permitir que o servidor DNS e nome local seja acessado pela Internet

tag-icon tag-icon internal-dns
permitir que o servidor DNS e nome local seja acessado pela Internet

Apresento o contexto: tenho ip fixo público que está configurado para meu pfsense na wan; Tenho internet na minha LAN; na minha lan tenho um servidor DNS local (ubuntu 22.04 com bind9 com ip 10.14.14.10) onde configurei a zona com um domínio real que comprei (mm-it.ro); no registro (de onde comprei o domínio). Configurei o domínio mm-it.ro para apontar para meu IP público (86.125.220.243); no pfsense, no setup geral, coloco o ip do servidor DNS interno e no NAT&Rules está configurado que tudo desde o wan na porta 53 até apontar para o ip do meu servidor DNS local.

Agora: na LAN está tudo funcionando; Posso resolver no navegador de qualquer cliente da minha lan:www.mm-it.ro, mail.mm-it.ro. Mas pela internet não consigo acessar o domínio; Aguardo cerca de 72 horas pela propagação após registrar o IP público desse domínio no site registrador; nada que eu mude: a não pode fazer ping para mm-it.ro ou ns1.mm-it.ro; em mxtoolbox na pesquisa de DNS disse 'DNS No Valid NameServers Responded' e depois de selecionar "encontrar problemas" ele disse Unable to resolve "mm-it.ro" to an IP address.

Não sei onde está o problema: no pfsense ou na configuração do meu servidor dns, pois na minha rede local funciona tudo? Abaixo encontre minha configuração no servidor de maio

db.mm-it.ro (fw)

$TTL    604800
@       IN      SOA     ns1.mm-it.ro. admin.mm-it.ro. (
                              6         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      ns1.mm-it.ro.
        IN      MX      10      mail.mm-it.ro.
ns1     IN      A       10.14.14.10
mm-it.ro.       IN      A       10.14.14.10
www     IN      A       10.14.14.11
mail    IN      A       10.14.14.12

db.10 (reverso)

$TTL    604800
@       IN      SOA     ns1.mm-it.ro. admin.mm-it.ro. (
                              5         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      ns1.
10      IN      PTR     ns1.mm-it.ro.
10      IN      PTR     mm-it.ro.
11      IN      PTR     www.mm-it.ro.
12      IN      PTR     mail.mm-it.ro.

nomeado.conf.local

zone "mm-it.ro" {
        type master;
        file "/etc/bind/db.mm-it.ro";
};

zone "14.14.10.in-addr.arpa" {
        type master;
        notify no;
        file "/etc/bind/db.10";
};

nomeado.conf.options

acl ips {
        86.125.220.243;
        localhost;
        localnets;
        10.14.14.0/24;
};

options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

        recursion yes;
        allow-query { ips; };
        allow-query-cache { ips; };
        allow-recursion { ips; };

        forwarders {
                8.8.8.8;
                8.8.4.4;
        };

        //========================================================================
        // If BIND logs error messages about the root key being expired,
        // you will need to update your keys.  See https://www.isc.org/bind-keys
        //========================================================================
        
        dnssec-validation auto;

        listen-on-v6 port 53 { ::1; };
        listen-on port 53 { 127.0.0.1; 10.14.14.10; };
};

E no pfserver tenho regras para que tudo que vem da WAN na porta 53 seja redirecionado para a porta 53 para o meu servidor dns no seu ip 10.14.14.10. Também desativei os serviços Dns Resolvere o DNS Forwarder.

Por favor, ajude-me a me indicar onde pode estar o problema.

Responder1

Embora, como outros sugeriram, seja bem possível que o DNS do seu domínio seja servido de dentro do domínio, visto que os registros cola ou registros A em um domínio diferente são publicados, não faça isso. Seriamente.

A hospedagem DNS é realmente barata - a maioria dos registradores a oferece gratuitamente com os registros. Por outro lado, a execução de qualquer tipo de servidor na Internet requer um alto nível de habilidade e investimento em proteção e monitoramento/manutenção contínuos. Existe um risco significativo de que o seu servidor DNS e potencialmente o seu domínio acabem sendo abusados ​​para fins muito nefastos sem que você tenha qualquer conhecimento sobre isso até que a polícia bata à sua porta.

Responder2

Obrigado a todos pelas respostas. Entendo que preciso ter também outra configuração de zona para externa/internet (splitview). Mas acabei instalando o bind no pfsense e fiz toda a configuração lá e está funcionando por enquanto. Obrigado.

informação relacionada