시스코 DNS 의사 또는 헤어핀?

8

CISCO 881, IOS 15.2 (4) M6 구성입니다. WAN 인터페이스에는 ISP의 86.34.156.48/29 서브넷이 구성되어 있습니다. 라우터 뒤에는 2 개의 웹 서버가 있습니다. NAT : 86.34.156.51 <> 10.10.10.100 (개인 IP, 서버 1). 서버의 외부 IP (86.34.156.51)를 사용하여 BIND DNS 서버 A 레코드를 구성하면 외부 세계가 내 DNS 서버로부터 응답을 얻지 못합니다 (어떤 일이 발생하는지 모르겠습니다. 라우터가 DNS 의사 또는 다른 것을 수행 할 수 있습니다) 비슷합니다 (질문입니다)) DNS 서버가 구성되어 제대로 작동하는지 확인합니다 (TCP 덤프로 IP 패킷을 캡처했습니다). 그러나 서버 개인 IP (10.10.10.100)로 DNS 서버 A 레코드를 구성하면 패킷이 이미 적절한 대상에 도착합니다 (서버 외부 IP, 아마도 DNS 의사도 있음).

어떻게해야합니까 ???

        +-----+
        |     |  an other host somewhere on internet(C)
        |     |
        +-----+
            |
            |
            :
            :  internet
            :

            |  

        +-----+
        |     |      ISP's router
        |     |       black box, without acces
        +-----+

            |
            | 86.34.456.48/29
        +-----+
        |     |      CISCO 881,
        |     |       IOS 15.2(4)M6
        +-----+
            |
            |
------------------------------------------------------------  local private network 10.10.10.0/24
    |                                           |
    | (86.34.156.51)                            | (Nat rule not yet attached)
    | 10.10.10.100                              | 10.10.10.101
    |                                           |
+-----+                                       +-----+
|     |                                       |     |
|     |                                       |     |
+-----+                                       +-----+
linux server (A)                                linux server (B)
BIND DNS server
 style2take.ro

다음은 약간의 발굴입니다 (Linux의 DNS 진단 도구).

호스트 B에서 : $ dig style2take.ro

;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42222
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;style2take.ro.                 IN      A

;; ANSWER SECTION:
style2take.ro.          0       IN      A       10.10.10.100                                                <-- here you can see the TTL is 0

;; Query time: 52 msec
;; SERVER: 193.231.100.130#53(193.231.100.130)
;; WHEN: Fri Feb 20 10:27:25 EET 2015
;; MSG SIZE  rcvd: 58

호스트 B : $ dig @ 10.10.10.100 style2take.ro

;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 65374
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;style2take.ro.                 IN      A

;; ANSWER SECTION:
style2take.ro.          3600    IN      A       10.10.10.100                                                <-- here you can see the TTL is 3600

;; AUTHORITY SECTION:
style2take.ro.          3600    IN      NS      ns1.style2take.ro.
style2take.ro.          3600    IN      NS      ns2.style2take.ro.

;; ADDITIONAL SECTION:
ns1.style2take.ro.      3600    IN      A       10.10.10.100
ns2.style2take.ro.      3600    IN      A       10.10.10.100

;; Query time: 0 msec
;; SERVER: 10.10.10.100#53(10.10.10.100)
;; WHEN: Fri Feb 20 10:28:58 EET 2015
;; MSG SIZE  rcvd: 126

호스트 C에서 : $ dig style2take.ro

;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32364
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 6, ADDITIONAL: 0

;; QUESTION SECTION:
;style2take.ro.                 IN      A

;; ANSWER SECTION:
style2take.ro.          0       IN      A       86.34.156.51                                                <-- here you can see the TTL is 0

;; AUTHORITY SECTION:
ro.                     106161  IN      NS      sns-pb.isc.org.
ro.                     106161  IN      NS      primary.rotld.ro.
ro.                     106161  IN      NS      sec-dns-a.rotld.ro.
ro.                     106161  IN      NS      sec-dns-b.rotld.ro.
ro.                     106161  IN      NS      dns-at.rotld.ro.
ro.                     106161  IN      NS      dns-ro.denic.de.

;; Query time: 149 msec
;; SERVER: 82.79.24.74#53(82.79.24.74)
;; WHEN: Fri Feb 20 10:29:52 2015
;; MSG SIZE  rcvd: 201

호스트 C에서 : $ dig @ 86.34.156.51 style2take.ro

; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48385
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;style2take.ro.                 IN      A

;; ANSWER SECTION:
style2take.ro.          0       IN      A       86.34.156.51                                                <-- here you can see the TTL is 0

;; AUTHORITY SECTION:
style2take.ro.          0       IN      NS      ns2.style2take.ro.
style2take.ro.          0       IN      NS      ns1.style2take.ro.

;; ADDITIONAL SECTION:
ns1.style2take.ro.      0       IN      A       86.34.156.51
ns2.style2take.ro.      0       IN      A       86.34.156.51

;; Query time: 29 msec
;; SERVER: 86.34.156.51#53(86.34.156.51)
;; WHEN: Fri Feb 20 10:35:05 2015
;; MSG SIZE  rcvd: 115
networking  domain-name-system  cisco  ttl 
스질 베스터 지그 몬드
소스
헤어핀은 어디서 나옵니까?
bao7uo

답변:

0

DNS를 확인하지 않으면 문제가 두 가지가 될 수 있습니다.

  1. 부적절한 DNS 구성-글로벌 DNS 시스템이 도메인의 NS가 무엇인지 알 수 있습니까? 이것은 이름 제공 업체에서 설정해야하는 것입니다. dig style2take.ro NS출력 이란 무엇입니까 ?

  2. 라우터가 DNS 요청을 허용하지 않습니다. 외부 서버에 접속하여 DNS의 포트 53에 telnet을 시도하십시오. telnet 86.34.156.51DNS는 UDP와 TCP를 통해 작동해야합니다. 이것은 최소한 TCP 부분을 테스트합니다.

StanTastic
소스
0

DNS 설정 (명명 된) 구성에서 외부 IP를 가질 필요는 없습니다. 내부 (10.10.10.100)를 어디에서나 사용할 수 있으며 라우터에서 86.34.156.51 ( ip nat inside source static 10.10.10.100 86.34.156.51) 로 NAT 할 수 있습니다 . 보조 DNS를 구성하려는 경우에도 동일한 사항이 적용됩니다. 10.10.10.101 (NS2로)을 NAT (86.34.156.51 등)에 사용하십시오. 또한 DNS 포트가 실제로 라우터에서 전달되고 Linux 서버의 방화벽에 의해 차단되지 않아야합니다. 웹 기반 포트 검사기를 사용하여 UDP 53이 열려 있는지 확인하십시오.

지나치게
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.