Após atualizar o BIND: Por que recusar solicitações? O servidor está em uma rede NAT

3

Eu já tenho uma configuração similar trabalhando em outro host com o BIND 8.4.7

Estou migrando para um novo servidor de nomes, então decidi atualizar o BIND para 9.7.3

A configuração é semelhante a esta, mas adicionei algumas restrições permissivas (talvez redundantes), tentando fazê-la funcionar.

//named.conf
options {
    listen-on-v6 { any; };
    listen-on { any; };
};
acl "lan" { 127.0.0.1; 192.168.x.0/24; };
view "internal" {
  match-clients { "lan"; };
  match-destinations { any; };
  zone "foo.com" IN {
    type master;
    allow-query { any; };
    allow-recursion { any; };
    file "foo.com.internal.hosts";
  };
};
view "external" {
   match-clients { any; };
   match-destinations { any; };
   zone "foo.com" IN {
     type master;
     allow-query { any; };
     allow-recursion { any; };
     file "foo.com.hosts";
   };
};

Existem alguns testes no host local.

//nslookup from localhost 
> server 127.0.0.1
Default server: 127.0.0.1
Address: 127.0.0.1#53
> bar
Server:         127.0.0.1
Address:        127.0.0.1#53

** server can't find bar: NXDOMAIN

Teste na mesma rede.

//nslookup from "lan"
> server 192.168.x.y
Default server: 192.168.x.y
Address: 192.168.x.y#53
> bar
Server:     192.168.x.y
Address:    192.168.x.y#53

** server can't find bar: NXDOMAIN

O teste de outra rede falha.

//nslookup from outside "lan", 192.168.x.y NAT'd to 192.168.z.y
> server 192.168.z.y
Default server: 192.168.z.y
Address: 192.168.z.y#53
> bar
Server:     192.168.z.y
Address:    192.168.z.y#53

** server can't find bar: REFUSED

Então, minha pergunta é: por que essa configuração não funciona no BIND mais recente?

    
por AndresVia 02.05.2011 / 20:44

1 resposta

1

É preciso especificar a especificação exata da rede remota, isso é o que eu descobri, "any" não funciona como esperado para mim, nem definir uma rede mais ampla do que a que está realmente consultando o servidor de nomes, por exemplo rede é 10.2.11.0/24 usando uma ACL definida como 10.2.0.0/23 não corresponderá, esse foi o meu problema.

    
por 06.05.2011 / 18:13