP dport 53 thì tất cả các gói truy vấn IPv6 và IPv4 đều được hiển thị.
Khi bind9 khởi động, nó báo cáo trong nhật ký hệ thống rằng nó đang lắng nghe địa chỉ IPv6.
ss hiển thị quá trình nghe trên IPv6.
nếu tôi sử dụng truy vấn rndc và xem tệp nhật ký, các truy vấn IPv4 được ghi lại, nhưng các truy vấn IPv6 thì không.
Như thể các gói UDP đến đang bị mất giữa tường lửa và bind9.
Không có quá trình nào khác đang lắng nghe trên cổng 53, bởi vì nếu tôi dừng bind9 chạy, ss sẽ không liệt kê gì.
Các dịch vụ khác (ví dụ: SSH) hoạt động hoàn hảo trên IPv6.
Của tôi tên.conf.options trông như thế này:
tùy chọn {
thư mục "/var/cache/bind";
allow-query-cache { không; };
cho phép truy vấn { bất kỳ; };
đệ quy không;
//================================================ =========================
// Nếu BIND ghi thông báo lỗi về khóa gốc đã hết hạn,
// bạn sẽ cần cập nhật khóa của mình. Xem https://www.isc.org/bind-keys
//================================================ =========================
tự động xác thực dnssec;
cổng nghe trên v6 53 { bất kỳ; };
};
Vậy tôi có thể làm những xét nghiệm nào khác để giải quyết vấn đề này?
(Có một vấn đề thứ hai với BIND có thể không liên quan: lỗi "quyền bị từ chối" trong quá trình chuyển vùng sang DNS phụ.)
