Forum

Bind9 sorgu problem...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Bind9 sorgu problemi.

20 Yazılar
3 Üyeler
0 Reactions
2,033 Görüntüleme
(@seckincizer)
Gönderiler: 130
Estimable Member
Konu başlatıcı
 

Merhaba
 

Ubuntu 22.04  üzerine Bind9 kurulumu yaptım. 

İç networkteki kullanıcı bilgisayarlarının Dns ip adresleri ise bu sunucu olarak gösteriyorum.

Fakat,içerdeki sorgulardan  çok yoğun bir şekilde sunucu üzerinde query-errors log'u almaktayım.

Ortalama 20 sorgunun 2 sinde hata gelyior ama 18'i başarılı bir şekilde cevap döndürüyor.

named.conf , named.conf.options , query_errors.log  içerikleri ekteki gibidir.

 

Hata log'unun içerigi nde geçen cümle şu şekilde ;

query failed (timed out) for  "URL"

 

Firewall üzerinde 53 ile ilgili tüm portlar açık.Nitekim filtrelese hiç gelmez.Dakikada  50 sorguya cevap veriyorsa 10 sorguya hata üstteki hatayı çeviriyor.Konfigurasyon sorunu gibi.

İşin içinden çıkamadım.Yardımlarınızı rica ediyorum.

 

Saygılarımla

 
Gönderildi : 03/01/2023 11:29

(@vasviuysal)
Gönderiler: 7890
Üye
 

Bence ipv6 ve forwarderleri kapatarak kullanmayı deneyin

 

 
Gönderildi : 03/01/2023 12:19

(@seckincizer)
Gönderiler: 130
Estimable Member
Konu başlatıcı
 

Merhaba Vasvi Bey

Cevabınız için çok teşekkür ederim.

ipv6 yı kapattım.Fakat forwarder dediğimiz kısımı  kaldırırsam kendi üzeri dışındaki zoneları dışarı sormada problem olmaz mı?

Bu arada log dosyası şu şekile döndü :

03-Jan-2023 12:49:27.614 query-errors: info: client @0x7f2b8002af20 a.b.c.d#34711 (dogusplanet.com.tr): view deneme: query failed (timed out) for dogusplanet.com.tr/IN/TYPE65 at query.c:6883
03-Jan-2023 12:49:27.630 query-errors: info: client @0x7f2b8002af20 a.b.c.d#34711 (dogusplanet.com.tr): view deneme: query failed (SERVFAIL) for dogusplanet.com.tr/IN/TYPE65 at query.c:6182

Fakat Dns sunucu üzerinden de dig komutuyla cevap dönüyor . Çok ilginç

root@bcde:/etc/bind# dig dogusplanet.com.tr

; <<>> DiG 9.16.1-Ubuntu <<>> dogusplanet.com.tr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36657
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: d1718cd1291d64480100000063b3faf0253fe831cf2c0d3f (good)
;; QUESTION SECTION:
;dogusplanet.com.tr. IN A

;; ANSWER SECTION:
dogusplanet.com.tr. 3130 IN A 35.234.80.44

;; Query time: 51 msec
;; SERVER: 192.168.a.d#53(192.168.a.d)
;; WHEN: Sal Oca 03 12:52:48 +03 2023
;; MSG SIZE rcvd: 91

Değerli yorumlarınızı rica ediyorum.

 

Saygılarımla

 
Gönderildi : 03/01/2023 12:53

(@vasviuysal)
Gönderiler: 7890
Üye
 

normalde yani forwarder tanımı yapmadığınızda gidip root dnslerden sorgulaması gerekir.

 

 
Gönderildi : 03/01/2023 13:03

(@seckincizer)
Gönderiler: 130
Estimable Member
Konu başlatıcı
 

Akşam mesai bitimi deneyeceğim.Başka bir öneriniz olur mu Vasvi Bey ?

/IN/TYPE65 uyarısı ile ilgili makul bir makale de bulamadım

Örneğin loglama yani query_errors ise  "severity dynamic;" seviyesinde yani en üstte.

Fakat ,çözümcül detay log vermiyor maalesef

 
Gönderildi : 03/01/2023 13:11

Ali Velioğlu
(@alihan-2)
Gönderiler: 93
Estimable Member
 

Selamlar

bu satırı

//include "/etc/bind/named.conf.default-zones";

Bu şekle getirip servisi yeniden başlatınız.

include "/etc/bind/named.conf.default-zones";

Default yapılandırmayı değiştirmeyiniz.

 
Gönderildi : 03/01/2023 21:53

(@seckincizer)
Gönderiler: 130
Estimable Member
Konu başlatıcı
 

Teşekür Ederim Ali Bey

Fakat şimdi de şu hatayı aldım

"/etc/bind/named.conf.default-zones:2: when using 'view' statements, all zones must in views"

named.conf.local dosyasına şunu ekledim ama maalesef restart ile hata değişmedi

view "icerisi" {
match-clients { localnets ;ic ; };
include "/etc/bind/zones.rfc1918";
include "/etc/bind/named.conf.default-zones";
recursion yes ;

 

 

Yardımlarınızı rica ediyorum

 
Gönderildi : 03/01/2023 22:51

Ali Velioğlu
(@alihan-2)
Gönderiler: 93
Estimable Member
 

named.conf.local dosyasında sadece bölge/alan yapılandırmaları eklenir.

mümkünse /etc/bind dizinini ve log dosyalrınızı sıkıştırıp link verin detaylıca bakalım.

 

 

 
Gönderildi : 03/01/2023 22:56

(@seckincizer)
Gönderiler: 130
Estimable Member
Konu başlatıcı
 

 

Ektedir Ali Bey.

 Hem sorunsuz olan logları hem de sorunlu olan yani error logları gönderdim.

 
Gönderildi : 04/01/2023 11:19

(@vasviuysal)
Gönderiler: 7890
Üye
 

Gönderen: @seckincizer

 

Ektedir Ali Bey.

 Hem sorunsuz olan logları hem de sorunlu olan yani error logları gönderdim.

 

DNS kayıtlarınızı bu sunucuda tutmuyorsanız view kullanmanıza gerek yok ki

sube adında view tanımlamışsınız fakat bu view için acl ve kayıt yok sanırım

 

 

 
Gönderildi : 04/01/2023 11:28

(@seckincizer)
Gönderiler: 130
Estimable Member
Konu başlatıcı
 

Merhaba Vasvi Bey

Dns kayıtlarını bu sunucuda tutuyoruz.

Sube için view ve acl mevcut aslında named_conf_local.txt dosyasında.

 

 acl subeler {
d.e.f.g/32 ; // sube

 

ve

view "subelerimiz" {
match-clients {subeler; } ;

include "/etc/bind/zones.rfc1918";
recursion yes ;

zone "c.v.212.in-addr.arpa" {
type master;
file "/etc/bind/zones/rev.c.v.212.in-addr.arpa";
};


zone "deneme.com.tr." IN {
type master ;
file "/etc/bind/zones/deneme_com_tr_subeler.db";
allow-update { none; };
allow-query { any ;} ;
};

};

 

 
Gönderildi : 04/01/2023 11:34

(@vasviuysal)
Gönderiler: 7890
Üye

(@seckincizer)
Gönderiler: 130
Estimable Member
Konu başlatıcı
 

@vasviuysal Merhaba

View & Acl  tarafında bir sorunumuz yok. Kullanıcılar bu zone içindeki sorgularda bir problem yaşamıyorlar.

 
Gönderildi : 04/01/2023 11:50

(@seckincizer)
Gönderiler: 130
Estimable Member
Konu başlatıcı
 

Hatta farklı bir log daha geldi. Onu da aşağıya ekledim.

 

04-Jan-2023 11:12:05.359 query-errors: info: client @0x7fbd1c050f38 192.168.a.22#60777 (wps.relateddigital.com): view internal: query failed (broken trust chain) for wps.relateddigital.com/IN/A at query.c:7649
04-Jan-2023 11:12:05.643 query-errors: info: client @0x7fbd181f5008 192.168.a.22#65089 (www.hesapkurdu.com): view internal: query failed (broken trust chain) for www.hesapkurdu.com/IN/A at query.c:7649
04-Jan-2023 11:12:05.643 query-errors: info: client @0x7fbcfc1759c8 192.168.a.22#62210 (www.hesapkurdu.com): view internal: query failed (broken trust chain) for www.hesapkurdu.com/IN/A at query.c:7649
04-Jan-2023 11:12:05.643 query-errors: info: client @0x7fbd241daed8 192.168.a.22#65086 (www.hesapkurdu.com): view internal: query failed (broken trust chain) for www.hesapkurdu.com/IN/A at query.c:7649

 
Gönderildi : 04/01/2023 12:08

(@vasviuysal)
Gönderiler: 7890
Üye
 

Gönderen: @seckincizer

Hatta farklı bir log daha geldi. Onu da aşağıya ekledim.

 

04-Jan-2023 11:12:05.359 query-errors: info: client @0x7fbd1c050f38 192.168.a.22#60777 (wps.relateddigital.com): view internal: query failed (broken trust chain) for wps.relateddigital.com/IN/A at query.c:7649
04-Jan-2023 11:12:05.643 query-errors: info: client @0x7fbd181f5008 192.168.a.22#65089 (www.hesapkurdu.com): view internal: query failed (broken trust chain) for www.hesapkurdu.com/IN/A at query.c:7649
04-Jan-2023 11:12:05.643 query-errors: info: client @0x7fbcfc1759c8 192.168.a.22#62210 (www.hesapkurdu.com): view internal: query failed (broken trust chain) for www.hesapkurdu.com/IN/A at query.c:7649
04-Jan-2023 11:12:05.643 query-errors: info: client @0x7fbd241daed8 192.168.a.22#65086 (www.hesapkurdu.com): view internal: query failed (broken trust chain) for www.hesapkurdu.com/IN/A at query.c:7649

 

https://access.redhat.com/solutions/5633621

bu dnssec ile ilgili gibi ama type 65 (https ) sorguları için nette gpo ile clientlerde bu sorguların yapılmasını engellenebileceği gibi çözümler gördüm

 

 

 
Gönderildi : 04/01/2023 12:11

(@seckincizer)
Gönderiler: 130
Estimable Member
Konu başlatıcı
 

@vasviuysal Teşekkürler

Peki bu şekilde named_conf_options dosyasına eklenmesiyle ortaya çıkabilecek güvenlik açığı konusunda fikrinizi alma şansım var mı

dnssec-enable no;
dnssec-validation no;
 
Gönderildi : 04/01/2023 12:33

(@vasviuysal)
Gönderiler: 7890
Üye
 

Gönderen: @seckincizer

@vasviuysal Teşekkürler

Peki bu şekilde named_conf_options dosyasına eklenme konusunda fikrinizi alma şansım var mı

dnssec-enable no;
dnssec-validation no;

 

yapınızda dnssec kullanmıyor iseniz ekleyebilirsiniz tabii

bu arada dnssec nedir için : https://sozluk.cozumpark.com/DNSSEC

 

 

 
Gönderildi : 04/01/2023 12:35

(@seckincizer)
Gönderiler: 130
Estimable Member
Konu başlatıcı
 

Teşekkürler Vasvi Bey.

Peki ara sıra  "query failed  (Time out)" loguna  neden olan adresler için bir öneriniz veya tavsiye de /fikir de bulunma şansınız  var mı ?

04-Jan-2023 12:56:24.521 query-errors: info: client @0x7f4dd8057080 ------#60010 (www.sencardreporting.com): view sube: query failed (timed out) for www.sencardreporting.com/IN/TYPE65 at query.c:6883
04-Jan-2023 12:56:24.529 query-errors: info: client @0x7f4dd8057080 ------#60010 (www.sencardreporting.com): view sube: query failed (SERVFAIL) for www.sencardreporting.com/IN/TYPE65 at query.c:6182
04-Jan-2023 13:04:47.430 query-errors: info: client @0x7f4dd4056290 ------#60026 (provizyon.groupama.com.tr): view intranet: query failed (timed out) for provizyon.groupama.com.tr/IN/TYPE65 at query.c:6883
04-Jan-2023 13:04:56.878 query-errors: info: client @0x7f4d9c007780 ------#62008 (www.powerapp.com.tr): view sube: query failed (timed out) for www.powerapp.com.tr/IN/TYPE65 at query.c:6883
04-Jan-2023 13:05:00.734 query-errors: info: client @0x7f4de0009790 ------#63302 (api.powergroup.com.tr): view sube: query failed (timed out) for api.powergroup.com.tr/IN/TYPE65 at query.c:6883
04-Jan-2023 13:06:35.789 query-errors: info: client @0x7f4dcc00ec40 ------#62360 (listen.powerapp.com.tr): view sube: query failed (timed out) for listen.powerapp.com.tr/IN/TYPE65 at query.c:6883

 

Sizin  gönderdiğiniz linkteki konfigurasyon ile bendeki konfigurasyonun farkı ;

linkte zone  tanımlamaları named.conf içinde bulunmakta. Bende ise named_conf local içinde  bulunmakta. 

named.conf.default-zones dosyasının commentli olmayacağı  bir yer var ise ki sorunun bundan kaynaklandığına dair   şüphelerim var.

İlk kurdugumda , named.conf içinde bu kısmı commentli yaparak çalıştırabilmiştim.

include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
//include "/etc/bind/named.conf.default-zones";

 

Yoksa  bunların hepsi dnssec ile ile mi ilgili sizce ?

Değerli fikirlerinizi rica ediyorum.

 

Teşekkürler

 
Gönderildi : 04/01/2023 13:16

(@vasviuysal)
Gönderiler: 7890
Üye
 

time out veren sorgu tipi ( type 65 ) henüz bir standart haline gelmediği için bind tarafından desteklenmiyor olabilir.

https://en.wikipedia.org/wiki/List_of_DNS_record_types

 
Gönderildi : 04/01/2023 13:37

Sayfa 1 / 2
Paylaş: