Eu já tenho uma configuração similar trabalhando em outro host com o BIND 8.4.7
Estou migrando para um novo servidor de nomes, então decidi atualizar o BIND para 9.7.3
A configuração é semelhante a esta, mas adicionei algumas restrições permissivas (talvez redundantes), tentando fazê-la funcionar.
//named.conf
options {
listen-on-v6 { any; };
listen-on { any; };
};
acl "lan" { 127.0.0.1; 192.168.x.0/24; };
view "internal" {
match-clients { "lan"; };
match-destinations { any; };
zone "foo.com" IN {
type master;
allow-query { any; };
allow-recursion { any; };
file "foo.com.internal.hosts";
};
};
view "external" {
match-clients { any; };
match-destinations { any; };
zone "foo.com" IN {
type master;
allow-query { any; };
allow-recursion { any; };
file "foo.com.hosts";
};
};
Existem alguns testes no host local.
//nslookup from localhost
> server 127.0.0.1
Default server: 127.0.0.1
Address: 127.0.0.1#53
> bar
Server: 127.0.0.1
Address: 127.0.0.1#53
** server can't find bar: NXDOMAIN
Teste na mesma rede.
//nslookup from "lan"
> server 192.168.x.y
Default server: 192.168.x.y
Address: 192.168.x.y#53
> bar
Server: 192.168.x.y
Address: 192.168.x.y#53
** server can't find bar: NXDOMAIN
O teste de outra rede falha.
//nslookup from outside "lan", 192.168.x.y NAT'd to 192.168.z.y
> server 192.168.z.y
Default server: 192.168.z.y
Address: 192.168.z.y#53
> bar
Server: 192.168.z.y
Address: 192.168.z.y#53
** server can't find bar: REFUSED
Então, minha pergunta é: por que essa configuração não funciona no BIND mais recente?
É preciso especificar a especificação exata da rede remota, isso é o que eu descobri, "any" não funciona como esperado para mim, nem definir uma rede mais ampla do que a que está realmente consultando o servidor de nomes, por exemplo rede é 10.2.11.0/24 usando uma ACL definida como 10.2.0.0/23 não corresponderá, esse foi o meu problema.
Tags bind nat domain-name-system