[Resolvido]Configuração DNS forwarders

[groove]

Olá galera, estou com dificuldades em fazer meu servidor dns resolver ips da internet como www.google.com.
Consegui configurar o meu servidor dns pra resolver os endereços internos, funciona sem problemas.
Antes que possam alegar falta de comunicação com a internet, consigo pingar sem problemas ips válidos como 8.8.8.8
Minha rede está como descrito no tópico http://ubuntuforum-pt.org/index.php/topic,89101.30.html.

Segue a configuração do servidor DNS:
named.conf.local

Código: [Selecionar]

zone "dragons" {
    type master;
    file "/etc/bind/db.dragons";
};
db.dragons(gerei um arquivo a partir do template db.empty e acrescentei as seguintes linhas)

Código: [Selecionar]

www    IN    A    10.128.3.10
named.conf.options

Código: [Selecionar]

options {
    directory "/var/cache/bind";
    forwarders {
        8.8.8.8;
        8.8.4.4;
    }:


[zekkerj]

Por acaso vc lembrou de criar uma zona "hint"?

[groove]

Não sei pra que serve esta zona, mas ela está dentro do named.conf. Eu criei minha zona no named.conf.local pra separar.

[zekkerj]

Ela serve justamente pra fazer as consultas à internet.

Vc não precisa definir forwarders, se vc tem acesso direto à internet. Vc usa forwarders se vc não tem acesso direto, nesse caso vc encaminha todas as suas consultas para uma ou mais máquinas que têm esse acesso direto.

Se vc tem acesso direto, deixe sem nenhum forwarder. Assim sua máquina vai usar a informação da zona hint para saber onde começar a procurar os endereços DNS pela internet, e daí fazer todas as consultas sozinha.

[groove]

Aí que está, meu servidor DNS não tem acesso direto a internet, ele tem que passar pelo gateway.
Não teria que configura mais alguma coisa?

As vezes parece que a máquina não fica configurada com o DNS, como verifico se a configuração DNS está ok, somente no /etc/resolv.conf?
Não sei se isso aconteceu contigo, mas aqui toda vez que eu editava o /etc/resolv.conf o arquivo volta a configuração original. Dai tive que ir no /etc/dhcp3/dhcpcliente.conf e apagar as linhas referentes ao DNS lá. É um bug isso?

[zekkerj]

Aí que está, meu servidor DNS não tem acesso direto a internet, ele tem que passar pelo gateway.

Isso conta como acesso direto. Basta que seu gateway permita a passagem das consultas.

É uma situação diferente da que eu tenho no serviço: lá o gateway não permite a passagem de nada, exceto o que passa pelo squid. Então o meu servidor DNS tem que repassar as consultas via uma máquina que é a única autorizada a sair pra internet.

As vezes parece que a máquina não fica configurada com o DNS, como verifico se a configuração DNS está ok, somente no /etc/resolv.conf?

Quem, o próprio servidor, ou as outras máquinas de sua rede?

Não sei se isso aconteceu contigo, mas aqui toda vez que eu editava o /etc/resolv.conf o arquivo volta a configuração original. Dai tive que ir no /etc/dhcp3/dhcpcliente.conf e apagar as linhas referentes ao DNS lá. É um bug isso?

Não é bug não. Se vc configura a máquina pra receber o servidor DNS via DHCP, ela vai fazer isso. Se vc quer receber apenas o endereço IP via DHCP, tem que configurar de acordo.

[groove]

Aí que está, meu servidor DNS não tem acesso direto a internet, ele tem que passar pelo gateway.

Isso conta como acesso direto. Basta que seu gateway permita a passagem das consultas.

Quando eu pingo 8.8.8.8 não posso considerar que o gateway está "permitindo" a passagem?

As vezes parece que a máquina não fica configurada com o DNS, como verifico se a configuração DNS está ok, somente no /etc/resolv.conf?

Quem, o próprio servidor, ou as outras máquinas de sua rede?

As outras máquinas, os clientes.

Não sei se isso aconteceu contigo, mas aqui toda vez que eu editava o /etc/resolv.conf o arquivo volta a configuração original. Dai tive que ir no /etc/dhcp3/dhcpcliente.conf e apagar as linhas referentes ao DNS lá. É um bug isso?

Não é bug não. Se vc configura a máquina pra receber o servidor DNS via DHCP, ela vai fazer isso. Se vc quer receber apenas o endereço IP via DHCP, tem que configurar de acordo.

Esqueci de mencionar, a máquina estava configurada com ip static e mesmo assim o dhcp insistia em fornecer o servidor DNS alterando o arquivo.

[zekkerj]

Aí que está, meu servidor DNS não tem acesso direto a internet, ele tem que passar pelo gateway.

Isso conta como acesso direto. Basta que seu gateway permita a passagem das consultas.

Quando eu pingo 8.8.8.8 não posso considerar que o gateway está "permitindo" a passagem?

Sim, conta. Note que vc não precisa acessar apenas esse endereço, mas qualquer outro endereço possível na internet.

As vezes parece que a máquina não fica configurada com o DNS, como verifico se a configuração DNS está ok, somente no /etc/resolv.conf?

Quem, o próprio servidor, ou as outras máquinas de sua rede?

As outras máquinas, os clientes.

Então vc tem que verificar a configuração de cada uma delas.
Se elas recebem o IP a partir do DHCP, fica fácil: basta vc programar o DHCP pra distribuir o seu endereço como DNS também.

Não sei se isso aconteceu contigo, mas aqui toda vez que eu editava o /etc/resolv.conf o arquivo volta a configuração original. Dai tive que ir no /etc/dhcp3/dhcpcliente.conf e apagar as linhas referentes ao DNS lá. É um bug isso?

Não é bug não. Se vc configura a máquina pra receber o servidor DNS via DHCP, ela vai fazer isso. Se vc quer receber apenas o endereço IP via DHCP, tem que configurar de acordo.

Esqueci de mencionar, a máquina estava configurada com ip static e mesmo assim o dhcp insistia em fornecer o servidor DNS alterando o arquivo.

Então tem alguma outra configuração atuando nisso.

[groove]

Então como explica o servidor DNS não funcionar? Não é problema com bloqueio de pacotes indo pra internet. Qualquer outro endereço pinga se colocar o ip, mas pelo nome não resolve.
O dns funciona somente na máquina onde está o servidor DNS instalado e na máquina gateway.

Todas máquinas tem ip static, o dhcp se mete lá não sei porque. Dei uma procurada na web ai e falaram que era bug, só lembrando que estou usando debian lenny

Quando dou o comando nslookup www.google.com, o resultado é esse:

Código: [Selecionar]

Server: 10.228.3.10
Address: 10.228.3.10#53

** server can't find www.google.com: REFUSED
Parece que tem algo bloqueando os clientes de usarem o servidor DNS.

[groove]

Só faltava uma configuração dentro do /etc/bind/named.conf.options.
http://www.vivaolinux.com.br/artigo/Ajustes-finos-no-Bind-%28servidor-DNS%29?pagina=2

Código: [Selecionar]

allow-query {any;};


[zekkerj]

Cuidado com esse "allow-query { any; };".

O melhor é liberar só pro endereço da sua rede interna, por segurança.

[groove]

Quais são os problemas, além de consumo de banda/servidor - caso todos passem a usar meu servidor DNS lol - eu posso ter?

[zekkerj]

Há um ataque de DNS spoofing que pode ser usado contra os clientes do seu servidor. Por isso, não se deve aceitar consultas vindas da internet.