BIND9 - đào không thể giải quyết từ máy chủ khác

rrag

01:12, 29/04/2023

$ có tên -v
BIND 9.16.1-Ubuntu (Bản phát hành ổn định) <id:d497c32>

Tôi có 3 máy chủ được định cấu hình trong digitalocean nyc1, tất cả trong cùng một mạng con

trên server01 - Tôi đã cài đặt bind9 và định cấu hình các vùng và nó hoạt động rất tốt

server01 $ đào @10.116.16.2 -p 53 ns1.prod.nyc1.example

...
;; PHẦN TRẢ LỜI:
ns1.prod.nyc1.example. 43200 TRONG 10.116.16.2

Điều này hoạt động tốt khi tôi ở server01

từ server02 (cũng nằm trong cùng mạng con)

server02 $ đào @10.116.16.2 -p 53 ns1.prod.nyc1.example

; <<>> DiG 9.16.1-Ubuntu <<>> @10.116.16.2 -p 53 ns1.prod.nyc1.example
; (Đã tìm thấy 1 máy chủ)
;; tùy chọn chung: +cmd
;; kết nối quá hạn; không thể truy cập máy chủ

Tuy nhiên tôi có thể telnet đến nó từ server02

máy chủ02 $ telnet 10.116.16.2 53
Đang thử 10.116.16.2...
Đã kết nối với 10.116.16.2.
Ký tự thoát là '^]'.

và bây giờ khi tôi khởi động lại Sudo systemctl khởi động lại bind9 trên server01, nó ngắt kết nối trên server02

Đây là /etc/bind/named.conf.options

tùy chọn {
        thư mục "/var/cache/bind";
        đệ quy có;
        cổng nghe 53 { bất kỳ; };
        cho phép truy vấn { bất kỳ; };
        cho phép đệ quy { bất kỳ; };


        kích hoạt dnssec không;
        xác thực dnssec không;

        auth-nxdomain số; # phù hợp với RFC1035
};

bao gồm "/etc/bind/consul.conf";

Tôi đang làm gì sai? tra cứu hoạt động trên server01 nhưng từ một máy chủ khác thì không hoạt động

Tôi đã nhìn - Thiết lập DNS nội bộ [Bind9] , không thể đào từ máy khác, nhưng có thể đào cục bộ nhưng điều đó không giải quyết được vấn đề của tôi

0 + 0

Hệ Thống Tên Miền

gentoo

nội bộ-dns

vùng dns

Patrick Mevzek

04:20, 29/04/2023

telnet sử dụng TCP trong khi DNS (đào) sử dụng UDP theo mặc định cũng như TCP và sự khác biệt này có thể giải thích những gì bạn quan sát được. Hãy thử `dig +tcp` để bắt buộc kết nối TCP và nó có thể sẽ thành công, chứng tỏ rằng bạn đang lọc UDP ở đâu đó mà bạn không nên lọc.

Hồi đáp

rrag

13:36, 29/04/2023

oooh vâng cảm ơn bạn cảm ơn bạn. Đó là vấn đề. trong digitalocean, tôi có một quy tắc tường lửa để chấp nhận tất cả TCP từ bên trong mạng con đó, sau khi tôi thêm một quy tắc để chấp nhận tất cả UDP trong mạng con đó, nó sẽ hoạt động ngay bây giờ. Bạn có muốn đưa ra điều này như một câu trả lời. Vui vẻ chấp nhận nó.

Hồi đáp

Điểm:1

Server

Patrick Mevzek

16:36, 29/04/2023

mạng điện thoại sử dụng TCP trong khi DNS (đào) sử dụng UDP theo mặc định cũng như TCP và sự khác biệt này có thể giải thích những gì bạn quan sát được.

Cố gắng đào +tcp để buộc kết nối TCP và nó có thể sẽ thành công, chứng tỏ rằng bạn đang lọc UDP ở đâu đó mà bạn không nên lọc.

Xóa bộ lọc này trên UDP trong hệ thống của bạn và mọi thứ sẽ bắt đầu hoạt động như mong đợi.

0 + 0

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: BIND9 - dig is unable to resolve from different server

TH: BIND9 - การขุดไม่สามารถแก้ไขจากเซิร์ฟเวอร์อื่นได้

RO: BIND9 - dig nu se poate rezolva de la un server diferit

RU: BIND9 - dig не удается разрешить с другого сервера

VI: BIND9 - đào không thể giải quyết từ máy chủ khác

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.