[FUG-BR] [OFF-TOPIC] DNS Reverso VS. Recursão
syncd
syncdzor em gmail.com
Terça Agosto 26 13:00:37 BRT 2008
2008/8/26 Thiago J. Ruiz <thiagojruiz em gmail.com>
> Bom dia Pessoal!
>
> Estava eu aqui feliz e contente quando um amigo (Matheu Cucoloto)
> me fez um questionamento:
>
> Porque DNS reverso não funciona quando eu desabilito a recursão no named?
>
> Certo vamos aos fatos:
>
> Tenho um named rodando fechado com acls:
>
> #### ARQUIVO DE CONF DO NAMED
> options {
> directory "/etc/namedb";
> pid-file "/var/run/named/pid";
> dump-file "/var/dump/named_dump.db";
> statistics-file "/var/stats/named.stats";
> transfer-format many-answers;
> # hide our "real" version number
> version "[secured]";
> };
>
>
> acl clientes {
> localhost; 10.0.0.0/16;
> };
>
> view "interna" {
> match-clients{ clientes; };
> recursion yes;
>
> .......zonas suprimidos
>
> };
>
> view "externa" {
> match-clients { any; };
> recursion no;
> additional-from-auth no;
> additional-from-cache no;
>
> zona-reversa....{
> ...
> };
> };
> ########### FIM DO ARQUIVO
>
> Agora a saida do dig a partir de uma máquina fora da rede, com a
> recursão desligada para clientes externos à rede:
>
> dig @ip.do.meu.server -x ip.do.meu.server
>
> ; <<>> DiG 9.3.4 <<>> @y.y.y.y -x y.y.y.y
> ; (1 server found)
> ;; global options: printcmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 8433
> ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
>
> ;; QUESTION SECTION:
> ;y.y.y.y.in-addr.arpa. IN PTR
>
> ;; Query time: 168 msec
> ;; SERVER: y.y.y.y#53(y.y.y.y)
> ;; WHEN: Tue Aug 26 11:37:15 2008
> ;; MSG SIZE rcvd: 45
>
> Agora a saida do dig a partir de uma máquina fora da rede, com a
> recursão ligada para clientes externos à rede:
>
> ; <<>> DiG 9.3.4 <<>> @Y.Y.Y.Y -x Y.Y.Y.Y
> ; (1 server found)
> ;; global options: printcmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18040
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2
>
> ;; QUESTION SECTION:
> ;Y.Y.Y.Y.in-addr.arpa. IN PTR
>
> ;; ANSWER SECTION:
> Y.Y.Y.Y.in-addr.arpa. 86400 IN CNAME YY.Y-Y.Y.Y.Y.in-addr.arpa.
> Y.Y.Y.Y.in-addr.arpa. 3600 IN PTR meu.dominio.com
>
> ;; AUTHORITY SECTION:
> Y-Y.Y.Y.Y.in-addr.arpa. 3600 IN NS meu.dominio.com
> Y-Y.Y.Y.Y.in-addr.arpa. 3600 IN NS dominio.com
>
> ... conteudo suprimido, desnecessário
>
> ;; Query time: 1200 msec
> ;; SERVER: 200.163.209.94#53(200.163.209.94)<http://200.163.209.94#53%28200.163.209.94%29>
> ;; WHEN: Tue Aug 26 11:41:33 2008
> ;; MSG SIZE rcvd: 161
>
>
> Alguém de vcs percebeu isso? Alguém já resolveu?
> Pesquisei no google por algum tempo hoje de manhã e não encontrei nada
> concreto.
> Também tentei fazer um view diferente para o DNS reverso, porém se eu
> colocar match-clients {any;}; ele vai habilitar recursão pra tudo
> novamente.
> Algum dos Gurus pode dar uma mãozinha?
>
> Forte abraço
>
Caro Thiago,
O mesmo problema não ocorre aqui. O reverso onde meu NS com recursão
desabilitada é autoridade é resolvido sim por outros NS inclusive por ele
mesmo. Não utilizo views nem acls, em meu options deixo da seguinte forma:
options {
directory ...
version ...
pid-file ...
dump-file ...
statisctics-file ...
allow-query { any; };
allow-transfer {meu_slave; };
transfer-format many-answers;
recursion no;
};
Talevz seja algum erro de semântica em sua configuração. Verifique.
--
-syncd!
Mais detalhes sobre a lista de discussão freebsd