我们在 CentOS 6 服务器上运行 MaraDNS 2.0.06。我们设置为权威服务器,不提供递归。
我有一个这样的 mararc.base:
ipv4_bind_addresses = "192.168.50.250"
synth_soa_origin = "ns1.teamunify.net"
maradns_uid = 65500
maradns_gid = 65500
chroot_dir = "/etc/maradns"
default_rrany_set = 15
verbose_level = 2
hide_disclaimer = "yes"
tcp_convert_acl = "0.0.0.0/0"
tcp_convert_server = "192.168.50.250"
recursive_acl = "192.168.50.0/24, 10.10.0.0/16, 127.0.0.1"
csv2 = {}
我已向 teamunify.com.zone 文件添加了一条记录,如下所示:
topica.% 192.168.50.141 ~
当我从本地子网查询服务器时,我能够获取返回的 A 记录。当我远程查询服务器时,我无法获取返回的 A 记录。
在 verbose_level = 3 处记录表明 MaraDNS 确实收到了查询:
Query from: $PUBLIC_IP Atopica.teamunify.com.
...但日志中没有与查询相关的错误,并且客户端最终超时。
我们在该区域文件中还有其他 RFC1918 A 记录,并且所有记录在远程查询时都可以返回 A 记录。但是,所有工作地址都不在 192.168.50.0/24 子网中。
答案1
最终把这个问题理清了...其概要如下:
- 在 Cisco NAT 版本 15.0(1r)M15、发布软件 (fc1) 后面运行的权威名称服务器
- 配置 NS 为 rfc1918 地址空间中的“本地”子网提供 A 记录
- 记录查询永远不会返回给客户端!
- 流量分析表明,主机实际上将 A 记录发送到网络(朝向 NAT 路由器)
- 流量分析还显示路由器正在使用 ICMP 主机不可达数据包响应 A 记录应答
通过 cisco-nsp 列表进行分析可以得出以下结论: http://www.gossamer-threads.com/lists/cisco/nsp/84052
这也证实了: http://plone.lucidsolutions.co.nz/networking/cisco/ios/a-workaround-for-nat-rewriting-dns-packets
修复我们的 DNS nat 转换以使用“no-payload”指令允许 A 记录回复传输路由器。