Novo no Linux e procurando ajuda amigável.
Minha empresa está reconfigurando nossa infra-estrutura de DNS de rede para apontar nossos servidores DNS internos em duas novas máquinas CentOS 7 / BIND 9 em nossa DMZ, em vez de procurar diretamente para resolver hosts desconhecidos. Instalei o núcleo do CentOS, configurei o IP, o Mask e o GW para a rede em que os servidores estão e verifiquei se a conectividade IP está funcionando.
# cat /etc/sysconfig/network-scripts/ifcfg-ens160
TYPE="Ethernet"
BOOTPROTO="none"
DEFROUTE="yes"
IPV4_FAILURE_FATAL="no"
IPV6INIT="yes"
IPV6_AUTOCONF="yes"
IPV6_DEFROUTE="yes"
IPV6_FAILURE_FATAL="no"
NAME="ens160"
UUID="939ac388-1804-487d-a38c-307b7fa8ac18"
DEVICE="ens160"
ONBOOT="yes"
IPADDR="10.1xx.x.x"
PREFIX="24"
GATEWAY="10.1xx.x.1"
DNS1="127.0.0.1"
DNS2="8.8.8.8"
DNS3="198.41.0.4"
IPV6_PEERDNS="yes"
IPV6_PEERROUTES="yes"
IPV6_PRIVACY="no"
Eu consegui então instalar o BIND e o BIND-UTILS. Depois disso tudo desceu a colina. Eu não posso executar nslookups em qualquer coisa de qualquer servidor ou do meu servidor DNS de teste interno. Eu trabalhei com o nosso engenheiro de firewall e ele verificou que o tráfego DNS é permitido entre o meu servidor DNS de teste interno para os dois servidores de cache DNS da DMZ e deles para o mundo; tentando alcançá-lo agora para garantir que o NAT externo esteja funcionando. Eu tenho localhost, 8.8.8.8 e 198.41.0.4 configurado como os servidores DNS para ambos os servidores de cache DNS.
# cat /etc/resolv.conf
# Generated by NetworkManager
search <my.domain>
nameserver 127.0.0.1
nameserver 8.8.8.8
nameserver 198.41.0.4
Arquivo de hosts:
# cat /etc/hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
Arquivo de rede:
cat /etc/sysconfig/network
# Created by anaconda
Eu também tentei desativar o firewall em ambos os servidores, mas não há mudança de comportamento.
Eu odeio por isso ser o atraso no projeto, mas eu realmente odeio usar servidores Windows para isso ... :) Qualquer ajuda seria muito apreciada.
----------- UPDATE ------------
Obrigado a todos por suas respostas. O 127.0.0.1 está lá como um espaço reservado que será substituído pelo IP do outro servidor no par. O pensamento é que, se alguém não tem um registro em cache, o outro pode perguntar primeiro antes de chegar ao mundo em busca de informações. Eu removi 127.0.0.1 da lista por enquanto, reiniciei o servidor, e nslookups estão trabalhando agora. :-) A conectividade IP sempre funcionou mesmo que a resolução de DNS não estivesse, isso permitiu que eu atualizasse as dicas de Root ontem de manhã. Quanto a não usar o Linux e rodar com o Windows, não é minha decisão ... O gerenciamento quer usar o Linux para isso e eu fui marcado para fazer isso acontecer. Assim, estou buscando ajuda de pessoas que têm mais experiência com isso. Vou passar meu final de semana enterrado em www.Pluralsight.com tentando aprender mais.
# dig +short @198.41.0.4 serverfault.com
# dig +short @8.8.8.8 serverfault.com
104.16.46.232
104.16.48.232
104.16.49.232
104.16.47.232
104.16.45.232
# dig +short @127.0.0.1 serverfault.com
;; connection timed out; no servers could be reached
# systemctl status named
named.service - Berkeley Internet Name Domain (DNS)
Loaded: loaded (/usr/lib/systemd/system/named.service; enabled; vendor preset: disabled)
Active: active (running) since Fri 2016-04-08 13:36:46 EDT; 5s ago
Process: 1867 ExecStop=/bin/sh -c /usr/sbin/rndc stop > /dev/null 2>&1 || /bin/kill -TERM $MAINPID (code=exited, status=0/SUCCESS)
Process: 1878 ExecStart=/usr/sbin/named -u named $OPTIONS (code=exited, status=0/SUCCESS)
Process: 1876 ExecStartPre=/bin/bash -c if [ ! "$DISABLE_ZONE_CHECKING" == "yes" ]; then /usr/sbin/named-checkconf -z /etc/named.conf; else echo "Checking of zone files is disabled"; fi (code=exited, status=0/SUCCESS)
Main PID: 1881 (named)
CGroup: /system.slice/named.service
1881 /usr/sbin/named -u named
Apr 08 13:36:46 <DNS Cache Server> named[1881]: managed-keys-zone: journal file is out of date: removi...file
Apr 08 13:36:46 <DNS Cache Server> named[1881]: managed-keys-zone: loaded serial 3
Apr 08 13:36:46 <DNS Cache Server> named[1881]: zone 0.in-addr.arpa/IN: loaded serial 0
Apr 08 13:36:46 <DNS Cache Server> named[1881]: zone localhost.localdomain/IN: loaded serial 0
Apr 08 13:36:46 <DNS Cache Server> named[1881]: zone localhost/IN: loaded serial 0
Apr 08 13:36:46 <DNS Cache Server> named[1881]: zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0
Apr 08 13:36:46 <DNS Cache Server> named[1881]: zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0...al 0
Apr 08 13:36:46 <DNS Cache Server> named[1881]: all zones loaded
Apr 08 13:36:46 <DNS Cache Server> named[1881]: running
Apr 08 13:36:46 <DNS Cache Server> systemd[1]: Started Berkeley Internet Name Domain (DNS).
Hint: Some lines were ellipsized, use -l to show in full.
# ping www.eye4u.com
PING www.eye4u.com (208.91.197.132) 56(84) bytes of data.
64 bytes from 208.91.197.132: icmp_seq=1 ttl=244 time=46.4 ms
64 bytes from 208.91.197.132: icmp_seq=2 ttl=244 time=52.2 ms
...
--- www.eye4u.com ping statistics ---
7 packets transmitted, 7 received, 0% packet loss, time 26201ms
rtt min/avg/max/mdev = 45.103/49.591/54.753/3.257 ms
# nslookup
> www.bermuda.com
Server: 4.2.2.2
Address: 4.2.2.2#53
Non-authoritative answer:
www.bermuda.com canonical name = bermuda.com.
Name: bermuda.com
Address: 104.27.191.246
Name: bermuda.com
Address: 104.27.190.246
# cat /etc/named.conf
//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
acl trusted {
<internal DNS 1 IP>
<internal DNS 2 IP>
<internal DNS 3 IP>
<internal DNS 4 IP>
<internal DNS 5 IP>
<internal DNS 6 IP>
localhost;
};
options {
listen-on port 53 { 127.0.0.1; };
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
#allow-transfer {}
allow-query { trusted; };
allow-query { localhost; };
forwarders { 198.41.0.4; };
/*
- If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
- If you are building a RECURSIVE (caching) DNS server, you need to enable
recursion.
- If your recursive DNS server has a public IP address, you MUST enable access
control to limit queries to your legitimate users. Failing to do so will
cause your server to become part of large scale DNS amplification
attacks. Implementing BCP38 within your network would greatly
reduce such attack surface
*/
recursion yes;
dnssec-enable yes;
dnssec-validation yes;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN {
type hint;
file "named.ca";
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
************** ATUALIZAÇÃO 2 **************
Após postar a primeira atualização, notei que a opção "listen-on port 53" ainda estava definida para "{127.0.0.1;};" então eu adicionei o IP do servidor de cache à lista e reiniciei o named. Nossos servidores DNS internos ainda não puderam consultar os servidores de cache, então verifiquei o status do firewall desde que reiniciei o servidor de cache anteriormente. BINGO - Esqueci de definir uma regra para ativar o tráfego da porta 53. As coisas estão felizes agora. Se você ver alguma configuração que possa ser melhorada, por favor me avise. Obrigado novamente por toda sua ajuda.