У нас есть linux box (называется jumper), который используется для доступа к серверам в нескольких отдельных DMZ. У каждой DMZ есть собственное имя поддомена (например, idmz.example.org, jdmz.example.org), и у каждого поддомена есть собственный авторитетный сервер имен.
Мы находимся в процессе замены старой перемычки Solaris на новую коробку Linux. Большинство вещей работают хорошо, но у нас проблема с подключением к серверам в субдомене. idmz.example.com используя SSH. Пинг работает нормально; мы можем разрешить имя, используя dig, но SSH сообщает: «Не удалось разрешить».
Разрешение имен хорошо работает на стороне сервера, и когда мы подключаемся с использованием IP-адреса, нет ни задержки, ни тайм-аута. Но SSH на стороне клиента утверждает, что не может разрешить сервер.
jenny@jumper$ ping server.idmz.example.com
PING server.idmz.example.com (192.168.1.3) 56(84) bytes of data.
jenny@jumper$ ssh -v server.idmz.example.com
OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
ssh: Could not resolve hostname server.idmz.example.com: Name or service not known
jenny@jumper$ ssh 192.168.1.3
jenny@192.168.1.3's password:
Единственное отличие, которое я вижу со стороны клиента, заключается в том, что я не могу получить авторитетный ответ от серверов имен для idmz, но я получаю его из всех других доменов DMZ.
Мы связались с системными администраторами DNS-серверов и попросили их проверить настройку для idmz. Оказалось, что их сервер имен утверждал, что обрабатывает IPV6, но не давал правильного ответа на запросы IPV6.
На сервере Solaris по умолчанию использовался IPV4. На новом сервере Linux SSH сначала попробовал IPV6. В данном случае это означало, что, поскольку он не мог разрешить имя сервера с помощью IPV6, он считал его неразрешимым. Для других доменов dmz сервер имен давал правильные ответы даже при использовании IPV6.
Мы изменили конфигурацию SSH, чтобы включить
AddressFamily inet
и проблема ушла.