permitir que el servidor DNS y de nombres local sea accesible desde Internet

tag-icon tag-icon internal-dns
permitir que el servidor DNS y de nombres local sea accesible desde Internet

Les presento el contexto: tengo una ip pública fija que está configurada en mi pfsense en la wan; Tengo internet en mi lan; en mi lan tengo un servidor DNS local (ubuntu 22.04 con bind9 con ip 10.14.14.10) donde configuro la zona con un dominio real que compré (mm-it.ro); en el registro (donde compré el dominio). Configuré el dominio mm-it.ro para que apunte a mi IP pública (86.125.220.243); en pfsense, en la configuración general, puse la ip del servidor DNS interno y en NAT&Rules está configurado que todo, desde el wan en el puerto 53, apunte a la ip de mi servidor DNS local.

Ahora: en LAN todo está funcionando; Puedo resolver en el navegador desde cualquier cliente de mi LAN:www.mm-it.ro, correo.mm-it.ro. Pero desde internet no puedo llegar al dominio; Espero aproximadamente 72 horas para la propagación después de registrar la IP pública de ese dominio en el sitio de registro; No cambio nada: no puedo hacer ping a mm-it.ro o ns1.mm-it.ro; en mxtoolbox, en la búsqueda de DNS, decía 'DNS No respondió ningún servidor de nombres válido' y después de seleccionar "buscar problemas", decía Unable to resolve "mm-it.ro" to an IP address.

No sé dónde está el problema: en pfsense o en la configuración de mi servidor dns, porque en mi red local, ¿todo funciona? A continuación encontrará mi configuración en el servidor de mayo.

db.mm-it.ro (fw)

$TTL    604800
@       IN      SOA     ns1.mm-it.ro. admin.mm-it.ro. (
                              6         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      ns1.mm-it.ro.
        IN      MX      10      mail.mm-it.ro.
ns1     IN      A       10.14.14.10
mm-it.ro.       IN      A       10.14.14.10
www     IN      A       10.14.14.11
mail    IN      A       10.14.14.12

db.10 (reverso)

$TTL    604800
@       IN      SOA     ns1.mm-it.ro. admin.mm-it.ro. (
                              5         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      ns1.
10      IN      PTR     ns1.mm-it.ro.
10      IN      PTR     mm-it.ro.
11      IN      PTR     www.mm-it.ro.
12      IN      PTR     mail.mm-it.ro.

nombrado.conf.local

zone "mm-it.ro" {
        type master;
        file "/etc/bind/db.mm-it.ro";
};

zone "14.14.10.in-addr.arpa" {
        type master;
        notify no;
        file "/etc/bind/db.10";
};

opciones.de.conf.con nombre

acl ips {
        86.125.220.243;
        localhost;
        localnets;
        10.14.14.0/24;
};

options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

        recursion yes;
        allow-query { ips; };
        allow-query-cache { ips; };
        allow-recursion { ips; };

        forwarders {
                8.8.8.8;
                8.8.4.4;
        };

        //========================================================================
        // If BIND logs error messages about the root key being expired,
        // you will need to update your keys.  See https://www.isc.org/bind-keys
        //========================================================================
        
        dnssec-validation auto;

        listen-on-v6 port 53 { ::1; };
        listen-on port 53 { 127.0.0.1; 10.14.14.10; };
};

Y en pfserver tengo reglas para que todo lo que proviene de WAN en el puerto 53 sea redirigido al puerto 53 a mi servidor dns en su ip 10.14.14.10. También deshabilité los servicios Dns Resolvery DNS Forwarder.

Por favor ayúdenme a indicarme dónde puede estar el problema.

Respuesta1

Si bien, como han sugerido otros, es muy posible que el DNS de su dominio se proporcione desde dentro del dominio, dado que los registros adhesivos o los registros A en un dominio diferente se publican, no haga esto. En serio.

El alojamiento DNS es realmente económico: la mayoría de los registradores lo regalan al registrarse. Por el contrario, ejecutar cualquier tipo de servidor en Internet requiere un alto nivel de habilidad e inversión en fortalecimiento y monitoreo/mantenimiento continuo. Existe un riesgo significativo de que su servidor DNS y potencialmente su dominio puedan terminar siendo objeto de abuso con fines muy nefastos sin que usted tenga ningún conocimiento al respecto hasta que la policía llame a su puerta.

Respuesta2

Gracias a todos por las respuestas. Entiendo que también debo tener otra configuración de zona para el exterior/Internet (vista dividida). Pero terminé instalando bind en pfsense e hice toda la configuración allí y está funcionando por ahora. Gracias.

información relacionada