Помогите разобраться, с настройкой bind

[kvadim]

Здравствуйте, подскажите пожалуйста, где я накосячил? На сервере 3 сетевухи, 1 сетевуха смотрит в 1 роутер от провайдера 1, 2 сетевуха смотрит в 2 роутер от провайдера 2, и 3 смотрит в локалку. Пинги в инет на сервере есть, а вот на самого себя нет. Пишет, что

Код: [Выделить]

ping: lkmpikt.lan: Name or service not known
.
Вывод resolvconf -l такой:

Код: [Выделить]

resolvconf -l
# resolv.conf from enp2s5.dhcp
# Generated by dhcpcd from enp2s5.dhcp
nameserver 192.168.1.1

# resolv.conf from enp2s6.dhcp
# Generated by dhcpcd from enp2s6.dhcp
nameserver 192.168.0.1

# resolv.conf from enp2s8
nameserver 172.16.0.1
domain lkmpikt.lan
search lkmpikt.lan


А на клиетской машине пишет, что узел не обнаружен. Хотя комп, получает все настройки по dhcp. В настройках bind при проверке зон, ошибок нет.  И еще сквид не находит локальный сайт, который на этом же сервере.

Буду признательн.

[asy]

Во-первых https://www.altlinux.org/Ресолвер. Во-вторых непонятно, а где вопрос про сам Bind? Если он запущен, слушает нужные интерфейсы и отвечает, то он работает по идее.

[rits]

# cat /etc/os-release

Код: [Выделить]

NAME="starter kit"
VERSION="p10 (Hypericum)"
ID=altlinux
VERSION_ID=p10
PRETTY_NAME="ALT Starterkit (Hypericum)"
ANSI_COLOR="1;33"
CPE_NAME="cpe:/o:alt:starterkit:p10"
HOME_URL="http://en.altlinux.org/starterkits"
BUG_REPORT_URL="https://bugs.altlinux.org/"
BUILD_ID="starter kit p10 (Hypericum)"
# rpm -qc bind

/etc/rc.d/init.d/bind
/etc/rndc.conf
/etc/sysconfig/bind
/var/lib/bind/etc/local.conf
/var/lib/bind/etc/named.conf
/var/lib/bind/etc/options.conf
/var/lib/bind/etc/rfc1912.conf
/var/lib/bind/etc/rfc1918.conf
/var/lib/bind/etc/rndc.conf
/var/lib/bind/etc/rndc.key
/var/lib/bind/zone/127.in-addr.arpa
/var/lib/bind/zone/empty
/var/lib/bind/zone/localdomain
/var/lib/bind/zone/localhost

# cat /var/lib/bind/etc/options.conf | grep -e forward -e listen
   

Код: [Выделить]

listen-on { 127.0.0.1; 192.168.6.1; };
//forward only;
       // dns провайдера
forwarders {8.8.8.8; 77.88.8.8; };
- локальный интерфейс
# ls  /etc/net/ifaces/ether0/

Код: [Выделить]

ipv4address  options# cat /etc/net/ifaces/ether0/ipv4address

Код: [Выделить]

192.168.6.1/24
- интерфейс к провайдеру
# ls  /etc/net/ifaces/ether1/

Код: [Выделить]

ipv4address  ipv4route  options  resolv.conf# cat /etc/net/ifaces/ether1/resolv.conf

Код: [Выделить]

nameserver 192.168.6.1
search primer.ru

dns в интерфейсах провайдера, указывается, как адрес локальной карты, а внешние dns провайдеров, пишутся в forwarders { 213.234.0.2; 213.234.2.6; }

# ss -4tnap | grep -i '\:53 '

Код: [Выделить]

LISTEN    0      10        192.168.6.1:53           0.0.0.0:*     users:(("named",pid=3844,fd=29))                       
LISTEN    0      10        192.168.6.1:53           0.0.0.0:*     users:(("named",pid=3844,fd=28))                       
LISTEN    0      10          127.0.0.1:53           0.0.0.0:*     users:(("named",pid=3844,fd=25))                       
LISTEN    0      10          127.0.0.1:53           0.0.0.0:*     users:(("named",pid=3844,fd=24))

[kvadim]

Во-первых https://www.altlinux.org/Ресолвер. Во-вторых непонятно, а где вопрос про сам Bind? Если он запущен, слушает нужные интерфейсы и отвечает, то он работает по идее.

Хорошо, попробую подробнее описать и показать что и как у меня настроено

cat /etc/os-release

Код: [Выделить]

cat /etc/os-release
NAME="ALT Server"
VERSION="10.1"
ID=altlinux
VERSION_ID=10.1
PRETTY_NAME="ALT Server 10.1 (Mendelevium)"
ANSI_COLOR="1;33"
CPE_NAME="cpe:/o:alt:server:10.1"
BUILD_ID="ALT Server 10.1"
HOME_URL="https://basealt.ru/"
BUG_REPORT_URL="https://bugs.altlinux.org/"

rpm -qc bind

Код: [Выделить]

rpm -qc bind
/etc/rc.d/init.d/bind
/etc/rndc.conf
/etc/sysconfig/bind
/var/lib/bind/etc/local.conf
/var/lib/bind/etc/named.conf
/var/lib/bind/etc/options.conf
/var/lib/bind/etc/rfc1912.conf
/var/lib/bind/etc/rfc1918.conf
/var/lib/bind/etc/rndc.conf
/var/lib/bind/etc/rndc.key
/var/lib/bind/zone/127.in-addr.arpa
/var/lib/bind/zone/empty
/var/lib/bind/zone/localdomain
/var/lib/bind/zone/localhost

cat /var/lib/bind/etc/options.conf | grep -e forward -e listen

Код: [Выделить]

cat /var/lib/bind/etc/options.conf | grep -e forward -e listen
        listen-on { 127.0.0.1; 172.16.0.1; };
//listen-on-v6 { ::1; };
* If the forward directive is set to "only", the server will only
* query the forwarders.
forward only;
forwarders { 192.168.1.1; 192.168.0.1; 77.88.8.8; };
* configuration file is loaded.  After the scan, listeners will
* the listen-on configuration).  Listeners on interfaces that

ls /etc/net/ifaces/enp2s5/

Код: [Выделить]

ls /etc/net/ifaces/enp2s5/
options

cat /etc/net/ifaces/enp2s5/options
BOOTPROTO=dhcp
TYPE=eth
CONFIG_WIRELESS=no
SYSTEMD_BOOTPROTO=dhcp4
CONFIG_IPV4=yes
DISABLED=no
NM_CONTROLLED=no
SYSTEMD_CONTROLLED=no
ONBOOT=yes


ls /etc/net/ifaces/enp2s6/

Код: [Выделить]

ls /etc/net/ifaces/enp2s6/
options

cat /etc/net/ifaces/enp2s6/options
TYPE=eth
CONFIG_WIRELESS=no
BOOTPROTO=dhcp
SYSTEMD_BOOTPROTO=dhcp4
CONFIG_IPV4=yes
DISABLED=no
NM_CONTROLLED=no
SYSTEMD_CONTROLLED=no
ONBOOT=yes


ls /etc/net/ifaces/enp2s8/

Код: [Выделить]

ls /etc/net/ifaces/enp2s8/
ipv4address  options  resolv.conf  resolv.conf~

cat /etc/net/ifaces/enp2s8/ipv4address
172.16.0.1/24

cat /etc/net/ifaces/enp2s8/options
TYPE=eth
CONFIG_WIRELESS=no
BOOTPROTO=static
SYSTEMD_BOOTPROTO=static
CONFIG_IPV4=yes
DISABLED=no
NM_CONTROLLED=no
SYSTEMD_CONTROLLED=no
ONBOOT=yes

cat /etc/net/ifaces/enp2s8/resolv.conf
nameserver 172.16.0.1
domain lkmpikt.lan
search lkmpikt.lan


resolvconf -l

Код: [Выделить]

resolvconf -l
# resolv.conf from enp2s5.dhcp
# Generated by dhcpcd from enp2s5.dhcp
nameserver 192.168.1.1

# resolv.conf from enp2s6.dhcp
# Generated by dhcpcd from enp2s6.dhcp
nameserver 192.168.0.1

# resolv.conf from enp2s8
nameserver 172.16.0.1
domain lkmpikt.lan
search lkmpikt.lan


ip a

Код: [Выделить]

ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: enp2s6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:08:a1:18:86:52 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.249/24 brd 192.168.0.255 scope global noprefixroute enp2s6
       valid_lft forever preferred_lft forever
    inet6 fe80::208:a1ff:fe18:8652/64 scope link
       valid_lft forever preferred_lft forever
3: enp2s8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:08:a1:2c:11:fb brd ff:ff:ff:ff:ff:ff
    inet 172.16.0.1/24 brd 172.16.0.255 scope global enp2s8
       valid_lft forever preferred_lft forever
    inet6 fe80::208:a1ff:fe2c:11fb/64 scope link
       valid_lft forever preferred_lft forever
4: enp2s5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 1000
    link/ether 00:80:48:42:d0:5b brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.146/24 brd 192.168.1.255 scope global dynamic noprefixroute enp2s5
       valid_lft 81433sec preferred_lft 70633sec
    inet6 fe80::280:48ff:fe42:d05b/64 scope link
       valid_lft forever preferred_lft forever


ip r

Код: [Выделить]

ip r
default via 192.168.0.1 dev enp2s6 proto dhcp src 192.168.0.249 metric 1002
default via 192.168.1.1 dev enp2s5 proto dhcp src 192.168.1.146 metric 1004
172.16.0.0/24 dev enp2s8 proto kernel scope link src 172.16.0.1
192.168.0.0/24 dev enp2s6 proto dhcp scope link src 192.168.0.249 metric 1002
192.168.1.0/24 dev enp2s5 proto dhcp scope link src 192.168.1.146 metric 1004

ss -4tnap | grep -i '\:53 '

Код: [Выделить]

ss -4tnap | grep -i '\:53 '
LISTEN    0      10        172.16.0.1:53           0.0.0.0:*     users:(("named",pid=3186,fd=51))                     
LISTEN    0      10        172.16.0.1:53           0.0.0.0:*     users:(("named",pid=3186,fd=52))                     
LISTEN    0      10        172.16.0.1:53           0.0.0.0:*     users:(("named",pid=3186,fd=50))                     
LISTEN    0      10        172.16.0.1:53           0.0.0.0:*     users:(("named",pid=3186,fd=49))                     
LISTEN    0      10         127.0.0.1:53           0.0.0.0:*     users:(("named",pid=3186,fd=45))                     
LISTEN    0      10         127.0.0.1:53           0.0.0.0:*     users:(("named",pid=3186,fd=47))                     
LISTEN    0      10         127.0.0.1:53           0.0.0.0:*     users:(("named",pid=3186,fd=43))                     
LISTEN    0      10         127.0.0.1:53           0.0.0.0:*     users:(("named",pid=3186,fd=41))                 

named-checkzone lkmpikt.lan /etc/bind/zone/lkmpikt.lan.zone

Код: [Выделить]

named-checkzone lkmpikt.lan /etc/bind/zone/lkmpikt.lan.zone
zone lkmpikt.lan/IN: loaded serial 2023072619
OK

named-checkzone 0.16.172.in-addr.arpa /etc/bind/zone/0.16.172.rev

Код: [Выделить]

named-checkzone 0.16.172.in-addr.arpa /etc/bind/zone/0.16.172.rev
zone 0.16.172.in-addr.arpa/IN: loaded serial 2023072618
OK

ping ya.ru

Код: [Выделить]

ping ya.ru
PING YA.ru (5.255.255.242) 56(84) bytes of data.
64 bytes from ya.ru (5.255.255.242): icmp_seq=1 ttl=246 time=26.7 ms
64 bytes from ya.ru (5.255.255.242): icmp_seq=2 ttl=246 time=23.9 ms
64 bytes from ya.ru (5.255.255.242): icmp_seq=3 ttl=246 time=24.0 ms
64 bytes from ya.ru (5.255.255.242): icmp_seq=4 ttl=246 time=24.1 ms
^C
--- YA.ru ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 23.916/24.672/26.671/1.157 ms


ping lkmpikt.lan

Код: [Выделить]

ping lkmpikt.lan
ping: lkmpikt.lan: Name or service not known

dig ya.ru

Код: [Выделить]

dig ya.ru

; <<>> DiG 9.16.42 <<>> ya.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 62222
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;ya.ru. IN A

;; ANSWER SECTION:
ya.ru. 396 IN A 5.255.255.242
ya.ru. 396 IN A 77.88.55.242

;; Query time: 0 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Thu Aug 03 09:40:01 EEST 2023
;; MSG SIZE  rcvd: 55


dig ya.ru @172.16.0.1

Код: [Выделить]

dig ya.ru @172.16.0.1

; <<>> DiG 9.16.42 <<>> ya.ru @172.16.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7022
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 0c1836b072e72aae0100000064cb4bedf25ee61beffe3a16 (good)
;; QUESTION SECTION:
;ya.ru. IN A

;; ANSWER SECTION:
ya.ru. 557 IN A 77.88.55.242
ya.ru. 557 IN A 5.255.255.242

;; Query time: 25 msec
;; SERVER: 172.16.0.1#53(172.16.0.1)
;; WHEN: Thu Aug 03 09:40:45 EEST 2023
;; MSG SIZE  rcvd: 94


nslookup ya.ru

Код: [Выделить]

nslookup ya.ru
Server: 192.168.1.1
Address: 192.168.1.1#53

Non-authoritative answer:
Name: ya.ru
Address: 77.88.55.242
Name: ya.ru
Address: 5.255.255.242
Name: ya.ru
Address: 2a02:6b8::2:242

nslookup lkmpikt.lan

Код: [Выделить]

nslookup lkmpikt.lan
Server: 192.168.1.1
Address: 192.168.1.1#53

** server can't find lkmpikt.lan: NXDOMAIN

Для доступа к интернету на клиентской машине использую пока временно не прозрачный прокси, для этого через iptables даю такой доступ:

Код: [Выделить]

iptables -t nat -A PREROUTING -i enp2s8 -p tcp --dport 80 -j REDIRECT --to-ports 3129

iptables -t nat -n -v -L --line-numbers
Chain PREROUTING (policy ACCEPT 27 packets, 4632 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1      175  9100 REDIRECT   tcp  --  enp2s8 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 redir ports 3129

Chain INPUT (policy ACCEPT 7 packets, 654 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 4 packets, 314 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 13 packets, 782 bytes)
num   pkts bytes target     prot opt in     out     source               destination     


Теперь, что показует клиентская машина правда прикреплю скрины

[asy]

Во-пкрвых, зачем столько всего ненужного? Сразу отпугивает от решения вопроса.
Во-вторых, это вот зачем?

Код: [Выделить]

# resolv.conf from enp2s5.dhcp
# resolv.conf from enp2s6.dhcp
# resolv.conf from enp2s8
resolv.conf должен быть один (чтобы каша и непонятки не случались), и nameserver там должен быть только 127.0.0.1, если локальный Bind используется.

[kvadim]

resolvconf -l

Это вы про команду resolvconf -l ?

Так это система сама создала при установке, я и ничего не добавлял. Я только указал, что интерфейсы enp2s6 и enp2s5 получают адрес по dhcp от разных роутеров, потому как они подключены к разным провайдерам. А интерфейс enp2s8, там локальная сеть и все.

А если в resolv.conf для интерфейса enp2s8 указать 127.0.0.1, то происходит то что сейчас показую. Я пробовал.

Вот сейчас поставил так:

Код: [Выделить]

cat /etc/net/ifaces/enp2s8/resolv.conf
nameserver 127.0.0.1
domain lkmpikt.lan
search lkmpikt.lan
Потом применил команду systemctl restart network и вот что получилось:

Код: [Выделить]

ping lkmpikt.lan
ping: lkmpikt.lan: Temporary failure in name resolution


Код: [Выделить]

ping ya.ru
ping: ya.ru: Temporary failure in name resolution

Код: [Выделить]

resolvconf -l
# resolv.conf from enp2s5.dhcp
# Generated by dhcpcd from enp2s5.dhcp
nameserver 192.168.1.1

# resolv.conf from enp2s6.dhcp
# Generated by dhcpcd from enp2s6.dhcp
nameserver 192.168.0.1

# resolv.conf from enp2s8
nameserver 127.0.0.1
domain lkmpikt.lan
search lkmpikt.lan

И еще не смотря, что на клиентской машине, ни куда не проходят пинг, но через браузер инетнет есть, по сайтам можно лазить.

И вот еще что показывает

Код: [Выделить]

systemctl status bind.service
● bind.service - Berkeley Internet Name Domain (DNS)
     Loaded: loaded (/lib/systemd/system/bind.service; enabled; vendor preset: disabled)
     Active: active (running) since Thu 2023-08-03 08:10:43 EEST; 3h 7min ago
    Process: 2957 ExecStartPre=/etc/init.d/bind rndc_keygen (code=exited, status=0/SUCCESS)
    Process: 2992 ExecStartPre=/usr/sbin/named-checkconf $CHROOT -z /etc/named.conf (code=exited, status=0/SUCCESS)
    Process: 3130 ExecStart=/usr/sbin/named -u named $CHROOT $RETAIN_CAPS $EXTRAOPTIONS (code=exited, status=0/SUCCESS)
    Process: 8208 ExecReload=/bin/sh -c /usr/sbin/rndc reload > /dev/null 2>&1 || /bin/kill -HUP $MAINPID (code=exited, status=0/SUCCESS)
      Tasks: 14 (limit: 4604)
     Memory: 54.9M
        CPU: 3.505s
     CGroup: /system.slice/bind.service
             └─ 3186 /usr/sbin/named -u named

авг 03 11:17:52 gateway.lkmpikt.lan named[3186]: reloading configuration succeeded
авг 03 11:17:52 gateway.lkmpikt.lan named[3186]: reloading zones succeeded
авг 03 11:17:52 gateway.lkmpikt.lan named[3186]: zone lkmpikt.lan/IN: journal rollforward failed: journal out of sync with zone
авг 03 11:17:52 gateway.lkmpikt.lan named[3186]: zone lkmpikt.lan/IN: not loaded due to errors.
авг 03 11:17:52 gateway.lkmpikt.lan named[3186]: all zones loaded
авг 03 11:17:52 gateway.lkmpikt.lan named[3186]: running
авг 03 11:17:52 gateway.lkmpikt.lan named[3186]: managed-keys-zone: Key 20326 for zone . is now trusted (acceptance timer complete)
авг 03 11:17:52 gateway.lkmpikt.lan named[3186]: managed-keys.bind.jnl: open: permission denied
авг 03 11:17:52 gateway.lkmpikt.lan named[3186]: managed-keys-zone: keyfetch_done:dns_journal_open -> unexpected error
авг 03 11:17:52 gateway.lkmpikt.lan named[3186]: managed-keys-zone: error during managed-keys processing (unexpected error): DNSSEC validation may be at risk


[asy]

resolvconf я не использую.

1. Как угодно, совершенно без разницы, как, надо сделать, чтобы в /etc/resolv.conf оказалась сылка только на naveserver 127.0.0.1. domain и search по вкусу, к делу не особо относятся. Путей для этого более одного.

2. Прочитайте ссылку про резолвер, там надо update_chrooted запускать ещё для ряда случаев, если /etc/resolv.conf правите руками. При перезагрузке update_chrooted сам запускается.

3. Далее переходите к настройкам Bind и в /etc ничего больше не трогаете.

[kvadim]

resolvconf я не использую.

1. Как угодно, совершенно без разницы, как, надо сделать, чтобы в /etc/resolv.conf оказалась сылка только на naveserver 127.0.0.1. domain и search по вкусу, к делу не особо относятся. Путей для этого более одного.

2. Прочитайте ссылку про резолвер, там надо update_chrooted запускать ещё для ряда случаев, если /etc/resolv.conf правите руками. При перезагрузке update_chrooted сам запускается.

3. Далее переходите к настройкам Bind и в /etc ничего больше не трогаете.

Вот я запустил эту команду, оно мне это выдает:

Код: [Выделить]

update_chrooted
update_chrooted - updates chrooted environments according to specified types.

Usage: update_chrooted [options] <type>...

Valid options are:
  -l, --list                    list registered types;
  -f, --force                   force update;
  -v, --verbose                 try to be more verbose;
  -V, --version                 print program version and exit;
  -h, --help                    show this text and exit.
   
Report bugs to http://bugs.altlinux.ru/
И что надо после нее указывать? Я так понимаю, на какой-то файл, а на какой?

А в  самом файле /etc/resolv.conf вот это:

Код: [Выделить]

cat /etc/resolv.conf
# Generated by resolvconf
# Do not edit manually, use
# /etc/net/ifaces/<interface>/resolv.conf instead.
domain lkmpikt.lan
nameserver 192.168.1.1
nameserver 192.168.0.1
nameserver 172.16.0.1

А тут вот так:

Код: [Выделить]

cat /etc/net/ifaces/enp2s8/resolv.conf
nameserver 127.0.0.1
domain lkmpikt.lan
search lkmpikt.lan


И что из этого, мне должно быть понятно? Тут описываются проблемы. Но, не средство для применения.

update_chrooted
Наши замечательные ALT особенности
Множество сервисов и отдельных программ(например ping) запускаются в chroot. В этот chroot должны быть скопированы и библиотеки, и настройки для этих библиотек, в частности resolv.conf. Т. е. ping не использует /etc/resolv.conf, а использует /var/resolv/etc/resolv.conf.

Нам очень важно держать в chroot'ах resolv.conf синхронным c основной системой.
Вроде все утилиты, обновляющие /etc/resolv.conf, обучены вызывать update_chrooted.

Первая глобальная проблема
update_chroot не предполагал симлинка /etc/resolv.conf до версии chrooted-0.3.11-alt1: altbug #33591
Проблема возникала в системах с systemd, на текущий момент нужная версия chrooted присутствует в ветках, начиная с p8.

Вторая проблема
Как изменение resolv.conf обрабатывать в systemd.
Если используются etcnet или NetworkManager то они за собой дёргают update_chrooted. А вот systemd-networkd и systemd-resolved не имеют возможности запустить какой либо хук.

А вот в этом файле, вот как:

Код: [Выделить]

cat /var/resolv/etc/resolv.conf
# Generated by resolvconf
# Do not edit manually, use
# /etc/net/ifaces/<interface>/resolv.conf instead.
domain lkmpikt.lan
nameserver 192.168.1.1
nameserver 192.168.0.1
nameserver 172.16.0.1

[asy]

И что из этого, мне должно быть понятно? Тут описываются проблемы. Но, не средство для применения.

Описывается то, как оно всё работает и откуда что берётся. И да, проистекающие возможные проблемы тоже.

И что надо после нее указывать? Я так понимаю, на какой-то файл, а на какой?

Да, действительно. Казалось, что там было написано (теперь написано).

Код: [Выделить]

update_chrooted conf

[asy]

А в  самом файле /etc/resolv.conf вот это:

Код: [Выделить]

cat /etc/resolv.conf
# Generated by resolvconf
# Do not edit manually, use
# /etc/net/ifaces/<interface>/resolv.conf instead.
domain lkmpikt.lan
nameserver 192.168.1.1
nameserver 192.168.0.1
nameserver 172.16.0.1


В данном случае система спросит локальный Bind только тогда, когда не ответят первые два. Хотя, кажется, это не регламентировано, и может быть случайно. Но, вроде бы, на самом деле опрашиваются по порядку, до первого ответившего. "not resolded" - это ответ. Неответ это только таймаут запроса.

[rits]

forward only;

Странно, может закоментить? //

[kvadim]

А в  самом файле /etc/resolv.conf вот это:

Код: [Выделить]

cat /etc/resolv.conf
# Generated by resolvconf
# Do not edit manually, use
# /etc/net/ifaces/<interface>/resolv.conf instead.
domain lkmpikt.lan
nameserver 192.168.1.1
nameserver 192.168.0.1
nameserver 172.16.0.1


В данном случае система спросит локальный Bind только тогда, когда не ответят первые два. Хотя, кажется, это не регламентировано, и может быть случайно. Но, вроде бы, на самом деле опрашиваются по порядку, до первого ответившего. "not resolded" - это ответ. Неответ это только таймаут запроса.

Вот применил эту команду по итогу ничего не изменилось.

Код: [Выделить]

[root@gateway httpd2]# update_chrooted conf
[root@gateway httpd2]# cat /var/resolv/etc/resolv.conf
# Generated by resolvconf
# Do not edit manually, use
# /etc/net/ifaces/<interface>/resolv.conf instead.
domain lkmpikt.lan
nameserver 192.168.1.1
nameserver 192.168.0.1
nameserver 172.16.0.1
[root@gateway httpd2]# cat /var/resolv/etc/resolv.conf
# Generated by resolvconf
# Do not edit manually, use
# /etc/net/ifaces/<interface>/resolv.conf instead.
domain lkmpikt.lan
nameserver 192.168.1.1
nameserver 192.168.0.1
nameserver 172.16.0.1
[root@gateway httpd2]# cat /etc/resolv.conf
# Generated by resolvconf
# Do not edit manually, use
# /etc/net/ifaces/<interface>/resolv.conf instead.
domain lkmpikt.lan
nameserver 192.168.1.1
nameserver 192.168.0.1
nameserver 172.16.0.1
[root@gateway httpd2]# ping ya.ru
PING YA.ru (77.88.55.242) 56(84) bytes of data.
64 bytes from ya.ru (77.88.55.242): icmp_seq=1 ttl=53 time=30.8 ms
64 bytes from ya.ru (77.88.55.242): icmp_seq=2 ttl=53 time=29.4 ms
^C
--- YA.ru ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 29.427/30.096/30.766/0.669 ms
[root@gateway httpd2]# ping ya.ru
PING ya.ru (5.255.255.242) 56(84) bytes of data.
64 bytes from ya.ru (5.255.255.242): icmp_seq=1 ttl=246 time=24.3 ms
64 bytes from ya.ru (5.255.255.242): icmp_seq=2 ttl=246 time=24.3 ms
^C
--- ya.ru ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 24.298/24.303/24.309/0.005 ms
[root@gateway httpd2]# ping lkmpikt.lan
ping: lkmpikt.lan: Name or service not known

И еще меня смущает, вот эти сообщения при проверке статуса bind
systemctl status bind.service
● bind.service - Berkeley Internet Name Domain (DNS)
     Loaded: loaded (/lib/systemd/system/bind.service; enabled; vendor preset: disabled)
     Active: active (running) since Thu 2023-08-03 08:10:43 EEST; 3h 7min ago
    Process: 2957 ExecStartPre=/etc/init.d/bind rndc_keygen (code=exited, status=0/SUCCESS)
    Process: 2992 ExecStartPre=/usr/sbin/named-checkconf $CHROOT -z /etc/named.conf (code=exited, status=0/SUCCESS)
    Process: 3130 ExecStart=/usr/sbin/named -u named $CHROOT $RETAIN_CAPS $EXTRAOPTIONS (code=exited, status=0/SUCCESS)
    Process: 8208 ExecReload=/bin/sh -c /usr/sbin/rndc reload > /dev/null 2>&1 || /bin/kill -HUP $MAINPID (code=exited, status=0/SUCCESS)
      Tasks: 14 (limit: 4604)
     Memory: 54.9M
        CPU: 3.505s
     CGroup: /system.slice/bind.service
             └─ 3186 /usr/sbin/named -u named

авг 03 11:17:52 gateway.lkmpikt.lan named[3186]: reloading configuration succeeded
авг 03 11:17:52 gateway.lkmpikt.lan named[3186]: reloading zones succeeded
авг 03 11:17:52 gateway.lkmpikt.lan named[3186]: zone lkmpikt.lan/IN: journal rollforward failed: journal out of sync with zone
авг 03 11:17:52 gateway.lkmpikt.lan named[3186]: zone lkmpikt.lan/IN: not loaded due to errors.
авг 03 11:17:52 gateway.lkmpikt.lan named[3186]: all zones loaded
авг 03 11:17:52 gateway.lkmpikt.lan named[3186]: running
авг 03 11:17:52 gateway.lkmpikt.lan named[3186]: managed-keys-zone: Key 20326 for zone . is now trusted (acceptance timer complete)
авг 03 11:17:52 gateway.lkmpikt.lan named[3186]: managed-keys.bind.jnl: open: permission denied
авг 03 11:17:52 gateway.lkmpikt.lan named[3186]: managed-keys-zone: keyfetch_done:dns_journal_open -> unexpected error
авг 03 11:17:52 gateway.lkmpikt.lan named[3186]: managed-keys-zone: error during managed-keys processing (unexpected error): DNSSEC validation may be at risk


Вроде бы заработало, правда пришлось перезагрузить сервер. И сейчас вроде работает все как надо и на клиентской машине тоже вроде все заработало. Правда не понеял, как при отсутсвии записи в iptables у клиентской машины был инет? Да в настройках прокси я указал и адрес и порт. Но, правила пока не сохраняю, дабы ничего не сломалось.

[rits]

# ls /var/lib/bind/etc -l

lrwxrwxrwx 1 root root     1 янв 25 13:59 bind -> .
-rw-r----- 1 root named    2761 авг 21 14:07    bind.keys
-rw-r----- 1 root named    1205 янв 31 16:56    local.conf
-rw-r----- 1 root named     259 авг 21 14:10    named.conf
-rw-r----- 1 root named    1572 фев  6 11:46    options.conf
-rw-r----- 1 root named     564 авг 21 14:06    rfc1912.conf
-rw-r----- 1 root named    1515 авг 21 14:06    rfc1918.conf
-rw-r----- 1 root named     192 янв 25 14:58    rndc.conf
-rw-r----- 1 root named     191 янв 31 21:45    rndc.key
lrwxrwxrwx 1 root root       7 янв 25 13:59    zone -> ../zone

 /var/lib/bind/etc/options.conf

Код: [Выделить]

...
acl "ptransfer" {
        192.168.0.1;
        192.168.8.1;       
};

acl "pnet" {
    192.168.0.0/24;
    192.168.8.0/24;   
};

// для управления другими серверами и трансфера зон за VPN нужны разрешения
// Для подсетей VPN тунеля
acl "pvpn" { 10.8.0.0/24; };
...
options {
...
allow-query { pnet; pvpn; };
        allow-recursion { pnet; pvpn; };
        allow-transfer {127.0.0.1; localhost; ptransfer; pvpn; };
//ip адреса DHCP серверов и машин с которых разрешено обновлять
// и добавлять записи хостов зоны
        allow-update { 192.168.8.6; key DHCP_UPDATER; };
...
}
/var/lib/bind/etc/local.conf

Код: [Выделить]

...
zone "p.ae" {
        type master;
        file "p.ae";
        allow-query { pnet; pvpn; };
};

zone "8.168.192.in-addr.arpa" {
        type master;
        file "8.168.192.in-addr.arpa";
};
...
# ls -l /var/lib/bind/zone/

Код: [Выделить]

...
-rw-r--r-- 1 named named  3093 авг  3 12:15 8.168.192.in-addr.arpa
-rw-r--r-- 1 named named 99124 авг  3 12:03 8.168.192.in-addr.arpa.jnl
-rw-r--r-- 1 named named  3312 авг  3 11:54 p.ae
-rw-r--r-- 1 named named 38802 авг  3 11:42 p.ae.jnl
...
Может и с правами проблемы. Проверяй, хотя я на systemd, bind не пробовал.

[kvadim]

# ls /var/lib/bind/etc -l

lrwxrwxrwx 1 root root     1 янв 25 13:59 bind -> .
-rw-r----- 1 root named    2761 авг 21 14:07    bind.keys
-rw-r----- 1 root named    1205 янв 31 16:56    local.conf
-rw-r----- 1 root named     259 авг 21 14:10    named.conf
-rw-r----- 1 root named    1572 фев  6 11:46    options.conf
-rw-r----- 1 root named     564 авг 21 14:06    rfc1912.conf
-rw-r----- 1 root named    1515 авг 21 14:06    rfc1918.conf
-rw-r----- 1 root named     192 янв 25 14:58    rndc.conf
-rw-r----- 1 root named     191 янв 31 21:45    rndc.key
lrwxrwxrwx 1 root root       7 янв 25 13:59    zone -> ../zone

 /var/lib/bind/etc/options.conf

Код: [Выделить]

...
acl "ptransfer" {
        192.168.0.1;
        192.168.8.1;       
};

acl "pnet" {
    192.168.0.0/24;
    192.168.8.0/24;   
};

// для управления другими серверами и трансфера зон за VPN нужны разрешения
// Для подсетей VPN тунеля
acl "pvpn" { 10.8.0.0/24; };
...
options {
...
allow-query { pnet; pvpn; };
        allow-recursion { pnet; pvpn; };
        allow-transfer {127.0.0.1; localhost; ptransfer; pvpn; };
//ip адреса DHCP серверов и машин с которых разрешено обновлять
// и добавлять записи хостов зоны
        allow-update { 192.168.8.6; key DHCP_UPDATER; };
...
}
/var/lib/bind/etc/local.conf

Код: [Выделить]

...
zone "p.ae" {
        type master;
        file "p.ae";
        allow-query { pnet; pvpn; };
};

zone "8.168.192.in-addr.arpa" {
        type master;
        file "8.168.192.in-addr.arpa";
};
...
# ls -l /var/lib/bind/zone/

Код: [Выделить]

...
-rw-r--r-- 1 named named  3093 авг  3 12:15 8.168.192.in-addr.arpa
-rw-r--r-- 1 named named 99124 авг  3 12:03 8.168.192.in-addr.arpa.jnl
-rw-r--r-- 1 named named  3312 авг  3 11:54 p.ae
-rw-r--r-- 1 named named 38802 авг  3 11:42 p.ae.jnl
...
Может и с правами проблемы. Проверяй, хотя я на systemd, bind не пробовал.

ls /var/lib/bind/etc/ -l

Код: [Выделить]

ls /var/lib/bind/etc/ -l
итого 44
lrwxrwxrwx 1 root named    1 июн 21 18:04 bind -> .
-rw-r----- 1 root named 1991 июн 21 18:04 bind.keys
-rw-r----- 1 root named  451 авг  3 11:17 local.conf
-rw-r----- 1 root named  453 авг  3 11:13 local.conf~
-rw-r----- 1 root named  259 июн 21 18:04 named.conf
-rw-r----- 1 root named 3063 авг  3 12:46 options.conf
-rw-r----- 1 root named 3061 авг  3 12:45 options.conf~
-rw-r----- 1 root named  564 июн 21 18:04 rfc1912.conf
-rw-r----- 1 root named 1517 июл 26 13:19 rfc1918.conf
-rw-r----- 1 root named 1515 июн 21 18:04 rfc1918.conf~
-rw-r----- 1 root named  113 июн 21 18:04 rndc.conf
-rw-r----- 1 root named  100 июл 26 12:52 rndc.key
lrwxrwxrwx 1 root named    7 июн 21 18:04 zone -> ../zone


ls -l /var/lib/bind/zone/

ls -l /var/lib/bind/zone/
итого 44
-rw-r--r-- 1 named named  353 авг  3 13:05 0.16.172.rev
-rw-r--r-- 1 named named  373 авг  3 13:02 0.16.172.rev~
-rw-r----- 1 root  named  212 июн 21 18:04 127.in-addr.arpa
-rw-r----- 1 root  named  309 июн 21 18:04 empty
-rw-r--r-- 1 root  named  365 авг  3 13:04 lkmpikt.lan.zone
-rw-r--r-- 1 root  named  348 авг  3 13:02 lkmpikt.lan.zone~
-rw-r----- 1 root  named  208 июн 21 18:04 localdomain
-rw-r----- 1 root  named  178 июн 21 18:04 localhost
-rw-r--r-- 1 named named  821 авг  3 13:15 managed-keys.bind
-rw-r--r-- 1 named named 1856 авг  3 13:15 managed-keys.bind.jnl
drwx------ 2 root  named 4096 июн 21 18:04 slave

А вот журналы не созадились. И инет у клиентской машины есть без указания правил в iptables.... Не понял, как это работает.... Или я опять, что-то накосячил?

И вот сейчас убрал настройки прокси с клиентской машины и инет сразу отвалился... А когда указно было, то инет был, но в правилах iptables пусто... Ничего не понимаю.

Не журналы не создаются.

Код: [Выделить]

ls -l
итого 36
-rw-r--r-- 1 named named  353 авг  3 13:05 0.16.172.rev
-rw-r----- 1 named named  212 июн 21 18:04 127.in-addr.arpa
-rw-r----- 1 named named  309 июн 21 18:04 empty
-rw-r--r-- 1 named named  365 авг  3 13:04 lkmpikt.lan.zone
-rw-r----- 1 named named  208 июн 21 18:04 localdomain
-rw-r----- 1 named named  178 июн 21 18:04 localhost
-rw-r--r-- 1 named named  821 авг  3 13:51 managed-keys.bind
-rw-r--r-- 1 named named 3872 авг  3 13:51 managed-keys.bind.jnl
drwx------ 2 named named 4096 июн 21 18:04 slave
И вот настройка dhcp

Код: [Выделить]

cat /etc/dhcp/dhcpd.conf
authoritative;

ddns-domainname "lkmpikt.lan";
ddns-update-style interim;

include "/var/lib/bind/etc/rndc.key";

deny client-updates;

zone lkmpikt.lan. {
primary 127.0.0.1;
key "rndc-key";
}

zone 0.16.172.in-addr.arpa. {
primary 127.0.0.1;
key "rndc-key";
}

option domain-name "lkmpikt.lan";
option domain-name-servers 172.16.0.1;
option netbios-name-servers 172.16.0.1;
option routers 172.16.0.1;

subnet 172.16.0.0 netmask 255.255.255.0 {
range 172.16.0.5 172.16.0.250;
}


Сейчас изменил в строках primary с 172.16.0.1 на 127.0.0.1 и все равно журналы не создаются. И не появляется запись клиента в зонах прямой и обратной в бинде, а до этого появлялись там записи.

[asy]

Вот применил эту команду по итогу ничего не изменилось.

Так если оно уже так и было, то и не должно меняться. Я это написал только на предмет того, если вы /etc/resolv.conf руками править будете, чтобы оно сразу везде сработало. Только вот зачем Вы там оставили

Код: [Выделить]

nameserver 192.168.1.1
nameserver 192.168.0.1
?
Или там у Вас вторичные DNS с копией зон с локального Bind? Да всё равно они не нужны наверное, если этот сервер сам DNS основной.