Forum
Bildirimler
Hepsini Temizle
Linux & Unix
20
Yazılar
3
Üyeler
0
Reactions
2,000
Görüntüleme
Konu başlatıcı
Merhaba
Ubuntu 22.04 üzerine Bind9 kurulumu yaptım.
İç networkteki kullanıcı bilgisayarlarının Dns ip adresleri ise bu sunucu olarak gösteriyorum.
Fakat,içerdeki sorgulardan çok yoğun bir şekilde sunucu üzerinde query-errors log'u almaktayım.
Ortalama 20 sorgunun 2 sinde hata gelyior ama 18'i başarılı bir şekilde cevap döndürüyor.
named.conf , named.conf.options , query_errors.log içerikleri ekteki gibidir.
Hata log'unun içerigi nde geçen cümle şu şekilde ;
query failed (timed out) for "URL"
Firewall üzerinde 53 ile ilgili tüm portlar açık.Nitekim filtrelese hiç gelmez.Dakikada 50 sorguya cevap veriyorsa 10 sorguya hata üstteki hatayı çeviriyor.Konfigurasyon sorunu gibi.
İşin içinden çıkamadım.Yardımlarınızı rica ediyorum.
Saygılarımla
Gönderildi : 03/01/2023 11:29
Bence ipv6 ve forwarderleri kapatarak kullanmayı deneyin
Gönderildi : 03/01/2023 12:19
Konu başlatıcı
Merhaba Vasvi Bey
Cevabınız için çok teşekkür ederim.
ipv6 yı kapattım.Fakat forwarder dediğimiz kısımı kaldırırsam kendi üzeri dışındaki zoneları dışarı sormada problem olmaz mı?
Bu arada log dosyası şu şekile döndü :
03-Jan-2023 12:49:27.614 query-errors: info: client @0x7f2b8002af20 a.b.c.d#34711 (dogusplanet.com.tr): view deneme: query failed (timed out) for dogusplanet.com.tr/IN/TYPE65 at query.c:6883
03-Jan-2023 12:49:27.630 query-errors: info: client @0x7f2b8002af20 a.b.c.d#34711 (dogusplanet.com.tr): view deneme: query failed (SERVFAIL) for dogusplanet.com.tr/IN/TYPE65 at query.c:6182
Fakat Dns sunucu üzerinden de dig komutuyla cevap dönüyor . Çok ilginç
root@bcde:/etc/bind# dig dogusplanet.com.tr
; <<>> DiG 9.16.1-Ubuntu <<>> dogusplanet.com.tr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36657
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: d1718cd1291d64480100000063b3faf0253fe831cf2c0d3f (good)
;; QUESTION SECTION:
;dogusplanet.com.tr. IN A;; ANSWER SECTION:
dogusplanet.com.tr. 3130 IN A 35.234.80.44;; Query time: 51 msec
;; SERVER: 192.168.a.d#53(192.168.a.d)
;; WHEN: Sal Oca 03 12:52:48 +03 2023
;; MSG SIZE rcvd: 91
Değerli yorumlarınızı rica ediyorum.
Saygılarımla
Gönderildi : 03/01/2023 12:53
normalde yani forwarder tanımı yapmadığınızda gidip root dnslerden sorgulaması gerekir.
Gönderildi : 03/01/2023 13:03
Konu başlatıcı
Akşam mesai bitimi deneyeceğim.Başka bir öneriniz olur mu Vasvi Bey ?
/IN/TYPE65 uyarısı ile ilgili makul bir makale de bulamadım
Örneğin loglama yani query_errors ise "severity dynamic;" seviyesinde yani en üstte.
Fakat ,çözümcül detay log vermiyor maalesef
Gönderildi : 03/01/2023 13:11
Selamlar
bu satırı
//include "/etc/bind/named.conf.default-zones";
Bu şekle getirip servisi yeniden başlatınız.
include "/etc/bind/named.conf.default-zones";
Default yapılandırmayı değiştirmeyiniz.
Gönderildi : 03/01/2023 21:53
Konu başlatıcı
Teşekür Ederim Ali Bey
Fakat şimdi de şu hatayı aldım
"/etc/bind/named.conf.default-zones:2: when using 'view' statements, all zones must in views"
named.conf.local dosyasına şunu ekledim ama maalesef restart ile hata değişmedi
view "icerisi" {
match-clients { localnets ;ic ; };
include "/etc/bind/zones.rfc1918";
include "/etc/bind/named.conf.default-zones";
recursion yes ;
Yardımlarınızı rica ediyorum
Gönderildi : 03/01/2023 22:51
named.conf.local dosyasında sadece bölge/alan yapılandırmaları eklenir.
mümkünse /etc/bind dizinini ve log dosyalrınızı sıkıştırıp link verin detaylıca bakalım.
Gönderildi : 03/01/2023 22:56
Konu başlatıcı
Ektedir Ali Bey.
Hem sorunsuz olan logları hem de sorunlu olan yani error logları gönderdim.
Gönderildi : 04/01/2023 11:19
Ektedir Ali Bey.
Hem sorunsuz olan logları hem de sorunlu olan yani error logları gönderdim.
DNS kayıtlarınızı bu sunucuda tutmuyorsanız view kullanmanıza gerek yok ki
sube adında view tanımlamışsınız fakat bu view için acl ve kayıt yok sanırım
Gönderildi : 04/01/2023 11:28
Konu başlatıcı
Merhaba Vasvi Bey
Dns kayıtlarını bu sunucuda tutuyoruz.
Sube için view ve acl mevcut aslında named_conf_local.txt dosyasında.
acl subeler {
d.e.f.g/32 ; // sube
ve
view "subelerimiz" {
match-clients {subeler; } ;
include "/etc/bind/zones.rfc1918";
recursion yes ;
zone "c.v.212.in-addr.arpa" {
type master;
file "/etc/bind/zones/rev.c.v.212.in-addr.arpa";
};
zone "deneme.com.tr." IN {
type master ;
file "/etc/bind/zones/deneme_com_tr_subeler.db";
allow-update { none; };
allow-query { any ;} ;
};
};
Gönderildi : 04/01/2023 11:34
Konu başlatıcı
@vasviuysal Merhaba
View & Acl tarafında bir sorunumuz yok. Kullanıcılar bu zone içindeki sorgularda bir problem yaşamıyorlar.
Gönderildi : 04/01/2023 11:50
Konu başlatıcı
Hatta farklı bir log daha geldi. Onu da aşağıya ekledim.
04-Jan-2023 11:12:05.359 query-errors: info: client @0x7fbd1c050f38 192.168.a.22#60777 (wps.relateddigital.com): view internal: query failed (broken trust chain) for wps.relateddigital.com/IN/A at query.c:7649
04-Jan-2023 11:12:05.643 query-errors: info: client @0x7fbd181f5008 192.168.a.22#65089 (www.hesapkurdu.com): view internal: query failed (broken trust chain) for www.hesapkurdu.com/IN/A at query.c:7649
04-Jan-2023 11:12:05.643 query-errors: info: client @0x7fbcfc1759c8 192.168.a.22#62210 (www.hesapkurdu.com): view internal: query failed (broken trust chain) for www.hesapkurdu.com/IN/A at query.c:7649
04-Jan-2023 11:12:05.643 query-errors: info: client @0x7fbd241daed8 192.168.a.22#65086 (www.hesapkurdu.com): view internal: query failed (broken trust chain) for www.hesapkurdu.com/IN/A at query.c:7649
Gönderildi : 04/01/2023 12:08
Hatta farklı bir log daha geldi. Onu da aşağıya ekledim.
04-Jan-2023 11:12:05.359 query-errors: info: client @0x7fbd1c050f38 192.168.a.22#60777 (wps.relateddigital.com): view internal: query failed (broken trust chain) for wps.relateddigital.com/IN/A at query.c:7649
04-Jan-2023 11:12:05.643 query-errors: info: client @0x7fbd181f5008 192.168.a.22#65089 (www.hesapkurdu.com): view internal: query failed (broken trust chain) for www.hesapkurdu.com/IN/A at query.c:7649
04-Jan-2023 11:12:05.643 query-errors: info: client @0x7fbcfc1759c8 192.168.a.22#62210 (www.hesapkurdu.com): view internal: query failed (broken trust chain) for www.hesapkurdu.com/IN/A at query.c:7649
04-Jan-2023 11:12:05.643 query-errors: info: client @0x7fbd241daed8 192.168.a.22#65086 (www.hesapkurdu.com): view internal: query failed (broken trust chain) for www.hesapkurdu.com/IN/A at query.c:7649
https://access.redhat.com/solutions/5633621
bu dnssec ile ilgili gibi ama type 65 (https ) sorguları için nette gpo ile clientlerde bu sorguların yapılmasını engellenebileceği gibi çözümler gördüm
Gönderildi : 04/01/2023 12:11
Konu başlatıcı
@vasviuysal Teşekkürler
Peki bu şekilde named_conf_options dosyasına eklenmesiyle ortaya çıkabilecek güvenlik açığı konusunda fikrinizi alma şansım var mı
dnssec-enable no;
dnssec-validation no;
Gönderildi : 04/01/2023 12:33
@vasviuysal Teşekkürler
Peki bu şekilde named_conf_options dosyasına eklenme konusunda fikrinizi alma şansım var mı
dnssec-enable no; dnssec-validation no;
yapınızda dnssec kullanmıyor iseniz ekleyebilirsiniz tabii
bu arada dnssec nedir için : https://sozluk.cozumpark.com/DNSSEC
Gönderildi : 04/01/2023 12:35
Konu başlatıcı
Teşekkürler Vasvi Bey.
Peki ara sıra "query failed (Time out)" loguna neden olan adresler için bir öneriniz veya tavsiye de /fikir de bulunma şansınız var mı ?
04-Jan-2023 12:56:24.521 query-errors: info: client @0x7f4dd8057080 ------#60010 (www.sencardreporting.com): view sube: query failed (timed out) for www.sencardreporting.com/IN/TYPE65 at query.c:6883 04-Jan-2023 12:56:24.529 query-errors: info: client @0x7f4dd8057080 ------#60010 (www.sencardreporting.com): view sube: query failed (SERVFAIL) for www.sencardreporting.com/IN/TYPE65 at query.c:6182 04-Jan-2023 13:04:47.430 query-errors: info: client @0x7f4dd4056290 ------#60026 (provizyon.groupama.com.tr): view intranet: query failed (timed out) for provizyon.groupama.com.tr/IN/TYPE65 at query.c:6883 04-Jan-2023 13:04:56.878 query-errors: info: client @0x7f4d9c007780 ------#62008 (www.powerapp.com.tr): view sube: query failed (timed out) for www.powerapp.com.tr/IN/TYPE65 at query.c:6883 04-Jan-2023 13:05:00.734 query-errors: info: client @0x7f4de0009790 ------#63302 (api.powergroup.com.tr): view sube: query failed (timed out) for api.powergroup.com.tr/IN/TYPE65 at query.c:6883 04-Jan-2023 13:06:35.789 query-errors: info: client @0x7f4dcc00ec40 ------#62360 (listen.powerapp.com.tr): view sube: query failed (timed out) for listen.powerapp.com.tr/IN/TYPE65 at query.c:6883
Sizin gönderdiğiniz linkteki konfigurasyon ile bendeki konfigurasyonun farkı ;
linkte zone tanımlamaları named.conf içinde bulunmakta. Bende ise named_conf local içinde bulunmakta.
named.conf.default-zones dosyasının commentli olmayacağı bir yer var ise ki sorunun bundan kaynaklandığına dair şüphelerim var.
İlk kurdugumda , named.conf içinde bu kısmı commentli yaparak çalıştırabilmiştim.
include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; //include "/etc/bind/named.conf.default-zones";
Yoksa bunların hepsi dnssec ile ile mi ilgili sizce ?
Değerli fikirlerinizi rica ediyorum.
Teşekkürler
Gönderildi : 04/01/2023 13:16
time out veren sorgu tipi ( type 65 ) henüz bir standart haline gelmediği için bind tarafından desteklenmiyor olabilir.
Gönderildi : 04/01/2023 13:37
Sayfa 1 / 2
Sonraki
