Хорошо, вот наша настройка, мы запускаем pfSense в качестве нашего брандмауэра / маршрутизатора. У нас есть двойная глобальная сеть с бизнес-шлюзом Comcast и другим локальным интернет-провайдером. Мы запускаем Samba в качестве контроллера домена и Bind9 / Named для DNS. Вот в чем проблема, мы только что обновили нашу службу Comcast до более высокой скорости, и они заменили модем / шлюз. Как только они это сделали, мы больше не могли просматривать Интернет из локальной сети через канал Comcast. Если я отключу наш канал Comcast в pfSense, мы сможем выйти в Интернет через другого нашего провайдера. Я почти уверен, что проблема связана с Bind, но она не изменилась при замене модема. Вот некоторые результаты, когда я запускаю nslookup и копаю в поле контроллера домена / привязки. Оба nslookup и dig работают, если я указываю внешний DNS-сервер, но не когда они используют внутреннюю службу привязки DNS.
[root@dc etc]# nslookup comcast.com
Server: 127.0.0.1
Address: 127.0.0.1#53
** server can't find comcast.com: NXDOMAIN
[root@dc etc]# nslookup comcast.com 8.8.8.8
Server: 8.8.8.8
Address: 8.8.8.8#53
Non-authoritative answer:
Name: comcast.com
Address: 69.252.80.75
[root@dc etc]# dig comcast.com
; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7 <<>> comcast.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 3360
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;comcast.com. IN A
;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sat Apr 11 17:08:25 PDT 2020
;; MSG SIZE rcvd: 40
[root@dc etc]# dig @8.8.8.8 comcast.com
; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7 <<>> @8.8.8.8 comcast.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26449
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;comcast.com. IN A
;; ANSWER SECTION:
comcast.com. 32 IN A 69.252.80.75
;; Query time: 4 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sat Apr 11 17:08:43 PDT 2020
;; MSG SIZE rcvd: 56
Кроме того, если я отключу наш канал Comcast в pfSense и сделаю nslookup comcast.com или dig comcast.com по сравнению с другим интернет-провайдером они отлично возвращаются при использовании внутренней службы привязки DNS.
Вот мой файл named.conf
acl mynetworks {
192.168.254.0/24;
192.168.252.0/24;
192.168.251.0/24;
192.168.250.0/24;
};
options {
listen-on port 53 { localnets; };
listen-on-v6 { none; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { localhost; mynetworks; };
recursion yes;
dnssec-enable yes;
dnssec-validation auto;
dnssec-lookaside auto;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
# samba BIND9_DLZ
tkey-gssapi-keytab "/var/lib/samba/private/dns.keytab";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
channel my_log_file {
file "/var/log/named/named.log" versions 3 size 3m;
severity info;
print-time yes;
print-severity yes;
print-category yes;
};
channel my_syslog {
syslog daemon;
severity info;
print-time no;
print-severity no;
print-category no;
};
category default { my_log_file; my_syslog; };
category dnssec { my_log_file; };
category lame-servers { null; };
};
// so we can control the running named process with the rndc utility
include "/etc/rndc.key";
zone "." IN {
type hint;
file "named.ca";
};
dlz "tipping.lan" {
database "dlopen /usr/lib64/samba/bind9/dlz_bind9_9.so";
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
Если я подключаю ноутбук напрямую к модему Comcast, я могу нормально выйти в Интернет. Кроме того, если я обойду наш контроллер домена на рабочей станции в локальной сети для использования внешнего DNS-сервера, я могу получить доступ к Интернету через канал Comcast.
Так почему же DNS / Bind работает с одним каналом, а с другим - нет? Любая помощь будет принята с благодарностью.
Мне удалось исправить свои проблемы с DNS, переведя BIND в режим пересылки и запретив ему использовать корневые серверы полномочий. Кажется, Comcast SecurityEdge блокирует корневые серверы, но не 1.1.1.1 или 8.8.8.8