Nach dem Entfernen von Google DNS

tag-icon tag-icon centos dns bind9
Nach dem Entfernen von Google DNS

Ich habe DNS eingerichtet, das als externer DNS-Server fungiert. Alle Einstellungen sind Standard, der Administrator hat mir gesagt, ich solle die Root-Hints-Datei verwenden, die sich unter /var/named/named.ca befindet. Und die Root-Zone wird in der Datei /etc/named.conf erwähnt.

options {
        listen-on port 53 { 127.0.0.1; 192.168.161.1; };
        #listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        recursing-file  "/var/named/data/named.recursing";
        secroots-file   "/var/named/data/named.secroots";
        allow-query     { any; };
        filter-aaaa-on-v4 yes;
        #OPTIONS = "-4"
        /*
         - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
         - If you are building a RECURSIVE (caching) DNS server, you need to enable
           recursion.
         - If your recursive DNS server has a public IP address, you MUST enable access
           control to limit queries to your legitimate users. Failing to do so will
           cause your server to become part of large scale DNS amplification
           attacks. Implementing BCP38 within your network would greatly
           reduce such attack surface
        */
        recursion yes;

        dnssec-enable yes;
        dnssec-validation yes;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";

        pid-file "/run/named/named.pid";
        session-keyfile "/run/named/session.key";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "." IN {
        type hint;
        file "named.ca";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

Ich starte den benannten Dienst neu, aber wenn ich einen Ping an ein beliebiges Domänensystem ausführe, kann er nicht aufgelöst werden

Nach dem Entfernen von Google DNS

wenn ich "127.0.0.1" und "192.168.161.1" hinzufüge und den Netzwerkdienst neu starte. und google.com @localhost eingeben. Es gibt diese Antwort

dig google.com @localhost

; <<>> DiG 9.9.4-RedHat-9.9.4-72.el7 <<>> google.com @localhost
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 24654
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;google.com.                    IN      A

;; Query time: 4001 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Mar 22 16:46:48 +03 2020
;; MSG SIZE  rcvd: 39

Antwort1

Erstens pingist dies nicht die beste Möglichkeit, DNS-Probleme zu diagnostizieren. Sie möchten dig:

shadur@vigil:~$ dig google.com @localhost

; <<>> DiG 9.10.3-P4-Debian <<>> google.com @localhost
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55786
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;google.com.                    IN      A

;; ANSWER SECTION:
google.com.             22      IN      A       216.58.211.110

;; Query time: 90 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Mar 22 14:02:39 CET 2020
;; MSG SIZE  rcvd: 55

Dadurch erhalten Sie viel mehr Informationen, die - selbst wenn sie für Sie noch nicht hilfreich sind - mit viel größerer Wahrscheinlichkeit für die Leute aufschlussreich sind, die Ihnen dabei helfen möchten, herauszufinden, was schief läuft.

Zweitens, nach dem Konfigurationsausschnitt zu urteilen, den Sie dort eingefügt haben, und der Beschreibung dessen, was Sie zu tun versuchen, ist Ihr Problem die Zeile, die geht

recursion no;

Denn dadurch wird BIND9 mitgeteilt, dass es nur Anfragen für Domänen beantworten soll, die sich in seiner eigenen internen Liste bekannter Domänen befinden (was in den Kommentaren direkt darüber als AUTORITATIVER Server bezeichnet wird), und Sie versuchen mit Ihren Ping-Versuchen, ihn als RECURSING-Server zu verwenden.

(Es wird im Allgemeinen nicht empfohlen, beide auf derselben Maschine auszuführen, und wenn Sie es tun, sollten Sie sehr vorsichtig sein, wen Sie rekursiv ausführen lassen; offene Rekursoren sind eine schlechte Nachricht für Ihr Netzwerk.)

Wenn Ihnen das oben genannte zu technisch ist, empfehle ich Ihnen die Installation pdns-recursorvonPowerDNSProjekt stattdessen.

verwandte Informationen