Только пересылка DNS / прокси-сервер отвечает SERVFAIL
У нас есть внутренний DNS-сервер 64.104.128.236, который доступен только в определенной подсети (10.106.xx / 16) . Я создаю частную сеть (192.168.xx / 16), из которой я хотел бы разрешать запросы DNS с помощью 64.104.128.236
Итак, теперь у меня есть прокси-сервер (CentOS 7.5) с интерфейсами -
- 10.106 .179.30, который может получить доступ к DNS-серверу
- 192.168.180.100 для связи в частной сети
. Я установил bind-utils на прокси-сервере со следующей конфигурацией в /etc/ named.conf :
options {
listen-on port 53 { 127.0.0.1; any; };
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
recursing-file "/var/named/data/named.recursing";
secroots-file "/var/named/data/named.secroots";
allow-query { localhost; any; };
recursion yes;
forwarders { 64.104.128.236; };
forward only;
dnssec-enable yes;
dnssec-validation yes;
};
Из моего клиента (192.168.180.81), когда я пытаюсь nslookup, я всегда получаю SERVFAIL
> facebook.com
Server: 192.168.180.100
Address: 192.168.180.100#53
------------
QUESTIONS:
facebook.com, type = A, class = IN
ANSWERS:
AUTHORITY RECORDS:
ADDITIONAL RECORDS:
------------
** server can't find facebook.com: SERVFAIL
Я вижу, что он успешно разрешается на моем прокси-сервере, но это не передается.
[root@warmachine ~]# nslookup facebook.com
Server: 64.104.128.236
Address: 64.104.128.236#53
Non-authoritative answer:
Name: facebook.com
Address: 157.240.7.35
tcpdump на прокси сервер выглядит таким образом (Клиент -> Прокси -> DNS):
[root@warmachine ~]# tcpdump -n -i any host 192.168.180.81 or host 64.104.128.236
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
00:15:51.643536 IP 192.168.180.81.44537 > 192.168.180.100.domain: 49291+ A? facebook.com. (30)
00:15:51.646761 IP 10.106.179.30.rbr-discovery > 64.104.128.236.domain: 33001+% [1au] A? facebook.com. (41)
00:15:51.651612 IP 64.104.128.236.domain > 10.106.179.30.rbr-discovery: 33001- 1/2/4 A 157.240.7.35 (152)
00:15:51.652572 IP 192.168.180.100.domain > 192.168.180.81.44537: 49291 ServFail 0/0/0 (30)
00:15:51.653823 IP 192.168.180.81.43489 > 192.168.180.100.domain: 11362+ A? facebook.com. (30)
00:15:51.654216 IP 10.106.179.30.56534 > 64.104.128.236.domain: 14438+% [1au] A? facebook.com. (41)
00:15:51.659101 IP 64.104.128.236.domain > 10.106.179.30.56534: 14438- 1/2/4 A 157.240.7.35 (152)
00:15:51.659686 IP 192.168.180.100.domain > 192.168.180.81.43489: 11362 ServFail 0/0/0 (30)
Неправильно ли я подхожу к этому?
Итак, это оказалась проблема DNSSEC. Обновлены следующие конфигурации в /etc/ named.conf , и теперь все работает нормально
dnssec-enable no;
dnssec-validation no;