Bind odpovídá pouze požadavkům z localhostu

Mám nainstalovaný balíčkový Bind na systému Debian Etch. Konfigurační soubory jsou upraveny částečně podle tohoto jelikož to byl jeden z nejnovějších návodů, které jsem našel, kde se píše jak bezpečně nastavit Bind přesně pro mou potřebu.

Můj problém spočívá v tom, že při testech server odpovídá pouze na požadavky z localhostu a od jinud ne. Zkoušel sem nslookup z windows a odpověď byla, že nelze najít název serveru pro adresu dns serveru.(Ve windows síťování nejsem moc zkušený) Všechny testy z localhostu jako named-checkzone, named-checkconf, host na lokální i internetové adresy, ... nevykazují žádné problémy. V logu taky není nic podezřelého, co by mě přímo praštilo do očí.

Přikládám configuráky. I když sem je prošel mockrát a mockrát poupravoval, tak pořád nemůžu přijít na chybu. Nejspíš to bude nějaká trivialita, kterou prostě nevidím. Odhaduji to na nějaký zákaz komunikace kamkoliv jinam než s localhostem.


//soubor named.conf

acl "xfer" {
    none; 
};

acl "trusted" {
    192.168.150.0/24; //povolení pro vnitrni sit
    localhost; //povoleni pro localhost
};

acl "bogon" { 
    //seznam siti ktere jsou experimental atp.
};

logging {
    channel default_syslog {
	//vetsina zprav se posila do syslogu
	syslog local2;
	severity debug;
    };
    
    channel audit_log {
	file "/var/log/named.log";
	severity debug;
	print-time yes;
    };
    
    category default { default_syslog; };
    category general { default_syslog; };
    category security {audit_log; default_syslog; };
    category config { default_syslog; };
    category resolver { audit_log; };
    category xfer-in { audit_log; };
    category xfer-out { audit_log; };
    category notify { audit_log; };
    category client { audit_log; };
    category network { audit_log; };
    category update { audit_log; };
    category queries { audit_log; };
    category lame-servers { audit_log; };
    
};

include "/etc/bind/named.conf.options";

//Definice view
view "internal-in" in {
    //Interni sit
    match-clients { trusted; };
    recursion yes;
    additional-from-auth yes;
    additional-from-cache yes;

    zone "." in {
	type hint;
	file "/etc/bind/db.root";
    };

    zone "localhost" in {
	type master;
	file "/etc/bind/db.local";
	
	allow-query {
	    any;
	};
	
	allow-transfer {
	    none;
	};
    };

    zone "127.in-addr.arpa" in {
	type master;
	file "/etc/bind/db.127";
	
	allow-query {
	    any;
	};
	
	allow-transfer {
	    none;
	};
    };

    zone "0.in-addr.arpa" in {
	type master;
	file "/etc/bind/db.0";
	
	allow-query {
	    any;
	};
	
	allow-transfer {
	    none;
	};
    };

    zone "255.in-addr.arpa" in {
	type master;
	file "/etc/bind/db.255";
    };
    
    zone "domena.net" in {
	type master;
	file "/etc/bind/named.domena.net";
	
	allow-query {
	    any;
	};
    };
    
    zone "150.168.192.in-addr.arpa" in {
	type master;
	file "/etc/bind/named.rev";
	
	allow-query {
	    any;
	};
    };
    
};

view "external-in" in {
    //externi sit
    match-clients { any; };
    recursion no;
    additional-from-auth no;
    additional-from-cache no;
    
    zone "." in {
    	type hint;
    	file "/etc/bind/db.root";
    };
    
    zone "domena.net" in {
	type master;
	file "/etc/bind/named.domena.net";
	
	allow-query {
	    any;
	};
    };
    
    zone "150.168.192.in-addr.arpa" in {
	type master;
	file "/etc/bind/named.rev";
	
	allow-query {
	    any;
	};
    };

}; 

view "external-chaos" chaos {
    //umozneni internim dotazat se na verzi bindu
    match-clients { any; };
    recursion no;
    
    zone "." {
	type hint;
	file "/dev/null";
    };
    
    zone "bind" {
	type master;
	file "/etc/bind/db.bind";
	
	allow-query {
	    trusted;
	};
	
	allow-transfer {
	    none;
	};
    };
    
};
//konec view

//soubor named.conf.options

options {
	directory "/var/cache/bind";
	zone-statistics yes;
	notify no;
	transfer-format many-answers;
	max-transfer-time-in 60;
	
	listen-on {
	    127.0.0.1;
	    192.168.150.123;
	};
	
	allow-transfer {
	    xfer; 
	};
	
	allow-query {
	    trusted;
	};
	
	blackhole {
	    bogon;
	};

	forwarders {
		212.158.128.2;
		212.158.128.3;
	 };

};

Díky za každou pomoc

Poslouchá bind na příslušných interface? Co vypíše:

netstat -a -n -p|grep 53

A co netfilter (iptables), nemůže být TCP a/n. UDP port 53 filtrován?

27.8.2008 11:36 dandyg | blog: dandyg
Rozbalit Rozbalit vše Re: Bind odpovídá pouze požadavkům z localhostu

Nad iptables sem taky uvažoval,ale všude mam policy na ACCEPT bez dalších pravidel.

Netstat vypisuje:

tcp        0      0 192.168.150.123:53      0.0.0.0:*               LISTEN     1928/named          
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN     1928/named          
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN     1928/named          
tcp6       0      0 ::1:953                 :::*                    LISTEN     1928/named          
udp        0      0 192.168.150.123:53      0.0.0.0:*                          1928/named          
udp        0      0 127.0.0.1:53            0.0.0.0:*                          1928/named          
unix  2      [ ACC ]     STREAM     NASLOUCHÁ    5301     2027/mysqld         /var/run/mysqld/mysqld.sock

z čehož vyplývá, že nenaslouchá udp packetům na portu 53 na žádném rozhraní? Tím pádem by ale nešly ani požadavky z localhostu. Nebo ano?

Dotaz: Bind odpovídá pouze požadavkům z localhostu

Odpovědi