Auf den Slave-DNS kann von einem externen Netzwerk nicht zugegriffen werden: Fehlkonfiguration von Bind9 oder Firewall-Problem?

tag-icon tag-icon domain-name-system bind
Auf den Slave-DNS kann von einem externen Netzwerk nicht zugegriffen werden: Fehlkonfiguration von Bind9 oder Firewall-Problem?

Ich bin mir nicht sicher, warum ich von außerhalb meines Netzwerks nicht auf meinen Slave-DNS zugreifen kann. Wahrscheinlich habe ich bei der Konfiguration etwas falsch gemacht, aber ich komme einfach nicht dahinter, was. Kann mir jemand ein wenig weiterhelfen? Vielen Dank schon mal.

pfSense (10.1.1.1): Schnittstelle: WAN Protokoll: UDP Quelladresse: * Quellports: * Zieladresse: WAN-Adresse Zielports: 53 NAT-IP: 10.1.1.15 NAT-Ports: 53

Ich kann in meinem Protokoll nichts sehen und mein ISP hat bereits alle UDP-Ports geöffnet.

Slave-DNS (10.1.1.15): /etc/named.conf:

options {
        listen-on port 53 { 127.0.0.1; 10.1.1.15; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };
        recursion yes;        
        allow-recursion { 127.0.0.1; 10.1.1.0/24; };
        allow-recursion-on { 127.0.0.1; 10.1.1.0/24; };

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";
        managed-keys-directory "/var/named/dynamic";

         pid-file "/run/named/named.pid";
        session-keyfile "/run/named/session.key";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};
zone "." IN {
        type forward;
#        forward only;
forwarders { 213.186.33.99; 8.8.8.8; 8.8.4.4; };
};


zone "domain1.com.br" IN {
        type slave;
        file "bak.domain1.com.br";
        masterfile-format text;
        masters { masterdnsip; };
};

zone "domain2.com.br" IN {
        type slave;
 file "bak.domain2.com.br";
        masterfile-format text;
        masters { masterdnsip; };
};
zone "domain3.com.br" IN {
        type slave;
        file "bak.domain3.com.br";
        masterfile-format text;
        masters { masterdnsip; };
};

zone "re.ver.se.ip.in-addr.arpa" IN {
        type slave;
        file "bak.domain1.com.br-reverso";
        masterfile-format text;
        masters { masterdnsip; };
};


include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

Antwort1

Wenn Ihre WAN-Adresse tatsächlich 10.1.1.1 lautet und sich somit in einem privaten Adressbereich befindet, dann sehe ich wirklich nicht, wie Ihr Nameserver vom Internet aus erreicht werden kann, es sei denn, Ihr ISP hat Ihnen eine öffentliche IP-Adresse zugewiesen, die er dieser Adresse zuordnet (oder Ihnen zumindest den DNS-Port 53 von dort zuordnet).

Antwort2

Versuchen Sie Paketerfassungen, entweder mittcpdumpauf der pfSense-Maschine und dem DNS-Server oder indem Sie SPAN-Ports auf Ihren Switches und Wireshark verwenden. Auf diese Weise können Sie die Pakete vor und nach der Firewall sehen und überprüfen, ob Ihre NAT-Regeln einwandfrei funktionieren. Wenn der Datenverkehr auch korrekt auf Ihren DNS-Server gelangt, können Sie als Nächstes mit der Überprüfung der Konfiguration dieses Servers beginnen.

Wenn Sie in der Lage sind, einige Pakete zu erfassen, teilen Sie uns diese Informationen bitte ebenfalls mit. Dies hilft uns bei der Analyse des Problems, da uns derzeit zu wenige Informationen zur Verfügung stehen.

verwandte Informationen