none
Не работает DNS сервер за NAT RRS feed

  • Вопрос

  • Сейчас сеть выглядит так:  IP 1.1.1.2<->[CentOS - DNS сервер] <-192.168.1.0/24->[SBS2003]<-> 192.168.16.0/24. CentOS поддерживает зону domain.ru, SBS - domain.local интегрирован в AD. Пытаюсь исключить CentOS и заменить его роутером Zylax с теми же интерфейсами и пробросом портов, в том числе 53. Для этого перенес из CentOS файлы named.conf, domain.ru, 1.1.1.in-addr.arpa  в windows\system32\dns - см. ниже. В AD не интегрировал. В оснастке DNSMgmt зона domain.ru выглядит нормально. Снаружи адреса domain.ru не разрешаются. Что я делаю не так? Помогите, плиз.

    Файл BOOT:

    ;   DNS boot file
    cache   .   cache.dns
    ;   PRIMARY DOMAINS
    primary   domain.ru                 domain.ru.dns
    primary   1.1.1.in-addr.arpa   1.1.1.in-addr.arpa.dns

    Файл domain.ru.dns:

    @ IN SOA rb1. root.domain.ru. ( 2012080119 ; serial number 28800 ; refresh 7200 ; retry 2400000 ; expire 10800 ) ; default TTL ; ; Zone NS records ; @ NS ns.domain.ru. @ NS ns2.domain.ru. @ NS ns3.domain.ru. @ NS rb1. localhost A 127.0.0.1 rb1. A 127.0.0.1 ; ; Zone records ; @ A 1.1.1.2 @ MX 10 mail.domain.ru. 1-1-1-3 A 1.1.1.3 mail A 1.1.1.2 ns A 1.1.1.2 ns2 A 5.3.3.3 ns3 A 91.144.132.3 A 91.144.134.3 uuu A 1.1.1.6

    Файл 1.1.1.in-addr.arpa.dns:

    @                       IN  SOA rb1.  root.domain.ru. (
                            2012080113   ; serial number
                            28800        ; refresh
                            7200         ; retry
                            2400000      ; expire
                            10800      ) ; default TTL
    ;
    ;  Zone NS records
    ;
    @                       NS ns.domain.ru.
    ns.domain.ru.          A 192.168.1.1
    ns.domain.ru.          A 1.1.1.2
    @                       NS ns2.domain.ru.
    @                       NS ns3.domain.ru.
    ns3.domain.ru.         A 94.144.132.3
    ns3.domain.ru.         A 91.144.134.3
    ;
    ;  Zone records
    ;
    2                       PTR ns.domain.ru.
                            PTR mail.domain.ru.
    3                       PTR 1-1-1-3.domain.ru.
    6                       PTR uuu.domain.ru.



    UED

Ответы

Все ответы

  • Я правильно понимаю, что у Вас на хостинге указан ИП адрес обслуживающего DNS-сервера 1.1.1.2 на котором открыт порт 53 (TCP и UDP). Вы заменили компьютер с установленной CentOS на маршрутизатор Zylax и посл этого DNS сервер перестал отдавать ответы при осуществлении к нему запросов?

    Могу предположить только сетевую ошибку, возможно, что не корректно настроен файерволл на Zylax, который блокирует либо запрос, либо ответ.

    Вот кстати, столкнулся с тем, что, например, KES при открытии порта на входящее подключение позволяет работать в рамках созданной сессии, а вот Dr.Web требует открытие порта на входящее и исходящее подключение. Возможно, у Вас такой же случай?

  • пробросом портов, в том числе 53.

    UDP?

    Снаружи адреса domain.ru не разрешаются.

    а из внуренней сети? Из внешней сети так проверяете:

    nslookup mail.domain.ru ип.адрес.вашего.роутера

    что насчёт фаервола на SBS ?

    Модератор
  • 1.1.1.2 - это белый IP адрес моей сети. В CentOS он был на ее внешнем интерфейсе. DNS сервер зоны domain.ru работал на CentOS.  Сейчас  1.1.1.2  на WAN порту роутера и я его считаю адресом моего DNS сервера на SBS для зоны domain.ru для внешних сетей, поскольку порт 53 я пробрасываю на адрес SBS 192.168.1.1. Проверяю снаружи и по nslookup, и через all-nettools.com. C CentOS  все ок, с роутером "query failed"

    UED

  • Проверяю снаружи и по nslookup, и через all-nettools.com. C CentOS  все ок, с роутером "query failed"

    пробросьте 53 TCP, и проверьте telnet-ом снаружи. Ещё бы проверить nmap и UDP порты.
    Модератор
  • 1.1.1.2 - это белый IP адрес моей сети.
    В моем понимании "белый ip" означает реальный (публичный, внешний) ip, но ни как ни приватный ip. А в вашем?
  • 1.1.1.2 - это белый IP адрес моей сети.

    В моем понимании "белый ip" означает реальный (публичный, внешний) ip, но ни как ни приватный ip. А в вашем?
    я думаю, это был пример. хотя в ДНС прописаны NS c реальными адресами, которые раньше были на CentOS...
    Модератор
  • Естественно, 1.1.1.2 как и domain.ru - это замена реальных, реальные IP и домен другие, IP -  публичный, внешний, домен также зарегистрирован как должно.

    UED

  • telnet проверяет доступность порта по tcp, но не по udp. Для корректной работы DNS необходимо открыть 53 порт tcp и udp
  • telnet проверяет доступность порта по tcp, но не по udp.

    поэтому я и написал:

    Ещё бы проверить nmap и UDP порты.
    Модератор
  • telnet проверяет доступность порта по tcp, но не по udp.

    поэтому я и написал:

    Ещё бы проверить nmap и UDP порты.

    Верно! =)
  • Прочитав тему, так и не увидел ответа на сразу заданный вопрос - из внутренней сети, резольвинг domain.ru с "нового" DNS работает, нет?

    Проверка TCP/UDP портов... PortQry - https://www.microsoft.com/en-us/download/details.aspx?id=17148 - не пробовали?

    И кстати. Когда/если всё заработает, резольвинг зоны domain.local тоже будет доступен снаружи желающим. Это реально то, что хочется получить?


    S.A.


  • И кстати. Когда/если всё заработает, резольвинг зоны domain.local тоже будет доступен снаружи желающим.
    я бы сказал - знающим. А так да - небезопасно...
    Модератор
  • Господа, спасибо. На ISA открыл протокол DNS, заработало. Теперь буду думать за domain.local. Насколько небезопасно.

    UED

    • Предложено в качестве ответа AnahaymModerator 8 мая 2018 г. 11:11
    • Помечено в качестве ответа Vector BCOModerator 11 мая 2018 г. 16:34
  • изначально ISA не было в описании ;)
    Модератор
  • И кстати. Когда/если всё заработает, резольвинг зоны domain.local тоже будет доступен снаружи желающим.

    я бы сказал - знающим. А так да - небезопасно...

    Начались атаки "Тип входа 3: Сетевой. Проброшены порты 25, 53(UDP), 1723. Когда закрываю порт 25, атаки прекращаются. Вопрос, есть ли настройки Exchange Server, чтобы не допустить таких атак? 

    Тип события:	Аудит отказов
    Источник события:	Security
    Категория события:	Вход/выход 
    Код события:	529
    Дата:		14.05.2018
    Время:		13:42:17
    Пользователь:		NT AUTHORITY\SYSTEM
    Компьютер:	RB1
    Описание:
    Сбой входа в систему:
     	Причина:	неизвестное имя пользователя или неверный пароль
     	Пользователь:	scans@domain.ru (м б просто scans, тогда пакет проверки MICROSOFT...)
     	Домен:		
     	Тип входа:	3
     	Процесс входа:	Advapi  
     	Пакет проверки:	Negotiate (м б MICROSOFT_AUTHENTICATION_PACAGE_V1_))
     	Рабочая станция:	RB1
     	Имя вызывающего пользователя:	RB1$
     	Домен вызывающего:	DOMAIN
     	Код входа вызывающего:	(0x0,0x3E7)
     	Код процесса вызывающего:	1488
     	Промежуточные службы:	-
     	Адрес сети источника:	-
     	Порт источника:	-
    
    
    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
    


    UED

  • Можете отключить в настройках коннектора, отвечающего за приём сообщений снаружи, все варианты аутентификации (кроме проверки подлинности TLS), и оставить разрешения на доступ к коннектору только анонимусу.

    Это если у Вас внутри нет "простых" почтовых клиентов, отправляющих сообщения через SMTP, и/или других внутренних почтовых серверов, которые общаются по SMTP с этим сервером.

    Если же таковые есть, можно для унутре и для наружи использовать коннекторы с разными настройками. Например, повесить на интерфейсе дополнительный IP, его прописать в дополнительном коннекторе с только анонимным доступом для приёма внешних сообщений, именно его публиковать для внешнего доступа, а внутри продолжать использовать уже имеющийся, со стандартными настройками.

    P.S. Казалось бы, причём тут DNS ? ;)


    S.A.