Я не уверен, почему я не могу получить доступ к своему подчиненному DNS из-за пределов моей сети. Я, вероятно, сделал что-то неправильно при настройке, но я просто не могу понять, что именно. Может кто-нибудь мне немного помочь? Спасибо уже.
pfSense (10.1.1.1): Интерфейс: WAN Протокол: UDP Исходный адрес: * Исходные порты: * Адрес назначения: WAN Адрес Порты назначения: 53 NAT IP: 10.1.1.15 NAT Порты: 53
Я ничего не вижу в своем журнале, а мой интернет-провайдер уже открыл все UDP-порты.
Подчиненный DNS (10.1.1.15): /etc/named.conf:
options {
listen-on port 53 { 127.0.0.1; 10.1.1.15; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { any; };
recursion yes;
allow-recursion { 127.0.0.1; 10.1.1.0/24; };
allow-recursion-on { 127.0.0.1; 10.1.1.0/24; };
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN {
type forward;
# forward only;
forwarders { 213.186.33.99; 8.8.8.8; 8.8.4.4; };
};
zone "domain1.com.br" IN {
type slave;
file "bak.domain1.com.br";
masterfile-format text;
masters { masterdnsip; };
};
zone "domain2.com.br" IN {
type slave;
file "bak.domain2.com.br";
masterfile-format text;
masters { masterdnsip; };
};
zone "domain3.com.br" IN {
type slave;
file "bak.domain3.com.br";
masterfile-format text;
masters { masterdnsip; };
};
zone "re.ver.se.ip.in-addr.arpa" IN {
type slave;
file "bak.domain1.com.br-reverso";
masterfile-format text;
masters { masterdnsip; };
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
решение1
Если ваш WAN-адрес действительно 10.1.1.1, который входит в диапазон частных адресов, то я действительно не понимаю, как ваш сервер имен может быть доступен из Интернета, если только ваш интернет-провайдер не предоставил вам публичный IP-адрес, который он сопоставляет с этим адресом (или, по крайней мере, сопоставляет вам DNS-порт 53 оттуда).
решение2
Попробуйте выполнить захват пакетов, либо с помощьюtcpdumpна машине pfSense и DNS-сервере или с помощью портов SPAN на коммутаторах и Wireshark. Таким образом, вы можете увидеть пакеты до и после брандмауэра и убедиться, что ваши правила NAT работают нормально. Далее, если трафик также правильно попадает на ваш DNS-сервер, вы можете начать проверку конфигурации этого сервера.
Если вы можете сделать захват пакетов, пожалуйста, поделитесь этой информацией с нами. Это поможет нам проанализировать проблему, так как в настоящее время у нас слишком мало информации для работы.