Bind9 hat Anlaufschwierigkeiten
Hallo Liste! Ich habe das Problem, daß nach einem Neustart des Linux-Rechners (SuSE-Linux 8.0) der Name-Server (bind9) nicht richtig funktioniert: * Adressen, die über den Forwarder aufgelöst werden sollen, erreichen ein Timeout. * Adressen, die über die in "named.conf" eingetragenen eigenen Zonen aufgelöst werden sollen, funktionieren einwandfrei. * Externe Adressen, die über "/etc/hosts" aufgelöst werden, funktionieren einwandfrei und sind pingbar * die Forwarders sind pingbar Nach einem Neustart (rcnamed restart) funktioniert alles perfekt (bis zum nächsten System-Neustart). Diese Konfiguration hat bei SuSE-Linux 7.3 problemlos funktioniert, jetzt verwende ich 8.0 Meine Versionen: bind9-9.1.3-197 bind9-utils-9.1.3-197 (habe es auch schon mit bind8 probiert, keine Änderung) Die orig. /etc/named.conf, die ja default über Root-Name-Server ext. Adressen auflösen soll zeigt das selbe Phänomen (mit tcpdump kann ich sehen, daß sehr wohl Anfragen hinausgehen, Antworten hereinkommen und nichts von der Firewall geblockt werden dürfte(SuSEfirewall2-2.1-77, keine verdächtigen Einträge in den Logs)). Die Startreihenfolge müßte auch passen: weit nach Network, zwischen Cyrus und Postfix (Runlevel 3): S01SuSEfirewall2_init ... S05network S06SuSEfirewall2_setup ... S08cyrus ... S11named S11postfix S13nscd "rcnamed status" meldet "running" zurück. Habe schon im Listen-Archiv gestöbert, hab aber nichts gefunden. Danke im voraus Günther Hier noch meine "/etc/named.conf": options { directory "/var/named"; forwarders { 212.33.32.160; 212.33.55.5; 194.112.130.36; }; #forward first; #listen-on port 53 { 127.0.0.1; }; #listen-on-v6 { any; }; #query-source address * port 53; #transfer-source * port 53; #notify-source * port 53; #allow-query { 127.0.0.1; }; #notify no; }; zone "localhost" in { type master; file "localhost.zone"; }; zone "0.0.127.in-addr.arpa" in { type master; file "127.0.0.zone"; }; zone "." in { type hint; file "root.hint"; }; zone "nbg.lan"{ type slave; file "slave/nbg.lan.zone"; masters { 192.168.1.1; }; }; zone "1.168.192.in-addr.arpa" in { type slave; file "slave/192.168.1.zone"; masters { 192.168.1.1; }; };
From: "Günther Zinsberger"
Hallo Liste!
Ich habe das Problem, daß nach einem Neustart des Linux-Rechners (SuSE-Linux 8.0) der Name-Server (bind9) nicht richtig funktioniert: * Adressen, die über den Forwarder aufgelöst werden sollen, erreichen ein Timeout. * Adressen, die über die in "named.conf" eingetragenen eigenen Zonen aufgelöst werden sollen, funktionieren einwandfrei. * Externe Adressen, die über "/etc/hosts" aufgelöst werden, funktionieren einwandfrei und sind pingbar * die Forwarders sind pingbar
Nach einem Neustart (rcnamed restart) funktioniert alles perfekt (bis zum nächsten System-Neustart).
Diese Konfiguration hat bei SuSE-Linux 7.3 problemlos funktioniert, jetzt verwende ich 8.0 Meine Versionen: bind9-9.1.3-197 bind9-utils-9.1.3-197 (habe es auch schon mit bind8 probiert, keine Änderung)
Die orig. /etc/named.conf, die ja default über Root-Name-Server ext. Adressen auflösen soll zeigt das selbe Phänomen (mit tcpdump kann ich sehen, daß sehr wohl Anfragen hinausgehen, Antworten hereinkommen und nichts von der Firewall geblockt werden dürfte(SuSEfirewall2-2.1-77, keine verdächtigen Einträge in den Logs)).
Die Startreihenfolge müßte auch passen: weit nach Network, zwischen Cyrus und Postfix (Runlevel 3): S01SuSEfirewall2_init ... S05network S06SuSEfirewall2_setup ... S08cyrus ... S11named S11postfix S13nscd
"rcnamed status" meldet "running" zurück.
Habe schon im Listen-Archiv gestöbert, hab aber nichts gefunden.
Danke im voraus Günther
Hier noch meine "/etc/named.conf":
options { directory "/var/named"; forwarders { 212.33.32.160; 212.33.55.5; 194.112.130.36; }; #forward first; #listen-on port 53 { 127.0.0.1; }; #listen-on-v6 { any; }; #query-source address * port 53; #transfer-source * port 53; #notify-source * port 53; #allow-query { 127.0.0.1; }; #notify no; };
zone "localhost" in { type master; file "localhost.zone"; };
zone "0.0.127.in-addr.arpa" in { type master; file "127.0.0.zone"; };
zone "." in { type hint; file "root.hint"; };
zone "nbg.lan"{ type slave; file "slave/nbg.lan.zone"; masters { 192.168.1.1; }; };
zone "1.168.192.in-addr.arpa" in { type slave; file "slave/192.168.1.zone"; masters { 192.168.1.1; }; };
Hat denn keiner eine Idee, wie ich das Problem eingrenzen könnte? Ist es vielleicht Kernel-abhängig (da es Bind8 und Bind9 betrifft)? Bitte helft mir... Danke im voraus Günther
Guenther Zinsberger wrote:
From: "Günther Zinsberger"
Ich habe das Problem, daß nach einem Neustart des Linux-Rechners (SuSE-Linux 8.0) der Name-Server (bind9) nicht richtig funktioniert:
* Adressen, die über den Forwarder aufgelöst werden sollen, erreichen ein Timeout.
* Adressen, die über die in "named.conf" eingetragenen eigenen Zonen aufgelöst werden sollen, funktionieren einwandfrei.
Hat denn keiner eine Idee, wie ich das Problem eingrenzen könnte? Ist es vielleicht Kernel-abhängig (da es Bind8 und Bind9 betrifft)? Bitte helft mir...
Hm, fangen wir mal mit ein paar Debug-Uebungen an. Die Ausgabe von dig +trace <was auch immer nicht geht> und auch dazu dig +trace <etwas das geht> sollten in deiner naechsten Mail zu dieser Frage auftauchen. Am Kernel sollte es nicht liegen. Das syslog sagt auch nicht ungewoehnliches, wenn der named startet? Peter
Guenther Zinsberger wrote:
From: "G?nther Zinsberger"
Hallo Liste!
Ich habe das Problem, da? nach einem Neustart des Linux-Rechners (SuSE-Linux 8.0) der Name-Server (bind9) nicht richtig funktioniert: * Adressen, die ?ber den Forwarder aufgel飉t werden sollen,
erreichen
ein Timeout. * Adressen, die ?ber die in "named.conf" eingetragenen eigenen Zonen aufgel飉t werden sollen, funktionieren einwandfrei. * Externe Adressen, die ?ber "/etc/hosts" aufgel飉t werden, funktionieren einwandfrei und sind pingbar * die Forwarders sind pingbar
Nach einem Neustart (rcnamed restart) funktioniert alles perfekt
(bis
zum n踄hsten System-Neustart).
Diese Konfiguration hat bei SuSE-Linux 7.3 problemlos funktioniert, jetzt verwende ich 8.0 Meine Versionen: bind9-9.1.3-197 bind9-utils-9.1.3-197 (habe es auch schon mit bind8 probiert, keine 瓏derung)
Die orig. /etc/named.conf, die ja default ?ber Root-Name-Server ext. Adressen aufl飉en soll zeigt das selbe Ph鄚omen (mit tcpdump kann
ich
sehen, da? sehr wohl Anfragen hinausgehen, Antworten hereinkommen
und
nichts von der Firewall geblockt werden d?rfte(SuSEfirewall2-2.1-77, keine verd踄htigen Eintr輍e in den Logs)).
Die Startreihenfolge m?te auch passen: weit nach Network, zwischen Cyrus und Postfix (Runlevel 3): S01SuSEfirewall2_init ... S05network S06SuSEfirewall2_setup ... S08cyrus ... S11named S11postfix S13nscd
"rcnamed status" meldet "running" zur?ck.
Habe schon im Listen-Archiv gest鐽ert, hab aber nichts gefunden.
Danke im voraus G?nther
Hier noch meine "/etc/named.conf":
options { directory "/var/named"; forwarders { 212.33.32.160; 212.33.55.5; 194.112.130.36; }; #forward first; #listen-on port 53 { 127.0.0.1; }; #listen-on-v6 { any; }; #query-source address * port 53; #transfer-source * port 53; #notify-source * port 53; #allow-query { 127.0.0.1; };
Versuch mal hier diese Zeile(n) einzufuegen: recursion yes ; (((( allow-query { deine-IPs ..... } )))) (((( listen on { deine-IPs ..... } ))))
#notify no; };
zone "localhost" in { type master; file "localhost.zone"; };
zone "0.0.127.in-addr.arpa" in { type master; file "127.0.0.zone"; };
zone "." in { type hint; file "root.hint"; };
zone "nbg.lan"{ type slave; file "slave/nbg.lan.zone"; masters { 192.168.1.1; }; };
zone "1.168.192.in-addr.arpa" in { type slave; file "slave/192.168.1.zone"; masters { 192.168.1.1; }; };
Hat denn keiner eine Idee, wie ich das Problem eingrenzen k霵nte? Ist es vielleicht Kernel-abh鄚gig (da es Bind8 und Bind9 betrifft)? Bitte helft mir...
Danke im voraus G?nther
-- Ronald Wiplinger (CEO of ELMIT) http://www.elmit.com +886 (0) 915 653-452 - I'm a SpamCon Foundation Member, #694, Verify it at http://www.spamcon.org
Günther Zinsberger wrote: [...]
Die orig. /etc/named.conf, die ja default über Root-Name-Server ext. Adressen auflösen soll zeigt das selbe Phänomen (mit tcpdump kann ich sehen, daß sehr wohl Anfragen hinausgehen, Antworten hereinkommen und nichts von der Firewall geblockt werden dürfte(SuSEfirewall2-2.1-77, keine verdächtigen Einträge in den Logs)).
keine ahnung woran es nun wirklich liegt. verschiedene bind-konfigurationen und verschiedene bind-versionen, aber immer das gleiche problem? ist das in diesem fall warscheinlich? und du kannst den packetfilter wirklich ausschliessen? micha
From: "Michael Meyer"
Günther Zinsberger wrote: [...]
Die orig. /etc/named.conf, die ja default über Root-Name-Server ext. Adressen auflösen soll zeigt das selbe Phänomen (mit tcpdump kann ich sehen, daß sehr wohl Anfragen hinausgehen, Antworten hereinkommen und nichts von der Firewall geblockt werden dürfte(SuSEfirewall2-2.1-77, keine verdächtigen Einträge in den Logs)).
keine ahnung woran es nun wirklich liegt. verschiedene bind-konfigurationen und verschiedene bind-versionen, aber immer das gleiche problem? ist das in diesem fall warscheinlich? und du kannst den packetfilter wirklich ausschliessen?
micha
anscheinend war doch der Paketfilter schuld, obwohl laut tcpdump eine Kommunikation zwischen dem Gateway und dem DNS des Providers stattfand und nichts negatives im LOG stand. Nun habe ich folgende Parameter gesetzt: FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes" FW_SERVICE_DNS="yes" weiß nicht, ob das im Sinne des Erfinders ist, damit funktioniert es aber vorerst. Nur komisch, daß "bind" auch funktionierte, nachdem ich ihn neugestartet habe und die Firewall blieb, wie sie war. Danke für eure Hilfe Günther
Guenther Zinsberger wrote:
immer das gleiche problem? ist das in diesem fall warscheinlich? und du kannst den packetfilter wirklich ausschliessen?
anscheinend war doch der Paketfilter schuld, obwohl laut tcpdump eine Kommunikation zwischen dem Gateway und dem DNS des Providers stattfand und nichts negatives im LOG stand.
Nun habe ich folgende Parameter gesetzt: FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes"
solltest du nicht brauchen.
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"
müstest du nur von den 'forwardern' akzeptieren. könntest du über die 'FW_CUSTOMRULES' machen.
FW_SERVICE_DNS="yes"
weiß nicht, ob das im Sinne des Erfinders ist, damit funktioniert es aber vorerst. Nur komisch, daß "bind" auch funktionierte, nachdem ich ihn neugestartet habe und die Firewall blieb, wie sie war.
du hast 'FW_AUTOPROTECT_SERVICES="yes"'? micha
participants (5)
-
Guenther Zinsberger
-
G�nther Zinsberger
-
Michael Meyer
-
Peter Wiersig
-
Ronald Wiplinger