[FUG-BR] [OFF-TOPIC] DNS Reverso VS. Recursão

Terça Agosto 26 13:00:37 BRT 2008

2008/8/26 Thiago J. Ruiz <thiagojruiz em gmail.com>

> Bom dia Pessoal!
>
>    Estava eu aqui feliz e contente quando um amigo (Matheu Cucoloto)
> me fez um questionamento:
>
>   Porque DNS reverso não funciona quando eu desabilito a recursão no named?
>
>    Certo vamos aos fatos:
>
>    Tenho um named rodando fechado com acls:
>
> #### ARQUIVO DE CONF DO NAMED
> options {
>        directory       "/etc/namedb";
>        pid-file        "/var/run/named/pid";
>        dump-file       "/var/dump/named_dump.db";
>        statistics-file "/var/stats/named.stats";
>        transfer-format many-answers;
>        # hide our "real" version number
>        version         "[secured]";
> };
>
>
> acl clientes {
>        localhost; 10.0.0.0/16;
> };
>
> view "interna" {
>        match-clients{ clientes; };
>        recursion yes;
>
> .......zonas suprimidos
>
> };
>
> view "externa" {
>        match-clients { any; };
>        recursion no;
>        additional-from-auth no;
>        additional-from-cache no;
>
>       zona-reversa....{
>       ...
>       };
> };
> ########### FIM DO ARQUIVO
>
> Agora a saida do dig a partir de uma máquina fora da rede, com a
> recursão desligada para clientes externos à rede:
>
>  dig @ip.do.meu.server -x ip.do.meu.server
>
> ; <<>> DiG 9.3.4 <<>> @y.y.y.y -x y.y.y.y
> ; (1 server found)
> ;; global options:  printcmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 8433
> ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
>
> ;; QUESTION SECTION:
> ;y.y.y.y.in-addr.arpa.   IN      PTR
>
> ;; Query time: 168 msec
> ;; SERVER: y.y.y.y#53(y.y.y.y)
> ;; WHEN: Tue Aug 26 11:37:15 2008
> ;; MSG SIZE  rcvd: 45
>
> Agora a saida do dig a partir de uma máquina fora da rede, com a
> recursão ligada para clientes externos à rede:
>
> ; <<>> DiG 9.3.4 <<>> @Y.Y.Y.Y -x Y.Y.Y.Y
> ; (1 server found)
> ;; global options:  printcmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18040
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2
>
> ;; QUESTION SECTION:
> ;Y.Y.Y.Y.in-addr.arpa.   IN      PTR
>
> ;; ANSWER SECTION:
> Y.Y.Y.Y.in-addr.arpa. 86400 IN   CNAME   YY.Y-Y.Y.Y.Y.in-addr.arpa.
> Y.Y.Y.Y.in-addr.arpa. 3600 IN PTR  meu.dominio.com
>
> ;; AUTHORITY SECTION:
> Y-Y.Y.Y.Y.in-addr.arpa. 3600 IN NS      meu.dominio.com
> Y-Y.Y.Y.Y.in-addr.arpa. 3600 IN NS      dominio.com
>
> ... conteudo suprimido, desnecessário
>
> ;; Query time: 1200 msec
> ;; SERVER: 200.163.209.94#53(200.163.209.94)<http://200.163.209.94#53%28200.163.209.94%29>
> ;; WHEN: Tue Aug 26 11:41:33 2008
> ;; MSG SIZE  rcvd: 161
>
>
> Alguém de vcs percebeu isso? Alguém já resolveu?
> Pesquisei no google por algum tempo hoje de manhã e não encontrei nada
> concreto.
> Também tentei fazer um view diferente para o DNS reverso, porém se eu
> colocar match-clients {any;}; ele vai habilitar recursão pra tudo
> novamente.
> Algum dos Gurus pode dar uma mãozinha?
>
> Forte abraço
>

Caro Thiago,
    O mesmo problema não ocorre aqui. O reverso onde meu NS com recursão
desabilitada é autoridade é resolvido sim por outros NS inclusive por ele
mesmo. Não utilizo views nem acls, em meu options deixo da seguinte forma:

options {
directory ...
version ...
pid-file ...
dump-file ...
statisctics-file ...
allow-query { any; };
allow-transfer {meu_slave; };
transfer-format many-answers;
recursion no;
};

Talevz seja algum erro de semântica em sua configuração. Verifique.

-- 
-syncd!