[Resolvido]Configuração DNS forwarders

groove · 18 de Novembro de 2011, 22:37

Olá galera, estou com dificuldades em fazer meu servidor dns resolver ips da internet como www.google.com.
Consegui configurar o meu servidor dns pra resolver os endereços internos, funciona sem problemas.
Antes que possam alegar falta de comunicação com a internet, consigo pingar sem problemas ips válidos como 8.8.8.8
Minha rede está como descrito no tópico http://ubuntuforum-pt.org/index.php/topic,89101.30.html.

Segue a configuração do servidor DNS:
named.conf.local

Código Selecionar


zone "dragons" {
    type master;
    file "/etc/bind/db.dragons";
};

db.dragons(gerei um arquivo a partir do template db.empty e acrescentei as seguintes linhas)

Código Selecionar


www    IN    A    10.128.3.10

named.conf.options

Código Selecionar


options {
    directory "/var/cache/bind";
    forwarders {
        8.8.8.8;
        8.8.4.4;
    }:

zekkerj · 19 de Novembro de 2011, 01:12

Por acaso vc lembrou de criar uma zona "hint"?

groove · 19 de Novembro de 2011, 02:16

Não sei pra que serve esta zona, mas ela está dentro do named.conf. Eu criei minha zona no named.conf.local pra separar.

zekkerj · 19 de Novembro de 2011, 11:08

Ela serve justamente pra fazer as consultas à internet.

Vc não precisa definir forwarders, se vc tem acesso direto à internet. Vc usa forwarders se vc não tem acesso direto, nesse caso vc encaminha todas as suas consultas para uma ou mais máquinas que têm esse acesso direto.

Se vc tem acesso direto, deixe sem nenhum forwarder. Assim sua máquina vai usar a informação da zona hint para saber onde começar a procurar os endereços DNS pela internet, e daí fazer todas as consultas sozinha.

groove · 19 de Novembro de 2011, 14:11

Aí que está, meu servidor DNS não tem acesso direto a internet, ele tem que passar pelo gateway.
Não teria que configura mais alguma coisa?

As vezes parece que a máquina não fica configurada com o DNS, como verifico se a configuração DNS está ok, somente no /etc/resolv.conf?
Não sei se isso aconteceu contigo, mas aqui toda vez que eu editava o /etc/resolv.conf o arquivo volta a configuração original. Dai tive que ir no /etc/dhcp3/dhcpcliente.conf e apagar as linhas referentes ao DNS lá. É um bug isso?

zekkerj · 19 de Novembro de 2011, 21:23

CitarAí que está, meu servidor DNS não tem acesso direto a internet, ele tem que passar pelo gateway.

Isso conta como acesso direto. Basta que seu gateway permita a passagem das consultas.

É uma situação diferente da que eu tenho no serviço: lá o gateway não permite a passagem de nada, exceto o que passa pelo squid. Então o meu servidor DNS tem que repassar as consultas via uma máquina que é a única autorizada a sair pra internet.

CitarAs vezes parece que a máquina não fica configurada com o DNS, como verifico se a configuração DNS está ok, somente no /etc/resolv.conf?

Quem, o próprio servidor, ou as outras máquinas de sua rede?

CitarNão sei se isso aconteceu contigo, mas aqui toda vez que eu editava o /etc/resolv.conf o arquivo volta a configuração original. Dai tive que ir no /etc/dhcp3/dhcpcliente.conf e apagar as linhas referentes ao DNS lá. É um bug isso?

Não é bug não. Se vc configura a máquina pra receber o servidor DNS via DHCP, ela vai fazer isso. Se vc quer receber apenas o endereço IP via DHCP, tem que configurar de acordo.

groove · 19 de Novembro de 2011, 21:29

Citar
CitarAí que está, meu servidor DNS não tem acesso direto a internet, ele tem que passar pelo gateway.
Isso conta como acesso direto. Basta que seu gateway permita a passagem das consultas.

Quando eu pingo 8.8.8.8 não posso considerar que o gateway está "permitindo" a passagem?

Citar
CitarAs vezes parece que a máquina não fica configurada com o DNS, como verifico se a configuração DNS está ok, somente no /etc/resolv.conf?
Quem, o próprio servidor, ou as outras máquinas de sua rede?

As outras máquinas, os clientes.

Citar
CitarNão sei se isso aconteceu contigo, mas aqui toda vez que eu editava o /etc/resolv.conf o arquivo volta a configuração original. Dai tive que ir no /etc/dhcp3/dhcpcliente.conf e apagar as linhas referentes ao DNS lá. É um bug isso?
Não é bug não. Se vc configura a máquina pra receber o servidor DNS via DHCP, ela vai fazer isso. Se vc quer receber apenas o endereço IP via DHCP, tem que configurar de acordo.

Esqueci de mencionar, a máquina estava configurada com ip static e mesmo assim o dhcp insistia em fornecer o servidor DNS alterando o arquivo.

zekkerj · 19 de Novembro de 2011, 21:41

Citação de: groove online 19 de Novembro de 2011, 21:29
Citar
CitarAí que está, meu servidor DNS não tem acesso direto a internet, ele tem que passar pelo gateway.
Isso conta como acesso direto. Basta que seu gateway permita a passagem das consultas.
Quando eu pingo 8.8.8.8 não posso considerar que o gateway está "permitindo" a passagem?

Sim, conta. Note que vc não precisa acessar apenas esse endereço, mas qualquer outro endereço possível na internet.

Citar
Citar
CitarAs vezes parece que a máquina não fica configurada com o DNS, como verifico se a configuração DNS está ok, somente no /etc/resolv.conf?
Quem, o próprio servidor, ou as outras máquinas de sua rede?
As outras máquinas, os clientes.

Então vc tem que verificar a configuração de cada uma delas.
Se elas recebem o IP a partir do DHCP, fica fácil: basta vc programar o DHCP pra distribuir o seu endereço como DNS também.

Citar
Citar
CitarNão sei se isso aconteceu contigo, mas aqui toda vez que eu editava o /etc/resolv.conf o arquivo volta a configuração original. Dai tive que ir no /etc/dhcp3/dhcpcliente.conf e apagar as linhas referentes ao DNS lá. É um bug isso?
Não é bug não. Se vc configura a máquina pra receber o servidor DNS via DHCP, ela vai fazer isso. Se vc quer receber apenas o endereço IP via DHCP, tem que configurar de acordo.
Esqueci de mencionar, a máquina estava configurada com ip static e mesmo assim o dhcp insistia em fornecer o servidor DNS alterando o arquivo.

Então tem alguma outra configuração atuando nisso.

groove · 19 de Novembro de 2011, 21:51

Então como explica o servidor DNS não funcionar? Não é problema com bloqueio de pacotes indo pra internet. Qualquer outro endereço pinga se colocar o ip, mas pelo nome não resolve.
O dns funciona somente na máquina onde está o servidor DNS instalado e na máquina gateway.

Todas máquinas tem ip static, o dhcp se mete lá não sei porque. Dei uma procurada na web ai e falaram que era bug, só lembrando que estou usando debian lenny

Quando dou o comando nslookup www.google.com, o resultado é esse:

Código Selecionar


Server: 10.228.3.10
Address: 10.228.3.10#53

** server can't find www.google.com: REFUSED

Parece que tem algo bloqueando os clientes de usarem o servidor DNS.

groove · 19 de Novembro de 2011, 22:25

Só faltava uma configuração dentro do /etc/bind/named.conf.options.
http://www.vivaolinux.com.br/artigo/Ajustes-finos-no-Bind-%28servidor-DNS%29?pagina=2

Código Selecionar


allow-query {any;};

zekkerj · 20 de Novembro de 2011, 11:31

Cuidado com esse "allow-query { any; };".

O melhor é liberar só pro endereço da sua rede interna, por segurança.

groove · 20 de Novembro de 2011, 19:23

Quais são os problemas, além de consumo de banda/servidor - caso todos passem a usar meu servidor DNS lol - eu posso ter?

zekkerj · 21 de Novembro de 2011, 02:52

Há um ataque de DNS spoofing que pode ser usado contra os clientes do seu servidor. Por isso, não se deve aceitar consultas vindas da internet.