主題: DNS Query的問題

[lc]

我們要連往行政院農業委員會 農業藥物毒物試驗所的網頁時出了一些問題
該網址為 http://www.phicroc.gov.tw , IP為 210.241.63.225
我從我們的DNS Service主機上檢查連外的狀況如下:
$ sudo nmap -sU -P0 -p 53 168.95.1.1

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on dns.hinet.net (168.95.1.1):
Port       State       Service
53/udp     open        domain                 

Nmap run completed -- 1 IP address (1 host up) scanned in 72 seconds

$ sudo nmap -sU -P0 -p 53 210.241.63.225

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on  (210.241.63.225):
Port       State       Service
53/udp     open        domain

Nmap run completed -- 1 IP address (1 host up) scanned in 67 seconds

檢查兩台外部兩台DNS皆可以連線
但是查詢目標主機時會出現下面的問題

$ dig www.phicroc.gov.tw

; <<>> DiG 9.2.4rc6 <<>> www.phicroc.gov.tw
;; global options:  printcmd
;; connection timed out; no servers could be reached

$ dig +trace www.phicroc.gov.tw

; <<>> DiG 9.2.4rc6 <<>> +trace www.phicroc.gov.tw
;; global options:  printcmd
.                       480562  IN      NS      i.root-servers.net.
.                       480562  IN      NS      j.root-servers.net.
.                       480562  IN      NS      k.root-servers.net.
.                       480562  IN      NS      l.root-servers.net.
.                       480562  IN      NS      m.root-servers.net.
.                       480562  IN      NS      a.root-servers.net.
.                       480562  IN      NS      b.root-servers.net.
.                       480562  IN      NS      c.root-servers.net.
.                       480562  IN      NS      d.root-servers.net.
.                       480562  IN      NS      e.root-servers.net.
.                       480562  IN      NS      f.root-servers.net.
.                       480562  IN      NS      g.root-servers.net.
.                       480562  IN      NS      h.root-servers.net.
;; Received 492 bytes from 61.56.15.166#53(61.56.15.166) in 1 ms

tw.                     172800  IN      NS      H.DNS.tw.
tw.                     172800  IN      NS      NS.TWNIC.NET.
tw.                     172800  IN      NS      A.DNS.tw.
tw.                     172800  IN      NS      B.DNS.tw.
tw.                     172800  IN      NS      C.DNS.tw.
tw.                     172800  IN      NS      D.DNS.tw.
tw.                     172800  IN      NS      E.DNS.tw.
tw.                     172800  IN      NS      F.DNS.tw.
tw.                     172800  IN      NS      G.DNS.tw.
;; Received 422 bytes from 192.36.148.17#53(i.root-servers.net) in 34 ms

gov.tw.                 86400   IN      NS      a.twnic.net.tw.
gov.tw.                 86400   IN      NS      b.twnic.net.tw.
gov.tw.                 86400   IN      NS      c.twnic.net.tw.
;; Received 170 bytes from 61.31.216.3#53(H.DNS.tw) in 8 ms

phicroc.gov.tw.         43200   IN      NS      www.phicroc.gov.tw.
;; Received 66 bytes from 192.83.166.9#53(a.twnic.net.tw) in 2 ms

dig: Couldn't find server 'www.phicroc.gov.tw': Name or service not known

如果是用外部的DNS則可以查詢到
$dig @168.95.1.1 www.phicroc.gov.tw

; <<>> DiG 9.2.4rc6 <<>> @168.95.1.1 www.phicroc.gov.tw
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 43019
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

;; QUESTION SECTION:
;www.phicroc.gov.tw.            IN      A

;; ANSWER SECTION:
www.phicroc.gov.tw.     43200   IN      A       210.241.63.225

;; AUTHORITY SECTION:
phicroc.gov.tw.         43200   IN      NS      www.phicroc.gov.tw.

;; ADDITIONAL SECTION:
www.phicroc.gov.tw.     43200   IN      A       210.241.63.225

;; Query time: 3 msec
;; SERVER: 168.95.1.1#53(168.95.1.1)
;; WHEN: Thu May 22 14:55:36 2008
;; MSG SIZE  rcvd: 96

$ dig @a.twnic.net.tw www.phicroc.gov.tw

; <<>> DiG 9.2.4rc6 <<>> @a.twnic.net.tw www.phicroc.gov.tw
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56983
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; QUESTION SECTION:
;www.phicroc.gov.tw.            IN      A

;; AUTHORITY SECTION:
phicroc.gov.tw.         43200   IN      NS      www.phicroc.gov.tw.

;; ADDITIONAL SECTION:
www.phicroc.gov.tw.     43200   IN      A       210.241.63.225

;; Query time: 2 msec
;; SERVER: 192.83.166.9#53(a.twnic.net.tw)
;; WHEN: Thu May 22 14:55:43 2008
;; MSG SIZE  rcvd: 66

請教此問題該如何解決?

[JackYang78]

貼一下你的 /etc/resolv.conf 如何 ?

[lc]

/etc/resolv.conf內指向我們自己的三台DNS Server
domain {our domain}
serach {our domain}
nameserver {IP1}
nameserver {IP2}
nameserver {IP3}

以上的動作在 IP1 那一台主機上查詢的

[JackYang78]

/etc/resolv.conf內指向我們自己的三台DNS Server
domain {our domain}
serach {our domain}
nameserver {IP1}
nameserver {IP2}
nameserver {IP3}

以上的動作在 IP1 那一台主機上查詢的

既然如此... 那就問 IP1 這台 DNS Server 管理者,為何查不到...? 若你是管理者,不坊貼一下你的 /etc/named.conf 吧!!

[netman]

不很確定問題所在，我猜是對方的問題。
可能是 ns 的設定，也可能是 firewall/nat 方面的問題。

[lc]

來了!
/var/named/chroot/etc/named.conf:

options {
   directory "/var/named";
   notify no;
};

key "rndc-key" {
   algorithm       hmac-md5;
   secret "...";
};

controls {
   inet 127.0.0.1 port  953
      allow { 127.0.0.1; } keys { "rndc-key"; };
};

logging {
   logging的相關設定
};

zone "." IN {
   type hint;
   file "named.ca";
};

zone "localhost" IN {
   type master;
   file "localhost.zone";
   allow-update { none; };
};

zone "0.0.127.in-addr.arpa" IN {
   type master;
   file "named.local";
   allow-update { none; };
};

zone "公司domain" IN {
   type slave;
   file "公司domain.zone";
   masters { IP; };
   allow-transfer { none; };
};

以下都是公司IP反解zone設定

include "/etc/rndc.key";

[JackYang78]

看來是 PC 透過 Linux DNS 去查尋, 那可能的問題就是 DNS Server 有 --> NAT or Firewall 的問題 ?!

若你將 DNS Server 設定 forward 168.95.1.1 去查尋.... 不知可否查到 ?!

[lc]

看來是 PC 透過 Linux DNS 去查尋, 那可能的問題就是 DNS Server 有 --> NAT or Firewall 的問題 ?!

若你將 DNS Server 設定 forward 168.95.1.1 去查尋.... 不知可否查到 ?!

我們的防火牆擋掉了除了那三台DNS Server外, 一切往外的tcp/udp 53.
上面的資訊都是在其中一台DNS Server上所做的測試, 一般User我們是不會讓他們直接存取外面的DNS.

我試著在一台DNS Server的named.conf中的option, 加上了
forward first;
forwarders { 168.95.1.1; };
將named restart後就可以查詢到 www.phicroc.gov.tw, 但這只是將查詢的工作推給HiNet來處理.
我覺得還是我們公司跟phicroc間的連線有問題

[JackYang78]

看來是 PC 透過 Linux DNS 去查尋, 那可能的問題就是 DNS Server 有 --> NAT or Firewall 的問題 ?!

若你將 DNS Server 設定 forward 168.95.1.1 去查尋.... 不知可否查到 ?!

我們的防火牆擋掉了除了那三台DNS Server外, 一切往外的tcp/udp 53.
上面的資訊都是在其中一台DNS Server上所做的測試, 一般User我們是不會讓他們直接存取外面的DNS.

我試著在一台DNS Server的named.conf中的option, 加上了
forward first;
forwarders { 168.95.1.1; };
將named restart後就可以查詢到 www.phicroc.gov.tw, 但這只是將查詢的工作推給HiNet來處理.
我覺得還是我們公司跟phicroc間的連線有問題

你的規範與我相同... 我的一般 User 也是要透過公司自架的 x 3 DNS Server 才可以查尋到 Internet !!

既然 Forward 可以.也無法代表 NAT or Firwall 就沒問題. 建議 將你的 DNS Server 先透通取得 Public IP 直接出 Internet 看看?

看看是否 是 NAT or Firewall 的問題 ?!

[lc]

你的規範與我相同... 我的一般 User 也是要透過公司自架的 x 3 DNS Server 才可以查尋到 Internet !!

既然 Forward 可以.也無法代表 NAT or Firwall 就沒問題. 建議 將你的 DNS Server 先透通取得 Public IP 直接出 Internet 看看?

看看是否 是 NAT or Firewall 的問題 ?!

我們的三台DNS皆為public IP, 與Internet間僅有Firewall, 未設NAT
我們的domain是cwb.gov.tw

$ dig -t NS cwb.gov.tw

; <<>> DiG 9.2.4 <<>> -t NS cwb.gov.tw
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8683
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 3

;; QUESTION SECTION:
;cwb.gov.tw.                    IN      NS

;; ANSWER SECTION:
cwb.gov.tw.             86400   IN      NS      hi-gate.cwb.gov.tw.
cwb.gov.tw.             86400   IN      NS      dns.cwb.gov.tw.
cwb.gov.tw.             86400   IN      NS      proxy2.cwb.gov.tw.

;; ADDITIONAL SECTION:
hi-gate.cwb.gov.tw.     86400   IN      A       163.29.179.201
dns.cwb.gov.tw.         86400   IN      A       192.83.178.185
proxy2.cwb.gov.tw.      86400   IN      A       61.56.15.166

;; Query time: 100 msec
;; SERVER: 163.29.179.201#53(163.29.179.201)
;; WHEN: Thu May 22 16:45:15 2008
;; MSG SIZE  rcvd: 137


曝光了 
反正本來就是查閱率蠻高的地方!

前面做的測試是利用 61.56.15.166 這台機器做的