Problema com DNS interno [RESOLVIDO]

marcoscarraro
(usa CentOS)

Enviado em 19/08/2010 - 11:47h

Eae galera acabei de configurar o meu DNS interno, mas estou com
alguns problemas.

Consigo pingar contra sites tudo normal, sempre há resposta.
Mas não consigo pingar o meu cliente, e o cliente não pinga o
servidor, não pinga o nome blz, pois o IP pinga normal.
alterei o arquivo resolv.conf para ter como DNS o servidor, tudo blz.


Segue configuração do DNS.
#----------------------------------------------------------------------------------------------------
/etc/bind/named.conf.local

//Rede interna
//Definindo a zona:
zone "redelocal" {
type master;
file "/etc/bind/db.redelocal";
};

//Definindo zona reversa:
zone "0.0.10.in-addr.arpa" {
type master;
file "/etc/bind/db.rev.0.0.10.in-addr.arpa";
};

#-----------------------------------------------------------------------------------------------------------

/etc/bind/db.redelocal

$TTL 604800
@ IN SOA redelocal. admin.redelocal. (
2010030114 ; Serial YYYYMMDDHH
7200 ; Refresh
120 ; Retry
2419200 ; Expire
604800 ; Default TTL
)
@ IN NS ns1.redelocal.

redelocal. IN MX 10 mail.redelocal ;
redelocal. IN A 10.0.0.1 ; IP do servidor
www IN CNAME redelocal. ;
mail IN A 10.0.0.1 ;

#----------------------------------------------------------------------------------------------------------------

/etc/bind/db.rev.0.0.10.in-addr.arpa

$TTL 604800;
$ORIGIN 0.0.10.IN-ADDR.ARPA.
@ IN SOA ns1.redelocal. admin.redelocal. (
2010030114 ; Serial YYYYMMDDHH
7200 ; Refresh
120 ; Retry
2419200 ; Expire
604800 ; Default TTL
)
IN NS ns1.redelocal.
1 IN PTR ns1.redelocal.

#-------------------------------------------------------------------------------------------------------------------


Se eu estiver errado me corrijam, mas minha ideia é configurar o DNS
interno para resolver o nome de sites externos, pode acessar o micros
pelo nome e pingar o mesmos, e um provável futuro servidor web
interno.

irado
(usa XUbuntu)

Enviado em 19/08/2010 - 11:54h

abra dois terminais; em um dêles vc digita:

$ sudo tail -fn 50 /var/log/messages

no outro, vc "mata" o processo do named e restabelece-o, enquanto observa o outro terminal.

se NÃO houverem mensagens de êrro:

netstat -nltp --> verifique se o named está "escutando" na porta 53 e QUAL ip está usando; se estiver 0.0.0.0 tudo bem.

se estiver escutando:

$ dig @127.0.0.1 vivaolinux.com.br soa +multiline e observe a resposta; se houver êrro, informe-nos.

marcoscarraro
(usa CentOS)

Enviado em 19/08/2010 - 13:43h

Irado, fiz os testes.
no messages não obtive erro, matando o named.
quando fiz o dig, rolou tudo certo, mas uma coisa me chamou atenção quando fui ver as portas esta com dois ips escutando na porta 53 o localhost 127.0.0.1:53 e o meu ip da placa conectada a rede local 10.0.0.1:53

Quando vou no meu client XP e rodo o comando nslookup ele não me da o servidor padrão so o address.

(alterado 13:50)

Irado, não pode ser problema com permissão?? pois o bind tem que criar alguns arquivos para o dns algo assim. Vou fazer alguns testes, se der certo eu escrevo aqui.

(alterado 14:04)

Fiz modificações do local do db.... e nada, o micro ainda não pinga por nome o servidor e vice versa. erro que eu percebi.

Aug 19 13:58:41 server pulseaudio[1536]: pid.c: Daemon already running.
Aug 19 13:59:39 server named[1046]: error (network unreachable) resolving 'micro34.10.0.0.1/A/IN': 2001:500:2f::f#53
Aug 19 13:59:44 server AptDaemon: INFO: Initializing daemon
Aug 19 14:01:07 server NetworkManager: <info> Unmanaged Device found; state CONNECTED forced. (see http://bugs.launchpad.net/bugs/191889)
Aug 19 14:01:09 server named[1046]: error (network unreachable) resolving 'www.guiadohardware.net/AAAA/IN': 2001:500:3::42#53
Aug 19 14:01:09 server named[1046]: error (network unreachable) resolving 'ocsp.thawte.com/AAAA/IN': 2001:503:231d::2:30#53
Aug 19 14:01:10 server named[1046]: error (network unreachable) resolving 'adserver.ig.com.br.10.0.0.1/AAAA/IN': 2001:7fd::1#53
Aug 19 14:01:10 server named[1046]: error (network unreachable) resolving 'adserver.ig.com.br.10.0.0.1/AAAA/IN': 2001:503:c27::2:30#53
Aug 19 14:01:10 server named[1046]: error (network unreachable) resolving 'f2.nstld.com/AAAA/IN': 2001:503:a83e::2:31#53
Aug 19 14:01:11 server named[1046]: error (network unreachable) resolving 'volcon.org/AAAA/IN': 2001:500:c::1#53
Aug 19 14:01:11 server named[1046]: error (network unreachable) resolving 'volcon.org/AAAA/IN': 2001:500:48::1#53
Aug 19 14:01:11 server named[1046]: error (network unreachable) resolving 'volcon.org/AAAA/IN': 2001:500:e::1#53
Aug 19 14:01:11 server named[1046]: error (network unreachable) resolving 'volcon.org/AAAA/IN': 2001:500:40::1#53
Aug 19 14:01:11 server named[1046]: error (network unreachable) resolving 'volcon.org/AAAA/IN': 2001:500:b::1#53
Aug 19 14:01:11 server named[1046]: error (network unreachable) resolving 'volcon.org/AAAA/IN': 2001:500:f::1#53
Aug 19 14:01:11 server named[1046]: error (network unreachable) resolving 'h2.nstld.com/A/IN': 2001:503:83eb::2:31#53
Aug 19 14:01:16 server named[1046]: error (network unreachable) resolving 'www.polos.com.br/AAAA/IN': 2001:12f8:1::10#53
Aug 19 14:01:18 server named[1046]: error (network unreachable) resolving 'pdns6.ultradns.co.uk/AAAA/IN': 2001:630:181:35::83#53
Aug 19 14:01:18 server named[1046]: error (network unreachable) resolving 'pdns6.ultradns.co.uk/A/IN': 2a01:40:1001:35::2#53
Aug 19 14:01:18 server named[1046]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1c::1#53
Aug 19 14:01:19 server named[1046]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:6::79#53
Aug 19 14:01:19 server named[1046]: error (network unreachable) resolving 'secure-us.imrworldwide.com/A/IN': 2001:502:f3ff::1#53
Aug 19 14:01:19 server kernel: [ 214.321290] eth1: link down
Aug 19 14:01:19 server NetworkManager: <info> (eth1): carrier now OFF (device state 1)
Aug 19 14:01:20 server named[1046]: DNS format error from 91.198.174.4#53 resolving pt.wikipedia.org/AAAA for client 10.0.0.1#56173: invalid response
Aug 19 14:01:20 server named[1046]: error (FORMERR) resolving 'pt.wikipedia.org/AAAA/IN': 91.198.174.4#53
Aug 19 14:01:20 server named[1046]: DNS format error from 208.80.152.130#53 resolving pt.wikipedia.org/AAAA for client 10.0.0.1#56173: invalid response
Aug 19 14:01:20 server named[1046]: error (FORMERR) resolving 'pt.wikipedia.org/AAAA/IN': 208.80.152.130#53
Aug 19 14:01:21 server named[1046]: DNS format error from 208.80.152.142#53 resolving pt.wikipedia.org/AAAA for client 10.0.0.1#56173: invalid response
Aug 19 14:01:21 server named[1046]: error (FORMERR) resolving 'pt.wikipedia.org/AAAA/IN': 208.80.152.142#53
Aug 19 14:01:21 server named[1046]: DNS format error from 208.80.152.130#53 resolving pt.wikipedia.org/AAAA for client 10.0.0.1#60415: invalid response
Aug 19 14:01:21 server named[1046]: error (FORMERR) resolving 'pt.wikipedia.org/AAAA/IN': 208.80.152.130#53
Aug 19 14:01:22 server named[1046]: DNS format error from 91.198.174.4#53 resolving pt.wikipedia.org/AAAA for client 10.0.0.1#60415: invalid response
Aug 19 14:01:22 server named[1046]: error (FORMERR) resolving 'pt.wikipedia.org/AAAA/IN': 91.198.174.4#53
Aug 19 14:01:22 server named[1046]: DNS format error from 208.80.152.142#53 resolving pt.wikipedia.org/AAAA for client 10.0.0.1#60415: invalid response
Aug 19 14:01:22 server named[1046]: error (FORMERR) resolving 'pt.wikipedia.org/AAAA/IN': 208.80.152.142#53
Aug 19 14:01:29 server NetworkManager: <info> (eth1): carrier now ON (device state 1)
Aug 19 14:01:29 server kernel: [ 223.608778] eth1: link up, 100Mbps, full-duplex, lpa 0x45E1
Aug 19 14:01:31 server dhcpd: DHCPREQUEST for 10.0.0.10 from 6c:f0:49:f2:19:cc (micro34) via eth1
Aug 19 14:01:31 server dhcpd: DHCPACK on 10.0.0.10 to 6c:f0:49:f2:19:cc (micro34) via eth1

irado
(usa XUbuntu)

Enviado em 19/08/2010 - 14:17h

esta parte está correta:

"escutando na porta 53 o localhost 127.0.0.1:53 e o meu ip da placa conectada a rede local 10.0.0.1:53"

êle só deve "escutar" requisições dêle mesmo (localhost) e da rede interna.

defina: "..quando fiz o dig, rolou tudo certo.."

esta parte aqui eu não entendi, talvez porque eu não use rwindows há muitos anos:
"Quando vou no meu client XP e rodo o comando nslookup ele não me da o servidor padrão so o address."

o nslookup eu tenho vaga lembrança, mas não sei, honestamente, utiliza-lo nem o significado de suas respostas. Defina "ele não me da o servidor padrão so o address."

defina "Fiz modificações do local do db.. " ???

aqui: "micro ainda não pinga por nome o servidor e vice versa."

que micro? qual servidor? vc (no vice-versa) também tenta por nome, é isso?

êste êrro é significativo:

Aug 19 13:59:39 server named[1046]: error (network unreachable) resolving 'micro34.10.0.0.1/A/IN': 2001:500:2f::f#53
Aug 19 14:01:09 server named[1046]: error (network unreachable) resolving 'www.guiadohardware.net/AAAA/IN': 2001:500:3::42#53
Aug 19 14:01:09 server named[1046]: error (network unreachable) resolving 'ocsp.thawte.com/AAAA/IN': 2001:503:231d::2:30#53
[.. repetidas vezes ..]

indica (bem como os demais) que êle NÃO está conseguindo sair pra interrogar na Internet; veja que algumas respostas êle apenas não conseguiu entender.. me dá a impressão de que vc deixou algum bloqueio no firewall. Note que o bind usa tanto o tcp quanto udp então AMBOS os protocolos devem ter permissão pra sair (e voltar). Leia aqui:

http://www.cyberciti.biz/tips/linux-iptables-12-how-to-block-or-open-dnsbind-service-port-53.html

leia, verifique e volte :)

marcoscarraro
(usa CentOS)

Enviado em 19/08/2010 - 15:53h

Tudo certo no dig me refiro a isto

; <<>> DiG 9.7.0-P1 <<>> www.terra.com.br
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38780
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0

;; QUESTION SECTION:
;www.terra.com.br. IN A

;; ANSWER SECTION:
www.terra.com.br. 7200 IN A 200.154.56.80

;; AUTHORITY SECTION:
terra.com.br. 1695 IN NS ns2.terra.com.br.
terra.com.br. 1695 IN NS ns1.terra.com.br.

;; Query time: 18 msec
;; SERVER: 10.0.0.1#53(10.0.0.1)
;; WHEN: Thu Aug 19 15:46:32 2010
;; MSG SIZE rcvd: 86

nslookup é uma ferramenta do windows, para retornar informação do servidor DNS de um dominio na rede.
é, ele teria que dar o nome ou o IP do servidor DNS da minha rede, mas como não esta funcionando corretamente ele retorna que não existe.

Sim, troquei o db.redeloca e db.rev.0.0.10.in-addr.arpa de local, pois eles criam outros arquivos da rede, para isso precisa de permissão, por segurança não iria dar um 777 na pasta. Então resolvi trocar eles de lugar deixando em outra pasta separada /var/lib/bind/ com permissão.

Sim, se o DNS interno estivesse funcionando a ideia que eu tenho é que eu posso pingar os micros pelo nome, coisa que não esta acontecendo ainda.

Quanto a porta de saida, estou com um firewall de terceiros na minha rede, mas fiz um forward para o meu micro iptables -I FORWARD -p tcp -s 172.16.1.101 -d 192.168.16.0/24 -j ACCEPT
Com isso eu já não tenho acesso total a internet sem passar pelo "firewall"?

As minhas respostas estão na sequencia das suas perguntas.

irado
(usa XUbuntu)

Enviado em 19/08/2010 - 16:06h

"Sim, troquei o db.redeloca e db.rev.0.0.10.in-addr.arpa de local, pois eles criam outros arquivos da rede, para isso precisa de permissão, por segurança não iria dar um 777 na pasta. Então resolvi trocar eles de lugar deixando em outra pasta separada /var/lib/bind/ com permissão."

êsses arquivos são usados pelo bind apenas para LEITURA, e - que eu saiba - não é criado nenhum outro arquivo, portanto vc está vendo uma coisa e atirando em outra. Quem cria os arquivos? quais são os tais arquivos criados?


"Sim, se o DNS interno estivesse funcionando a ideia que eu tenho é que eu posso pingar os micros pelo nome, coisa que não esta acontecendo ainda."

nem vai acontecer jamais. O simples fato de vc ter um servidor DNS na rede NÃO pressupõe que vc vai ter isso - salvo se vc criar as entradas apropriadas nos seus arquivos de zona. O bind AINDA não consegue adivinhar as coisas que vc pensa, só o que vc escreve nos arquivos próprios ;)

"Quanto a porta de saida, estou com um firewall de terceiros na minha rede, mas fiz um forward para o meu micro iptables -I FORWARD -p tcp -s 172.16.1.101 -d 192.168.16.0/24 -j ACCEPT"

e.. qual o objetivo? um fwd vai apenas transferir dados originados em 172.. para 192.. mas como são redes distintas acho que AINDA não vão se falar, a não ser que haja um nat em algum lugar ou vc estivesse usando uma bridge (quando então o fwd é dispensável).

"Com isso eu já não tenho acesso total a internet sem passar pelo "firewall"?"

nem faço ideia.. tem? a partir de sua rede, vc consegue pingar para algum lugar? ou navegar, mesmo que por ip.addr?

experimente - a partir da rede e NÃO do gw/fwll:

1 - ping www.uol.com.br
2 - ping 200.221.2.45

qual a resposta, para ambos?

marcoscarraro
(usa CentOS)

Enviado em 19/08/2010 - 16:48h

Usei como base este artigo
http://www.vivaolinux.com.br/artigo/Configurando-DHCP-com-DNS-%28Bind9%29-na-rede-local-Debian-Linux...
nos comentários tem lá, o cara fala que o bind criar os arquivos e tudo mais.

Vou montar o servidor DNS do zero novamente para rever todos os conceitos.

De qualquer forma muito obrigado Irado.

irado
(usa XUbuntu)

Enviado em 19/08/2010 - 17:17h

o que vc usou é meio antigo e de lá para cá o bind sofreu algumas modificações que PODEM estar interferindo. Experimente êste aqui:

http://linuxgravity.com/configuring-bind9-domain-name-server-on-centos-or-red-hat

ignore a questão de distribuição, concentre-se apenas no próprio bind e sua configuração.

marcoscarraro
(usa CentOS)

Enviado em 20/08/2010 - 08:50h

Opa irado, problema resolvido, usei outro artigo, agora parece estar funcionando, vamos testar mais alem para ver como ele vai se comportar, gostei do link que você me passou, vou estudar o mesmo, e implementar afim de testar outros métodos de configuração.

Abraços mestre, vou marcar como resolvido.