Назад | Перейти на главную страницу

Запуск сервера имен за NAT

У меня есть подключение к Интернету со статическим IP-адресом от моего интернет-провайдера. У меня есть почтовые серверы и веб-серверы, размещенные на нем. Я бы хотел запустить пару серверов имен, получив еще один статический IP-адрес от моего интернет-провайдера. Я перенаправил порты TCP и UDP с моего локального IP-адреса, а подключение к Интернету управляется pfsense. Служба сопоставления и пересылки DNS отключена.

Я попытался настроить сервер имен через NAT и перенаправил PORT 53 для трафика udp и tcp. Но все же, когда я пытаюсь запросить запись для зоны на моем сервере имен, используя dig извне или внутри, я получаю сообщение об ошибке «ни один сервер недоступен». Есть ли какое-либо руководство или информация, которые помогут мне настроить серверы имен за NAT или решить эту проблему?

Мой интернет-провайдер подтвердил, что у них нет блоков или фильтров. Я также подтвердил, что никакие порты не блокируются и не фильтруются с моей стороны. Имя сервера имен - ns1.sitehosters.in.

КОНФИГУРАЦИЯ ETHERNET на NS1

auto eth1
iface eth1 inet static
address 192.168.1.12 
netmask 255.255.255.0 
gateway 192.168.1.1(PFSENSE) 
dns-nameservers 8.8.8.8

/etc/bind/ named/conf.options

options {
directory "/var/cache/bind";
dnssec-validation auto;
auth-nxdomain no;
listen-on-v6 { any; };
};

Файл Named.conf.local на ns1

nano /etc/bind/named.conf.local
zone "sitehosters.in" {
type master;
allow-transfer {none;};
file"/etc/bind/pri.sitehosters.in"
};

Вывод Netstat снизу:

tcp 0 0 192.168.1.36:domain . LISTEN 1156/named 
tcp 0 0 localhost:domain . LISTEN 1156/named 
tcp 0 0 localhost:953 . LISTEN 1156/named 
udp 0 0 192.168.1.36:domain . 1156/named 
udp 0 0 localhost:domain . 1156/named

DNSCHECK в PINGDOM

No name servers found at child.

No name servers could be found at the child. 
This usually means that the child is not configured to answer queries about the zone.

Найдите несколько снимков экрана конфигурации моего маршрутизатора, которые могут помочь вам указать мне правильное направление. Я использую pfsense на ПК, который управляет всем подключением к Интернету и брандмауэром.

При использовании захвата пакетов на моем WAN-порту в pfsense я получаю

19:05:02.660753 IP xx.xx.xx.xx.13747 > 8.8.8.8.53: UDP, length 27
19:05:02.669900 IP 8.8.8.8.53 > xx.xx.xx.xx.13747: UDP, length 509
19:05:02.670409 IP xx.xx.xx.xx.63621 > 8.8.8.8.53: UDP, length 44
19:05:02.694125 IP xx.xx.xx.xx.34919 > 8.8.8.8.53: UDP, length 27
19:05:02.704487 IP 8.8.8.8.53 > xx.xx.xx.xx.34919: UDP, length 509
19:05:02.705580 IP xx.xx.xx.xx.11687 > 8.8.8.8.53: UDP, length 44
19:05:02.741893 IP 8.8.8.8.53 > xx.xx.xx.xx.11687: UDP, length 208
19:05:02.741919 IP 8.8.8.8.53 > xx.xx.xx.xx.63621: UDP, length 208

19:13:39.682095 IP 81.143.220.107.51368 > xx.xx.xx.xx.53: tcp 0
19:13:39.682355 IP xx.xx.xx.xx.53 > 81.143.220.107.51368: tcp 0
19:13:39.893583 IP 81.143.220.107.51368 > xx.xx.xx.xx: tcp 0
19:13:39.894893 IP 81.143.220.107.51368 > xx.xx.xx.xx.53: tcp 34
19:13:39.895023 IP xx.xx.xx.xx.53 > 81.143.220.107.51368: tcp 0
19:13:39.895353 IP xx.xx.xx.xx.53 > 81.143.220.107.51368: tcp 155
19:13:40.100199 IP 81.143.220.107.51368 > xx.xx.xx.xx.53: tcp 0
19:13:40.100220 IP 81.143.220.107.51368 > xx.xx.xx.xx.53: tcp 0

В отчете на intodns.com говорится:

DNS servers responded   ERROR: One or more of your nameservers did not respond:
The ones that did not respond are: xx.xx.xx.xx

Я понял. У интернет-провайдера был фильтр на 53-м порту, хотя он был открыт. Нужно сменить провайдера, так как они не могут снять блокировку. Спасибо всем за время, потраченное на решение вопроса

Если вы хотите запустить сервер имен, который является полномочным органом для зоны Intenet, тогда его нужно будет правильно адресовать с помощью общедоступного IP-адреса.

Если вы должны поместить сервер имен за NAT, тогда устройство NAT должно включать соответствующий шлюз уровня приложения (ALG). Хотя многие устройства NAT будут включать ALG, подходящий для NAT для IP-адреса клиента, я не знаю, созданы ли какие-либо из них для записей SOA NAT и т. Д.

Если у вас есть только общедоступные адреса / 32, вы можете перенаправить порт через внешний маршрутизатор, а затем протолкнуть его через второе устройство NAT, чтобы восстановить исходный IP-адрес назначения. Сверху у меня в голове это должно сработать, но я еще долго не думал об этом.

Я не рассматривал подробно конфигурации yopu, но заметил, что у вас 8.8.8.8 определено как сервер имен. Если вы не хотите ограничить свой сервер имен только авторитетным, тогда вам нужно установить значение 127.0.0.1.

По размышлению, NATing дважды не нужен. DNS-серверу может потребоваться интерфейс с общедоступным IP-адресом, однако вы, вероятно, сможете добиться этого с помощью вторичного IP-адреса на интерфейсе.