Doctoring DNS da Cisco ou Hairpinning?

8

Eu tenho a seguinte configuração: CISCO 881, IOS 15.2 (4) M6. Na interface WAN está configurada a sub-rede 86.34.156.48/29 do nosso ISP. Atrás do roteador, há 2 servidores da web. NAT: 86.34.156.51 <> 10.10.10.100 (IP privado, servidor1). Se eu configurar o servidor BIND DNS A com o IP externo do servidor (86.34.156.51), o mundo externo nunca receberá a resposta do meu servidor DNS (não sei o que acontece lá, talvez o roteador faça o DNS medicar ou algo assim similar (é uma pergunta)) e é certo que o servidor DNS está configurado e funciona corretamente (eu capturei os pacotes IP com o TCPdump). Mas se eu configurar o servidor DNS A registra com o IP privado do servidor (10.10.10.100), os pacotes já estão chegando ao destino apropriado (com o IP externo do servidor, talvez o DNS também esteja operando).

O que eu poderia fazer???

        +-----+
        |     |  an other host somewhere on internet(C)
        |     |
        +-----+
            |
            |
            :
            :  internet
            :

            |  

        +-----+
        |     |      ISP's router
        |     |       black box, without acces
        +-----+

            |
            | 86.34.456.48/29
        +-----+
        |     |      CISCO 881,
        |     |       IOS 15.2(4)M6
        +-----+
            |
            |
------------------------------------------------------------  local private network 10.10.10.0/24
    |                                           |
    | (86.34.156.51)                            | (Nat rule not yet attached)
    | 10.10.10.100                              | 10.10.10.101
    |                                           |
+-----+                                       +-----+
|     |                                       |     |
|     |                                       |     |
+-----+                                       +-----+
linux server (A)                                linux server (B)
BIND DNS server
 style2take.ro

Aqui estão algumas escavações (ferramenta de diagnóstico de DNS no Linux):

Do host B: $ dig style2take.ro

;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42222
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;style2take.ro.                 IN      A

;; ANSWER SECTION:
style2take.ro.          0       IN      A       10.10.10.100                                                <-- here you can see the TTL is 0

;; Query time: 52 msec
;; SERVER: 193.231.100.130#53(193.231.100.130)
;; WHEN: Fri Feb 20 10:27:25 EET 2015
;; MSG SIZE  rcvd: 58

Do host B: $ dig @ 10.10.10.100 style2take.ro

;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 65374
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;style2take.ro.                 IN      A

;; ANSWER SECTION:
style2take.ro.          3600    IN      A       10.10.10.100                                                <-- here you can see the TTL is 3600

;; AUTHORITY SECTION:
style2take.ro.          3600    IN      NS      ns1.style2take.ro.
style2take.ro.          3600    IN      NS      ns2.style2take.ro.

;; ADDITIONAL SECTION:
ns1.style2take.ro.      3600    IN      A       10.10.10.100
ns2.style2take.ro.      3600    IN      A       10.10.10.100

;; Query time: 0 msec
;; SERVER: 10.10.10.100#53(10.10.10.100)
;; WHEN: Fri Feb 20 10:28:58 EET 2015
;; MSG SIZE  rcvd: 126

Do host C: $ dig style2take.ro

;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32364
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 6, ADDITIONAL: 0

;; QUESTION SECTION:
;style2take.ro.                 IN      A

;; ANSWER SECTION:
style2take.ro.          0       IN      A       86.34.156.51                                                <-- here you can see the TTL is 0

;; AUTHORITY SECTION:
ro.                     106161  IN      NS      sns-pb.isc.org.
ro.                     106161  IN      NS      primary.rotld.ro.
ro.                     106161  IN      NS      sec-dns-a.rotld.ro.
ro.                     106161  IN      NS      sec-dns-b.rotld.ro.
ro.                     106161  IN      NS      dns-at.rotld.ro.
ro.                     106161  IN      NS      dns-ro.denic.de.

;; Query time: 149 msec
;; SERVER: 82.79.24.74#53(82.79.24.74)
;; WHEN: Fri Feb 20 10:29:52 2015
;; MSG SIZE  rcvd: 201

Do host C: $ dig @ 86.34.156.51 style2take.ro

; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48385
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;style2take.ro.                 IN      A

;; ANSWER SECTION:
style2take.ro.          0       IN      A       86.34.156.51                                                <-- here you can see the TTL is 0

;; AUTHORITY SECTION:
style2take.ro.          0       IN      NS      ns2.style2take.ro.
style2take.ro.          0       IN      NS      ns1.style2take.ro.

;; ADDITIONAL SECTION:
ns1.style2take.ro.      0       IN      A       86.34.156.51
ns2.style2take.ro.      0       IN      A       86.34.156.51

;; Query time: 29 msec
;; SERVER: 86.34.156.51#53(86.34.156.51)
;; WHEN: Fri Feb 20 10:35:05 2015
;; MSG SIZE  rcvd: 115
Szilveszter Zsigmond
fonte
onde o hairpinning entra nele?
bao7uo

Respostas:

0

Bem, se você não resolver o DNS, o problema pode ser duplo:

  1. Configuração incorreta do DNS - o sistema DNS global é capaz de dizer qual é o NS do seu domínio? É algo que você precisa definir no seu provedor de nomes. O que é dig style2take.ro NSsaída?

  2. Seu roteador não permite solicitações de DNS. Entre em um servidor externo e tente telnetar para a porta 53 do seu DNS telnet 86.34.156.51- o DNS deve funcionar tanto em UDP quanto em TCP, isso testa pelo menos parte do TCP.

StanTastic
fonte
0

Você não precisa ter o IP externo em nenhuma das suas configurações de DNS (nomeadas). Você pode usar o interno (10.10.10.100) em qualquer lugar e o NAT do roteador para 86.34.156.51 ( ip nat inside source static 10.10.10.100 86.34.156.51). Se você deseja configurar um DNS secundário, o mesmo se aplica a ele: use 10.10.10.101 (como NS2) NAT para outra coisa (como 86.34.156.51). Além disso, verifique se as portas DNS estão realmente encaminhadas no roteador e não estão bloqueadas pelo firewall no servidor linux. Use um verificador de portas baseado na Web para garantir que o UDP 53 esteja aberto.

Overmind
fonte