No se puede acceder al DNS esclavo desde la red externa: ¿Mal configuración de Bind9 o problema con el firewall?

tag-icon tag-icon domain-name-system bind
No se puede acceder al DNS esclavo desde la red externa: ¿Mal configuración de Bind9 o problema con el firewall?

No estoy seguro de por qué no puedo acceder a mi DNS esclavo desde fuera de mi red. Probablemente hice algo mal al configurarlo, pero no puedo entender qué. ¿Alguien puede darme un poco de ayuda? Gracias desde ya.

pfSense (10.1.1.1): Interfaz: Protocolo WAN: UDP Dirección de origen: * Puertos de origen: * Destino. Dirección: Dirección WAN Dest. Puertos: 53 NAT IP: 10.1.1.15 Puertos NAT: 53

No puedo ver nada en mi registro y mi ISP ya abrió todos los puertos UDP.

DNS esclavo (10.1.1.15): /etc/named.conf:

options {
        listen-on port 53 { 127.0.0.1; 10.1.1.15; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };
        recursion yes;        
        allow-recursion { 127.0.0.1; 10.1.1.0/24; };
        allow-recursion-on { 127.0.0.1; 10.1.1.0/24; };

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";
        managed-keys-directory "/var/named/dynamic";

         pid-file "/run/named/named.pid";
        session-keyfile "/run/named/session.key";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};
zone "." IN {
        type forward;
#        forward only;
forwarders { 213.186.33.99; 8.8.8.8; 8.8.4.4; };
};


zone "domain1.com.br" IN {
        type slave;
        file "bak.domain1.com.br";
        masterfile-format text;
        masters { masterdnsip; };
};

zone "domain2.com.br" IN {
        type slave;
 file "bak.domain2.com.br";
        masterfile-format text;
        masters { masterdnsip; };
};
zone "domain3.com.br" IN {
        type slave;
        file "bak.domain3.com.br";
        masterfile-format text;
        masters { masterdnsip; };
};

zone "re.ver.se.ip.in-addr.arpa" IN {
        type slave;
        file "bak.domain1.com.br-reverso";
        masterfile-format text;
        masters { masterdnsip; };
};


include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

Respuesta1

Si su dirección WAN realmente es 10.1.1.1, que está en un rango de direcciones privadas, entonces realmente no veo cómo se puede acceder a su servidor de nombres desde Internet a menos que su ISP le haya proporcionado una IP pública que MAPA a esa dirección (o al menos asignar el puerto DNS 53 desde allí hacia usted).

Respuesta2

Intente realizar capturas de paquetes, ya sea contcpdumpen la máquina pfSense y el servidor DNS o usando puertos SPAN en sus conmutadores y usando Wireshark. De esa manera podrá ver los paquetes antes y después del firewall y verificar que sus reglas NAT estén funcionando bien. A continuación, si el tráfico también ingresa correctamente a tu servidor DNS, puedes comenzar a verificar la configuración de ese servidor.

Si puede realizar algunas capturas de paquetes, comparta esa información con nosotros también. Nos ayudará a analizar el problema ya que actualmente tenemos muy poca información con la que trabajar.

información relacionada