Problema com alguns endereços no BIND9

skn_metal · 03 de Outubro de 2013, 14:53

Olá,

Sou novo no fórum, então me desculpem se estiver fazendo algo errado...

Tenho um servidor DNS configurado (BIND9) no meu Ubuntu que está apresentando um erro intermitente com, especificamente, duas páginas.

A página do YouTube e do Hotmail não conseguem ser resolvidas, apesar de todo o resto permanecer normal.

O interessante é que é um erro intermitente, uma hora elas funcionam, outra hora não.

Não sei se isso acontece com outras páginas, porque, atualmente, só tem acontecido com essas.

Agradeço qualquer ajuda; se precisarem de qualquer Log ou arquivo de configuração, posto aqui pra vocês

zekkerj · 03 de Outubro de 2013, 16:08

CitarTenho um servidor DNS configurado (BIND9) no meu Ubuntu que está apresentando um erro intermitente com, especificamente, duas páginas.

A página do YouTube e do Hotmail não conseguem ser resolvidas, apesar de todo o resto permanecer normal.

Vc sabe que não precisa ter um servidor BIND local só pra navegar, certo? Inclusive, ter o servidor local não é nem garantia que vc o esteja utilizando.

Pra confirmar, poste aqui o conteúdo do arquivo /etc/resolv.conf.

skn_metal · 03 de Outubro de 2013, 16:22

Eu tenho um servidor de Internet com meu próprio domínio, o BIND tá instalado nele.

O domínio funciona normal, a navegação em outras páginas também, só nessas duas outras páginas que dá esse erro de DNS

Esse é o meu /var/log/syslog

Código Selecionar


Oct  3 16:21:22 Servidor named[10442]: DNS format error from 193.0.14.129#53 resolving mail.live.com/A for client 192.168.100.102#57720: unrelated A dispatch.kahuna.glbdns2.microsoft.com in live.com authority section
Oct  3 16:21:22 Servidor named[10442]: DNS format error from 199.7.91.13#53 resolving mail.live.com/A for client 192.168.100.102#57720: unrelated A dispatch.kahuna.glbdns2.microsoft.com in live.com authority section
Oct  3 16:21:22 Servidor named[10442]: DNS format error from 192.5.5.241#53 resolving mail.live.com/A for client 192.168.100.102#57720: unrelated A dispatch.kahuna.glbdns2.microsoft.com in live.com authority section
Oct  3 16:21:22 Servidor named[10442]: DNS format error from 192.33.4.12#53 resolving mail.live.com/A for client 192.168.100.102#57720: unrelated A dispatch.kahuna.glbdns2.microsoft.com in live.com authority section
Oct  3 16:21:22 Servidor named[10442]: DNS format error from 128.63.2.53#53 resolving mail.live.com/A for client 192.168.100.102#57720: unrelated A dispatch.kahuna.glbdns2.microsoft.com in live.com authority section
Oct  3 16:21:22 Servidor named[10442]: DNS format error from 199.7.83.42#53 resolving mail.live.com/A for client 192.168.100.102#57720: unrelated A dispatch.kahuna.glbdns2.microsoft.com in live.com authority section
Oct  3 16:21:22 Servidor named[10442]: DNS format error from 192.112.36.4#53 resolving mail.live.com/A for client 192.168.100.102#57720: unrelated A dispatch.kahuna.glbdns2.microsoft.com in live.com authority section
Oct  3 16:21:22 Servidor named[10442]: DNS format error from 198.41.0.4#53 resolving mail.live.com/A for client 192.168.100.102#57720: unrelated A dispatch.kahuna.glbdns2.microsoft.com in live.com authority section
Oct  3 16:21:22 Servidor named[10442]: DNS format error from 192.36.148.17#53 resolving mail.live.com/A for client 192.168.100.102#57720: unrelated A dispatch.kahuna.glbdns2.microsoft.com in live.com authority section
Oct  3 16:21:22 Servidor named[10442]: DNS format error from 192.58.128.30#53 resolving mail.live.com/A for client 192.168.100.102#57720: unrelated A dispatch.kahuna.glbdns2.microsoft.com in live.com authority section
Oct  3 16:21:22 Servidor named[10442]: DNS format error from 192.203.230.10#53 resolving mail.live.com/A for client 192.168.100.102#57720: unrelated A dispatch.kahuna.glbdns2.microsoft.com in live.com authority section
Oct  3 16:21:22 Servidor named[10442]: DNS format error from 192.228.79.201#53 resolving mail.live.com/A for client 192.168.100.102#57720: unrelated A dispatch.kahuna.glbdns2.microsoft.com in live.com authority section
Oct  3 16:21:22 Servidor named[10442]: DNS format error from 202.12.27.33#53 resolving mail.live.com/A for client 192.168.100.102#57720: unrelated A dispatch.kahuna.glbdns2.microsoft.com in live.com authority section

skn_metal · 03 de Outubro de 2013, 16:25

zekkerj: Segue o resolv.conf

Código Selecionar


# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 192.168.100.4
domain meudominio.com
search meudominio.com

zekkerj · 03 de Outubro de 2013, 17:44

Ao que parece essas mensagens são relativas a erros de configuração na origem, não na sua máquina.
[Pesquise no google => "bind9 dns format error unrelated"]

Quanto aos erros com youtube e hotmail, experimente fazer uma pesquisa de teste, tipo

dig www.youtube.com @seu-servidor

Confirme se eles podem ser resolvidos para pelo menos um endereço IPv4.

selvaking · 03 de Outubro de 2013, 17:45

Verifique qual o servidor que está respondendo ao seu cliente com o comando dig, assim:

Citarusuario@machine:~$ dig www.uol.com.br

; <<>> DiG 9.8.1-P1 <<>> www.uol.com.br
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15738
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.uol.com.br.         IN   A

;; ANSWER SECTION:
www.uol.com.br.      21   IN   CNAME   homeuol.ipv6uol.com.br.
homeuol.ipv6uol.com.br.   24   IN   A   200.221.2.45
homeuol.ipv6uol.com.br.   24   IN   A   200.147.67.142

;; Query time: 367 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Oct 3 17:40:57 2013
;; MSG SIZE rcvd: 94

skn_metal · 03 de Outubro de 2013, 17:55

Respondendo aos dois, segue o comando DIG para o site www.google.com (funcionando) e www.youtube.com

CitarQuanto aos erros com youtube e hotmail, experimente fazer uma pesquisa de teste, tipo

dig www.youtube.com @seu-servidor

Confirme se eles podem ser resolvidos para pelo menos um endereço IPv4.

Código Selecionar


dig www.youtube.com @192.168.100.4

; <<>> DiG 9.8.1-P1 <<>> www.youtube.com @192.168.100.4
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 14185
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.youtube.com.               IN      A

;; Query time: 47 msec
;; SERVER: 192.168.100.4#53(192.168.100.4)
;; WHEN: Thu Oct  3 17:50:00 2013
;; MSG SIZE  rcvd: 33

Código Selecionar


dig www.google.com @192.168.100.4

; <<>> DiG 9.8.1-P1 <<>> www.google.com @192.168.100.4
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11957
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 4, ADDITIONAL: 0

;; QUESTION SECTION:
;www.google.com.                        IN      A

;; ANSWER SECTION:
www.google.com.         24      IN      A       74.125.234.208
www.google.com.         24      IN      A       74.125.234.209
www.google.com.         24      IN      A       74.125.234.210
www.google.com.         24      IN      A       74.125.234.211
www.google.com.         24      IN      A       74.125.234.212

;; AUTHORITY SECTION:
google.com.             29      IN      NS      ns4.google.com.
google.com.             29      IN      NS      ns3.google.com.
google.com.             29      IN      NS      ns1.google.com.
google.com.             29      IN      NS      ns2.google.com.

;; Query time: 5 msec
;; SERVER: 192.168.100.4#53(192.168.100.4)
;; WHEN: Thu Oct  3 17:50:16 2013
;; MSG SIZE  rcvd: 184

CitarVerifique qual o servidor que está respondendo ao seu cliente com o comando dig, assim:

Código Selecionar


dig www.youtube.com

; <<>> DiG 9.8.1-P1 <<>> www.youtube.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 23190
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.youtube.com.               IN      A

;; Query time: 51 msec
;; SERVER: 192.168.100.4#53(192.168.100.4)
;; WHEN: Thu Oct  3 17:50:39 2013
;; MSG SIZE  rcvd: 33

Código Selecionar


dig www.google.com

; <<>> DiG 9.8.1-P1 <<>> www.google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 65436
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 4, ADDITIONAL: 0

;; QUESTION SECTION:
;www.google.com.                        IN      A

;; ANSWER SECTION:
www.google.com.         4       IN      A       74.125.234.82
www.google.com.         4       IN      A       74.125.234.83
www.google.com.         4       IN      A       74.125.234.84
www.google.com.         4       IN      A       74.125.234.80
www.google.com.         4       IN      A       74.125.234.81

;; AUTHORITY SECTION:
google.com.             29      IN      NS      ns2.google.com.
google.com.             29      IN      NS      ns3.google.com.
google.com.             29      IN      NS      ns4.google.com.
google.com.             29      IN      NS      ns1.google.com.

;; Query time: 11 msec
;; SERVER: 192.168.100.4#53(192.168.100.4)
;; WHEN: Thu Oct  3 17:50:45 2013
;; MSG SIZE  rcvd: 184

skn_metal · 03 de Outubro de 2013, 18:17

Pra qualquer outro site ele funciona; especificamente para o YouTube e o Hotmail ele não resolve

zekkerj · 03 de Outubro de 2013, 22:51

Experimente reiniciar seu servidor BIND, pra ver se não é algo no cache.

selvaking · 04 de Outubro de 2013, 08:05

Realmente a consulta está sendo feita ao seu DNS e ele não está resolvendo pq no arquivo /etc/bind/named.conf.options a opção forwarders (Requisições que não seja internas serão feitas em outro servidor DNS.) está apontando para um servidor que não está conseguindo resolver. Aponte esta opção para os servidores do google ou OpenDNS

Assim:

Código Selecionar

	   forwarders { # Requisições que não seja internas serão feitas em outro servidor DNS.
	//	0.0.0.0;
		208.67.222.222; # OpenDNS
		208.67.220.220; # OpenDNS
		8.8.4.4; # google
		8.8.8.8; # google
	   };

Após isto reinicie seu servidor BIND

Vc pode fazer um teste antes e ver se mudando o servidor que está sendo consultado os sites são resolvidos usando o comando dig.

dig www.youtube.com @outro-servidor

dig www.youtube.com @8.8.8.8
dig www.youtube.com @208.67.220.220

zekkerj · 04 de Outubro de 2013, 11:32

Observe que vc só precisa de forwarders se não for capaz de consultar diretamente os root servers do DNS.

skn_metal · 04 de Outubro de 2013, 14:16

Citação de: selvaking online 04 de Outubro de 2013, 08:05
Realmente a consulta está sendo feita ao seu DNS e ele não está resolvendo pq no arquivo /etc/bind/named.conf.options a opção forwarders (Requisições que não seja internas serão feitas em outro servidor DNS.) está apontando para um servidor que não está conseguindo resolver. Aponte esta opção para os servidores do google ou OpenDNS

Assim:
Código Selecionar Expandir
forwarders { # Requisições que não seja internas serão feitas em outro servidor DNS. // 0.0.0.0; 208.67.222.222; # OpenDNS 208.67.220.220; # OpenDNS 8.8.4.4; # google 8.8.8.8; # google };

Após isto reinicie seu servidor BIND

Vc pode fazer um teste antes e ver se mudando o servidor que está sendo consultado os sites são resolvidos usando o comando dig.

dig www.youtube.com @outro-servidor

dig www.youtube.com @8.8.8.8
dig www.youtube.com @208.67.220.220

Adicionei os Forwarders, mas ainda sim continua não funcionando, segue meu named.conf.options

Citar
options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders {
8.8.4.4;
8.8.8.8;
};

//========================================================================
// If BIND logs error messages about the root key being expired,
// you will need to update your keys. See https://www.isc.org/bind-keys
//========================================================================

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };

dnssec-enable no;
};

zekkerj · 04 de Outubro de 2013, 15:24

skn_metal, os forwarders só são necessários quando você não tem como fazer a consulta direta aos root servers.
P.ex. quando vc está em uma rede privada sem NAT, ou de um firewall que não permite a passagem de consultas DNS arbitrárias.

CitarVc pode fazer um teste antes e ver se mudando o servidor que está sendo consultado os sites são resolvidos usando o comando dig.

dig www.youtube.com @outro-servidor

dig www.youtube.com @8.8.8.8
dig www.youtube.com @208.67.220.220

Esse é um teste que é importante de fazer agora... confirmar que vc consegue fazer essas consultas específicas.

zekkerj · 04 de Outubro de 2013, 15:25

Outra coisa que lembrei agora...

Você por acaso não está permitindo consultas recursivas a partir da Internet, está? Se estiver, esse comportamento do seu servidor pode ser resultado de um ataque de envenenamento do cache do BIND.

skn_metal · 04 de Outubro de 2013, 15:33

Citação de: zekkerj online 04 de Outubro de 2013, 15:24
skn_metal, os forwarders só são necessários quando você não tem como fazer a consulta direta aos root servers.
P.ex. quando vc está em uma rede privada sem NAT, ou de um firewall que não permite a passagem de consultas DNS arbitrárias.

CitarVc pode fazer um teste antes e ver se mudando o servidor que está sendo consultado os sites são resolvidos usando o comando dig.

dig www.youtube.com @outro-servidor

dig www.youtube.com @8.8.8.8
dig www.youtube.com @208.67.220.220
Esse é um teste que é importante de fazer agora... confirmar que vc consegue fazer essas consultas específicas.

Segue os testes abaixo:

Código Selecionar


dig www.youtube.com @8.8.8.8

; <<>> DiG 9.8.1-P1 <<>> www.youtube.com @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8846
;; flags: qr rd ra; QUERY: 1, ANSWER: 12, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION:
;www.youtube.com.               IN      A

;; ANSWER SECTION:
www.youtube.com.        20      IN      CNAME   youtube-ui.l.google.com.
youtube-ui.l.google.com. 20     IN      A       74.125.234.230
youtube-ui.l.google.com. 20     IN      A       74.125.234.231
youtube-ui.l.google.com. 20     IN      A       74.125.234.232
youtube-ui.l.google.com. 20     IN      A       74.125.234.233
youtube-ui.l.google.com. 20     IN      A       74.125.234.238
youtube-ui.l.google.com. 20     IN      A       74.125.234.224
youtube-ui.l.google.com. 20     IN      A       74.125.234.225
youtube-ui.l.google.com. 20     IN      A       74.125.234.226
youtube-ui.l.google.com. 20     IN      A       74.125.234.227
youtube-ui.l.google.com. 20     IN      A       74.125.234.228
youtube-ui.l.google.com. 20     IN      A       74.125.234.229

;; AUTHORITY SECTION:
youtube.com.            26      IN      NS      ns1.google.com.
youtube.com.            26      IN      NS      ns3.google.com.
youtube.com.            26      IN      NS      ns2.google.com.
youtube.com.            26      IN      NS      ns4.google.com.

;; ADDITIONAL SECTION:
ns1.google.com.         30      IN      A       216.239.32.10
ns3.google.com.         30      IN      A       216.239.36.10
ns2.google.com.         30      IN      A       216.239.34.10
ns4.google.com.         30      IN      A       216.239.38.10

;; Query time: 2 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Oct  4 15:32:15 2013
;; MSG SIZE  rcvd: 379

Código Selecionar


dig www.youtube.com @208.67.220.220

; <<>> DiG 9.8.1-P1 <<>> www.youtube.com @208.67.220.220
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55553
;; flags: qr rd ra; QUERY: 1, ANSWER: 23, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION:
;www.youtube.com.               IN      A

;; ANSWER SECTION:
www.youtube.com.        25      IN      CNAME   youtube-ui.l.google.com.
youtube-ui.l.google.com. 5      IN      A       74.125.234.131
youtube-ui.l.google.com. 5      IN      A       74.125.234.132
youtube-ui.l.google.com. 5      IN      A       74.125.234.133
youtube-ui.l.google.com. 5      IN      A       74.125.234.134
youtube-ui.l.google.com. 2      IN      A       74.125.234.232
youtube-ui.l.google.com. 2      IN      A       74.125.234.233
youtube-ui.l.google.com. 2      IN      A       74.125.234.238
youtube-ui.l.google.com. 2      IN      A       74.125.234.224
youtube-ui.l.google.com. 2      IN      A       74.125.234.225
youtube-ui.l.google.com. 2      IN      A       74.125.234.226
youtube-ui.l.google.com. 2      IN      A       74.125.234.227
youtube-ui.l.google.com. 2      IN      A       74.125.234.228
youtube-ui.l.google.com. 2      IN      A       74.125.234.229
youtube-ui.l.google.com. 2      IN      A       74.125.234.230
youtube-ui.l.google.com. 2      IN      A       74.125.234.231
youtube-ui.l.google.com. 5      IN      A       74.125.234.135
youtube-ui.l.google.com. 5      IN      A       74.125.234.136
youtube-ui.l.google.com. 5      IN      A       74.125.234.137
youtube-ui.l.google.com. 5      IN      A       74.125.234.142
youtube-ui.l.google.com. 5      IN      A       74.125.234.128
youtube-ui.l.google.com. 5      IN      A       74.125.234.129
youtube-ui.l.google.com. 5      IN      A       74.125.234.130

;; AUTHORITY SECTION:
youtube.com.            29      IN      NS      ns3.google.com.
youtube.com.            29      IN      NS      ns4.google.com.
youtube.com.            29      IN      NS      ns2.google.com.
youtube.com.            29      IN      NS      ns1.google.com.

;; ADDITIONAL SECTION:
ns3.google.com.         30      IN      A       216.239.36.10
ns4.google.com.         30      IN      A       216.239.38.10
ns2.google.com.         30      IN      A       216.239.34.10
ns1.google.com.         30      IN      A       216.239.32.10

;; Query time: 2 msec
;; SERVER: 208.67.220.220#53(208.67.220.220)
;; WHEN: Fri Oct  4 15:32:47 2013
;; MSG SIZE  rcvd: 555