Problema com alguns endereços no BIND9

zekkerj · 04 de Outubro de 2013, 18:00

Então... todos dois respondem, não? O problema parece estar diretamente associado com seu cache.

Imagino que vc precise que seu servidor DNS responda à internet, certo? Vamos tentar desativar as consultas recursivas a partir da internet.

Adicione estas linhas ao seu named.conf:

Código Selecionar


allow-recursion { sua-rede-interna; };

Isso vai fazer que quem não seja da sua rede interna só possa usar seu servidor DNS para consultar o seu domínio.
Depois da alteração, reinicie o servidor DNS.

skn_metal · 08 de Outubro de 2013, 14:20

Citação de: zekkerj online 04 de Outubro de 2013, 18:00
Então... todos dois respondem, não? O problema parece estar diretamente associado com seu cache.

Imagino que vc precise que seu servidor DNS responda à internet, certo? Vamos tentar desativar as consultas recursivas a partir da internet.

Adicione estas linhas ao seu named.conf:

Código Selecionar Expandir
allow-recursion { sua-rede-interna; };

Isso vai fazer que quem não seja da sua rede interna só possa usar seu servidor DNS para consultar o seu domínio.
Depois da alteração, reinicie o servidor DNS.

Desculpe a demora...

Fiz as alterações mas, mesmo assim, continua apresentando o mesmo comportamento estranho, segue o named.conf.options

Código Selecionar


options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

         forwarders {
                8.8.4.4;
                8.8.8.8;
         };

        //========================================================================
        // If BIND logs error messages about the root key being expired,
        // you will need to update your keys.  See https://www.isc.org/bind-keys
        //========================================================================

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };

        dnssec-enable no;

        allow-recursion { 192.168.100.0/24; };
};

zekkerj · 08 de Outubro de 2013, 14:33

Desative os forwarders, ative a depuração ("rndc trace"), repita as consultas, poste os logs aqui.

skn_metal · 08 de Outubro de 2013, 15:11

Com rndc trace ativado, eis o conteúdo do syslog para www.hotmail.com e www.youtube.com:

Código Selecionar


Oct  8 15:09:36 Servidor named[21262]: client 192.168.100.102#54171: query: www.youtube.com IN A + (192.168.100.4)
Oct  8 15:09:36 Servidor named[21262]: DNS format error from 128.8.10.90#53 resolving www.youtube.com/A for client 192.168.100.102#54171: unrelated A youtube-ui.l.google.com in youtube.com authority section
Oct  8 15:09:36 Servidor named[21262]: DNS format error from 192.5.5.241#53 resolving www.youtube.com/A for client 192.168.100.102#54171: unrelated A youtube-ui.l.google.com in youtube.com authority section
Oct  8 15:09:36 Servidor named[21262]: DNS format error from 199.7.83.42#53 resolving www.youtube.com/A for client 192.168.100.102#54171: unrelated A youtube-ui.l.google.com in youtube.com authority section
Oct  8 15:09:36 Servidor named[21262]: DNS format error from 202.12.27.33#53 resolving www.youtube.com/A for client 192.168.100.102#54171: unrelated A youtube-ui.l.google.com in youtube.com authority section
Oct  8 15:09:36 Servidor named[21262]: DNS format error from 193.0.14.129#53 resolving www.youtube.com/A for client 192.168.100.102#54171: unrelated A youtube-ui.l.google.com in youtube.com authority section
Oct  8 15:09:36 Servidor named[21262]: DNS format error from 192.112.36.4#53 resolving www.youtube.com/A for client 192.168.100.102#54171: unrelated A youtube-ui.l.google.com in youtube.com authority section
Oct  8 15:09:36 Servidor named[21262]: DNS format error from 198.41.0.4#53 resolving www.youtube.com/A for client 192.168.100.102#54171: unrelated A youtube-ui.l.google.com in youtube.com authority section
Oct  8 15:09:36 Servidor named[21262]: DNS format error from 192.203.230.10#53 resolving www.youtube.com/A for client 192.168.100.102#54171: unrelated A youtube-ui.l.google.com in youtube.com authority section
Oct  8 15:09:36 Servidor named[21262]: DNS format error from 128.63.2.53#53 resolving www.youtube.com/A for client 192.168.100.102#54171: unrelated A youtube-ui.l.google.com in youtube.com authority section
Oct  8 15:09:36 Servidor named[21262]: DNS format error from 192.33.4.12#53 resolving www.youtube.com/A for client 192.168.100.102#54171: unrelated A youtube-ui.l.google.com in youtube.com authority section
Oct  8 15:09:36 Servidor named[21262]: DNS format error from 192.36.148.17#53 resolving www.youtube.com/A for client 192.168.100.102#54171: unrelated A youtube-ui.l.google.com in youtube.com authority section
Oct  8 15:09:36 Servidor named[21262]: DNS format error from 192.58.128.30#53 resolving www.youtube.com/A for client 192.168.100.102#54171: unrelated A youtube-ui.l.google.com in youtube.com authority section
Oct  8 15:09:36 Servidor named[21262]: DNS format error from 192.228.79.201#53 resolving www.youtube.com/A for client 192.168.100.102#54171: unrelated A youtube-ui.l.google.com in youtube.com authority section

Oct  8 15:10:31 Servidor named[21262]: client 192.168.100.102#52034: query: pop3.live.com IN A + (192.168.100.4)
Oct  8 15:10:31 Servidor named[21262]: DNS format error from 192.5.5.241#53 resolving pop3.live.com/A for client 192.168.100.102#52034: unrelated A pop3.glbdns2.microsoft.com in live.com authority section
Oct  8 15:10:31 Servidor named[21262]: DNS format error from 192.36.148.17#53 resolving pop3.live.com/A for client 192.168.100.102#52034: unrelated A pop3.glbdns2.microsoft.com in live.com authority section
Oct  8 15:10:31 Servidor named[21262]: DNS format error from 198.41.0.4#53 resolving pop3.live.com/A for client 192.168.100.102#52034: unrelated A pop3.glbdns2.microsoft.com in live.com authority section
Oct  8 15:10:31 Servidor named[21262]: DNS format error from 202.12.27.33#53 resolving pop3.live.com/A for client 192.168.100.102#52034: unrelated A pop3.glbdns2.microsoft.com in live.com authority section
Oct  8 15:10:31 Servidor named[21262]: DNS format error from 193.0.14.129#53 resolving pop3.live.com/A for client 192.168.100.102#52034: unrelated A pop3.glbdns2.microsoft.com in live.com authority section
Oct  8 15:10:31 Servidor named[21262]: DNS format error from 192.58.128.30#53 resolving pop3.live.com/A for client 192.168.100.102#52034: unrelated A pop3.glbdns2.microsoft.com in live.com authority section
Oct  8 15:10:31 Servidor named[21262]: DNS format error from 128.63.2.53#53 resolving pop3.live.com/A for client 192.168.100.102#52034: unrelated A pop3.glbdns2.microsoft.com in live.com authority section
Oct  8 15:10:32 Servidor named[21262]: DNS format error from 192.203.230.10#53 resolving pop3.live.com/A for client 192.168.100.102#52034: unrelated A pop3.glbdns2.microsoft.com in live.com authority section
Oct  8 15:10:32 Servidor named[21262]: DNS format error from 199.7.83.42#53 resolving pop3.live.com/A for client 192.168.100.102#52034: unrelated A pop3.glbdns2.microsoft.com in live.com authority section
Oct  8 15:10:32 Servidor named[21262]: DNS format error from 192.112.36.4#53 resolving pop3.live.com/A for client 192.168.100.102#52034: unrelated A pop3.glbdns2.microsoft.com in live.com authority section
Oct  8 15:10:32 Servidor named[21262]: DNS format error from 192.228.79.201#53 resolving pop3.live.com/A for client 192.168.100.102#52034: unrelated A pop3.glbdns2.microsoft.com in live.com authority section
Oct  8 15:10:32 Servidor named[21262]: DNS format error from 192.33.4.12#53 resolving pop3.live.com/A for client 192.168.100.102#52034: unrelated A pop3.glbdns2.microsoft.com in live.com authority section
Oct  8 15:10:32 Servidor named[21262]: DNS format error from 128.8.10.90#53 resolving pop3.live.com/A for client 192.168.100.102#52034: unrelated A pop3.glbdns2.microsoft.com in live.com authority section

zekkerj · 08 de Outubro de 2013, 16:30

nenhum query de hotmail e youtube no log?

skn_metal · 08 de Outubro de 2013, 16:40

Citação de: zekkerj online 08 de Outubro de 2013, 16:30
nenhum query de hotmail e youtube no log?

Isso foi tudo que apareceu no meu /var/log/syslog

zekkerj · 08 de Outubro de 2013, 16:56

veja se o bind não está criando outro log, a partir do momento em que vc usa o "rndc trace".

skn_metal · 08 de Outubro de 2013, 17:37

Citação de: zekkerj online 08 de Outubro de 2013, 16:56
veja se o bind não está criando outro log, a partir do momento em que vc usa o "rndc trace".

Onde eu vejo isso?

zekkerj · 11 de Outubro de 2013, 14:27

Já encontrou onde sua máquina faz log do trace? Eu não sei onde a sua máquina pode estar fazendo esse log, por isso não posso te dizer onde ver. Ou no máximo, vou ter que te dar a resposta antipática "veja em sua máquina".

skn_metal · 11 de Outubro de 2013, 14:34

Citação de: zekkerj online 11 de Outubro de 2013, 14:27
Já encontrou onde sua máquina faz log do trace? Eu não sei onde a sua máquina pode estar fazendo esse log, por isso não posso te dizer onde ver. Ou no máximo, vou ter que te dar a resposta antipática "veja em sua máquina".

Tudo indica que é no /var/log/syslog mesmo, porque todas as opções de log do BIND estão configuradas como default

skn_metal · 14 de Outubro de 2013, 18:19

Segui os passos dessa página: http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/, que fala sobre DNS Recursivo Aberto e criei algumas views dentro dos arquivos de configuração, mas ainda continua com esse comportamento estranho

Segue meus novos arquivos de configuração do BIND

named.conf

Código Selecionar


// This is the primary configuration file for the BIND DNS server named.
//
// Please read /usr/share/doc/bind9/README.Debian.gz for information on the
// structure of BIND configuration files in Debian, *BEFORE* you customize
// this configuration file.
//
// If you are just adding zones, please do that in /etc/bind/named.conf.local

include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
//include "/etc/bind/named.conf.default-zones";

named.conf.local

Código Selecionar


//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

acl clientes {
   localhost;
   192.168.100.0/24;
};

view "interna" {
   match-clients { clientes; };
   recursion yes;

   include "/etc/bind/named.conf.default-zones";
};

view "externa" {
   match-clients { any; };
   recursion no;
   additional-from-auth no;
   additional-from-cache no;

   zone "meudominio.com.br" {
        type master;
        file "/var/lib/bind/meudominio.com.br.hosts";
   };

   zone "100.168.192.in-addr.arpa" {
        type master;
        file "/var/lib/bind/192.168.100.rev";
   };
};

zekkerj · 14 de Outubro de 2013, 21:45

Ia escrever uma coisa, lembrei de outra.

Dá pra postar o conteúdo do seu arquivo "/etc/bind/db.root"?

skn_metal · 15 de Outubro de 2013, 17:11

Citação de: zekkerj online 14 de Outubro de 2013, 21:45
Ia escrever uma coisa, lembrei de outra.

Dá pra postar o conteúdo do seu arquivo "/etc/bind/db.root"?

Código Selecionar


;       This file holds the information on root name servers needed to
;       initialize cache of Internet domain name servers
;       (e.g. reference this file in the "cache  .  <file>"
;       configuration file of BIND domain name servers).
;
;       This file is made available by InterNIC
;       under anonymous FTP as
;           file                /domain/named.cache
;           on server           FTP.INTERNIC.NET
;       -OR-                    RS.INTERNIC.NET
;
;       last update:    Jun 17, 2010
;       related version of root zone:   2010061700
;
; formerly NS.INTERNIC.NET
;
.                        3600000  IN  NS    A.ROOT-SERVERS.NET.
A.ROOT-SERVERS.NET.      3600000      A     198.41.0.4
A.ROOT-SERVERS.NET.      3600000      AAAA  2001:503:BA3E::2:30
;
; FORMERLY NS1.ISI.EDU
;
.                        3600000      NS    B.ROOT-SERVERS.NET.
B.ROOT-SERVERS.NET.      3600000      A     192.228.79.201
;
; FORMERLY C.PSI.NET
;
.                        3600000      NS    C.ROOT-SERVERS.NET.
C.ROOT-SERVERS.NET.      3600000      A     192.33.4.12
;
; FORMERLY TERP.UMD.EDU
;
.                        3600000      NS    D.ROOT-SERVERS.NET.
D.ROOT-SERVERS.NET.      3600000      A     128.8.10.90
;
; FORMERLY NS.NASA.GOV
;
.                        3600000      NS    E.ROOT-SERVERS.NET.
E.ROOT-SERVERS.NET.      3600000      A     192.203.230.10
;
; FORMERLY NS.ISC.ORG
;
.                        3600000      NS    F.ROOT-SERVERS.NET.
F.ROOT-SERVERS.NET.      3600000      A     192.5.5.241
F.ROOT-SERVERS.NET.      3600000      AAAA  2001:500:2F::F
;
; FORMERLY NS.NIC.DDN.MIL
;
.                        3600000      NS    G.ROOT-SERVERS.NET.
G.ROOT-SERVERS.NET.      3600000      A     192.112.36.4
;
; FORMERLY AOS.ARL.ARMY.MIL
;
.                        3600000      NS    H.ROOT-SERVERS.NET.
H.ROOT-SERVERS.NET.      3600000      A     128.63.2.53
H.ROOT-SERVERS.NET.      3600000      AAAA  2001:500:1::803F:235
;
; FORMERLY NIC.NORDU.NET
;
.                        3600000      NS    I.ROOT-SERVERS.NET.
I.ROOT-SERVERS.NET.      3600000      A     192.36.148.17
I.ROOT-SERVERS.NET.      3600000      AAAA  2001:7FE::53
;
; OPERATED BY VERISIGN, INC.
;
.                        3600000      NS    J.ROOT-SERVERS.NET.
J.ROOT-SERVERS.NET.      3600000      A     192.58.128.30
J.ROOT-SERVERS.NET.      3600000      AAAA  2001:503:C27::2:30
;
; OPERATED BY RIPE NCC
;
.                        3600000      NS    K.ROOT-SERVERS.NET.
K.ROOT-SERVERS.NET.      3600000      A     193.0.14.129
K.ROOT-SERVERS.NET.      3600000      AAAA  2001:7FD::1
;
; OPERATED BY ICANN
;
.                        3600000      NS    L.ROOT-SERVERS.NET.
L.ROOT-SERVERS.NET.      3600000      A     199.7.83.42
L.ROOT-SERVERS.NET.      3600000      AAAA  2001:500:3::42
;
; OPERATED BY WIDE
;
.                        3600000      NS    M.ROOT-SERVERS.NET.
M.ROOT-SERVERS.NET.      3600000      A     202.12.27.33
M.ROOT-SERVERS.NET.      3600000      AAAA  2001:DC3::35
; End of File

zekkerj · 15 de Outubro de 2013, 18:37

OK.

Está igual ao do pacote que acabei de instalar aqui. Daí resolvi olhar a versão mais nova, disponível em ftp://ftp.internic.net/domain/named.cache , não há nenhuma alteração significativa (exceto o server D.ROOT-SERVERS.NET. que mudou de "A 128.8.10.90" para "A 199.7.91.13" / "AAAA 2001:500:2D:: D".

skn_metal · 15 de Outubro de 2013, 18:55

A versão dos Repositórios está desatualizada?