none
Не работает DNS сервер за NAT RRS feed

 > 

  • Вопрос

  • Question
    Нужно войти
    0
    Нужно войти

    Сейчас сеть выглядит так:  IP 1.1.1.2<->[CentOS - DNS сервер] <-192.168.1.0/24->[SBS2003]<-> 192.168.16.0/24. CentOS поддерживает зону domain.ru, SBS - domain.local интегрирован в AD. Пытаюсь исключить CentOS и заменить его роутером Zylax с теми же интерфейсами и пробросом портов, в том числе 53. Для этого перенес из CentOS файлы named.conf, domain.ru, 1.1.1.in-addr.arpa  в windows\system32\dns - см. ниже. В AD не интегрировал. В оснастке DNSMgmt зона domain.ru выглядит нормально. Снаружи адреса domain.ru не разрешаются. Что я делаю не так? Помогите, плиз.

    Файл BOOT:
    ;   DNS boot file
    cache   .   cache.dns
    ;   PRIMARY DOMAINS
    primary   domain.ru                 domain.ru.dns
    primary   1.1.1.in-addr.arpa   1.1.1.in-addr.arpa.dns
    Файл domain.ru.dns:
    @                       IN  SOA rb1.  root.domain.ru. (
                        	2012080119   ; serial number
                        	28800        ; refresh
                        	7200         ; retry
                        	2400000      ; expire
                        	10800      ) ; default TTL
;
;  Zone NS records
;
@                       NS	ns.domain.ru.
@                       NS	ns2.domain.ru.
@                       NS	ns3.domain.ru.
@                       NS	rb1.
localhost               A	127.0.0.1
rb1.                    A	127.0.0.1

;
;  Zone records
;

@                       A	1.1.1.2
@                       MX	10	mail.domain.ru.
1-1-1-3           A	1.1.1.3
mail                    A	1.1.1.2
ns                      A	1.1.1.2
ns2                     A	5.3.3.3
ns3                     A	91.144.132.3
                        A	91.144.134.3
uuu                     A	1.1.1.6
    Файл 1.1.1.in-addr.arpa.dns:
    @                       IN  SOA rb1.  root.domain.ru. (
                            	2012080113   ; serial number
                            	28800        ; refresh
                            	7200         ; retry
                            	2400000      ; expire
                            	10800      ) ; default TTL
    ;
    ;  Zone NS records
    ;
    @                       NS	ns.domain.ru.
    ns.domain.ru.          A	192.168.1.1
    ns.domain.ru.          A	1.1.1.2
    @                       NS	ns2.domain.ru.
    @                       NS	ns3.domain.ru.
    ns3.domain.ru.         A	94.144.132.3
    ns3.domain.ru.         A	91.144.134.3
    ;
    ;  Zone records
    ;
    2                       PTR	ns.domain.ru.
                            PTR	mail.domain.ru.
    3                       PTR	1-1-1-3.domain.ru.
    6                       PTR	uuu.domain.ru.

    UED

    8 мая 2018 г. 6:53
    |

Ответы

Все ответы

  • Question
    Нужно войти
    1
    Нужно войти

    Я правильно понимаю, что у Вас на хостинге указан ИП адрес обслуживающего DNS-сервера 1.1.1.2 на котором открыт порт 53 (TCP и UDP). Вы заменили компьютер с установленной CentOS на маршрутизатор Zylax и посл этого DNS сервер перестал отдавать ответы при осуществлении к нему запросов?

    Могу предположить только сетевую ошибку, возможно, что не корректно настроен файерволл на Zylax, который блокирует либо запрос, либо ответ.

    Вот кстати, столкнулся с тем, что, например, KES при открытии порта на входящее подключение позволяет работать в рамках созданной сессии, а вот Dr.Web требует открытие порта на входящее и исходящее подключение. Возможно, у Вас такой же случай?

    8 мая 2018 г. 7:02
    |
  • Question
    Нужно войти
    0
    Нужно войти
    пробросом портов, в том числе 53.

    UDP?

    Снаружи адреса domain.ru не разрешаются.

    а из внуренней сети? Из внешней сети так проверяете:

    nslookup mail.domain.ru ип.адрес.вашего.роутера

    что насчёт фаервола на SBS ?

    8 мая 2018 г. 7:03
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти
    1.1.1.2 - это белый IP адрес моей сети. В CentOS он был на ее внешнем интерфейсе. DNS сервер зоны domain.ru работал на CentOS.  Сейчас  1.1.1.2  на WAN порту роутера и я его считаю адресом моего DNS сервера на SBS для зоны domain.ru для внешних сетей, поскольку порт 53 я пробрасываю на адрес SBS 192.168.1.1. Проверяю снаружи и по nslookup, и через all-nettools.com. C CentOS  все ок, с роутером "query failed"

    UED

    8 мая 2018 г. 7:23
    |
  • Question
    Нужно войти
    1
    Нужно войти
    Проверяю снаружи и по nslookup, и через all-nettools.com. C CentOS  все ок, с роутером "query failed"

    пробросьте 53 TCP, и проверьте telnet-ом снаружи. Ещё бы проверить nmap и UDP порты.
    8 мая 2018 г. 7:40
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти
    1.1.1.2 - это белый IP адрес моей сети.
    В моем понимании "белый ip" означает реальный (публичный, внешний) ip, но ни как ни приватный ip. А в вашем?
    8 мая 2018 г. 7:50
    |
  • Question
    Нужно войти
    0
    Нужно войти

    1.1.1.2 - это белый IP адрес моей сети.

    В моем понимании "белый ip" означает реальный (публичный, внешний) ip, но ни как ни приватный ip. А в вашем?
    я думаю, это был пример. хотя в ДНС прописаны NS c реальными адресами, которые раньше были на CentOS...
    8 мая 2018 г. 7:54
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти
    Естественно, 1.1.1.2 как и domain.ru - это замена реальных, реальные IP и домен другие, IP -  публичный, внешний, домен также зарегистрирован как должно.

    UED

    8 мая 2018 г. 8:13
    |
  • Question
    Нужно войти
    1
    Нужно войти
    telnet проверяет доступность порта по tcp, но не по udp. Для корректной работы DNS необходимо открыть 53 порт tcp и udp
    8 мая 2018 г. 8:32
    |
  • Question
    Нужно войти
    1
    Нужно войти
    telnet проверяет доступность порта по tcp, но не по udp.

    поэтому я и написал:

    Ещё бы проверить nmap и UDP порты.
    8 мая 2018 г. 8:35
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    telnet проверяет доступность порта по tcp, но не по udp.

    поэтому я и написал:

    Ещё бы проверить nmap и UDP порты.

    Верно! =)
    8 мая 2018 г. 8:36
    |
  • Question
    Нужно войти
    2
    Нужно войти

    Прочитав тему, так и не увидел ответа на сразу заданный вопрос - из внутренней сети, резольвинг domain.ru с "нового" DNS работает, нет?

    Проверка TCP/UDP портов... PortQry - https://www.microsoft.com/en-us/download/details.aspx?id=17148 - не пробовали?

    И кстати. Когда/если всё заработает, резольвинг зоны domain.local тоже будет доступен снаружи желающим. Это реально то, что хочется получить?

    S.A.


    8 мая 2018 г. 9:19
    |
  • Question
    Нужно войти
    0
    Нужно войти

    И кстати. Когда/если всё заработает, резольвинг зоны domain.local тоже будет доступен снаружи желающим.
    я бы сказал - знающим. А так да - небезопасно...
    8 мая 2018 г. 9:32
    |
    Модератор
  • Question
    Нужно войти
    1
    Нужно войти
    Господа, спасибо. На ISA открыл протокол DNS, заработало. Теперь буду думать за domain.local. Насколько небезопасно.

    UED

    • Предложено в качестве ответа AnahaymModerator 8 мая 2018 г. 11:11
    • Помечено в качестве ответа Vector BCOModerator 11 мая 2018 г. 16:34
    8 мая 2018 г. 10:09
    |
  • Question
    Нужно войти
    1
    Нужно войти
    изначально ISA не было в описании ;)
    8 мая 2018 г. 11:11
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    И кстати. Когда/если всё заработает, резольвинг зоны domain.local тоже будет доступен снаружи желающим.

    я бы сказал - знающим. А так да - небезопасно...

    Начались атаки "Тип входа 3: Сетевой. Проброшены порты 25, 53(UDP), 1723. Когда закрываю порт 25, атаки прекращаются. Вопрос, есть ли настройки Exchange Server, чтобы не допустить таких атак? 

    Тип события:	Аудит отказов
Источник события:	Security
Категория события:	Вход/выход 
Код события:	529
Дата:		14.05.2018
Время:		13:42:17
Пользователь:		NT AUTHORITY\SYSTEM
Компьютер:	RB1
Описание:
Сбой входа в систему:
 	Причина:	неизвестное имя пользователя или неверный пароль
 	Пользователь:	scans@domain.ru (м б просто scans, тогда пакет проверки MICROSOFT...)
 	Домен:		
 	Тип входа:	3
 	Процесс входа:	Advapi  
 	Пакет проверки:	Negotiate (м б MICROSOFT_AUTHENTICATION_PACAGE_V1_))
 	Рабочая станция:	RB1
 	Имя вызывающего пользователя:	RB1$
 	Домен вызывающего:	DOMAIN
 	Код входа вызывающего:	(0x0,0x3E7)
 	Код процесса вызывающего:	1488
 	Промежуточные службы:	-
 	Адрес сети источника:	-
 	Порт источника:	-


Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

    UED

    14 мая 2018 г. 10:06
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Можете отключить в настройках коннектора, отвечающего за приём сообщений снаружи, все варианты аутентификации (кроме проверки подлинности TLS), и оставить разрешения на доступ к коннектору только анонимусу.

    Это если у Вас внутри нет "простых" почтовых клиентов, отправляющих сообщения через SMTP, и/или других внутренних почтовых серверов, которые общаются по SMTP с этим сервером.

    Если же таковые есть, можно для унутре и для наружи использовать коннекторы с разными настройками. Например, повесить на интерфейсе дополнительный IP, его прописать в дополнительном коннекторе с только анонимным доступом для приёма внешних сообщений, именно его публиковать для внешнего доступа, а внутри продолжать использовать уже имеющийся, со стандартными настройками.

    P.S. Казалось бы, причём тут DNS ? ;)

    S.A.

    14 мая 2018 г. 13:17
    |