Bind9: Erreiche keine Forwarder

Achim Dreyer adreyer at math.uni-paderborn.de
Thu Oct 30 15:21:31 CET 2003 

On Thu, 30 Oct 2003 stefan at hegner-online.de wrote:

> Date: Thu, 30 Oct 2003 14:52:00 +0100
> From: stefan at hegner-online.de
> To: linux at lug-owl.de
> Subject: Bind9: Erreiche keine Forwarder
> 
> Hi Liste,
> 
> Eins vorweg: Nein, ich möchte keinen Flamewar über Bind ;-)
> 
> Ich habe mein Bind-Setup auf meinen neuen Gentoo Server portiert, und
> interne Anfragen klappen soweit auch. Bloß wenn ich eine externe Anfrage
> starte, bei der sich named eines Forwarders bedienen soll, kleppt nix:
> 
> hegi:~ # nslookup -sil www.google.de
> Server:         192.168.1.1
> Address:        192.168.1.1#53
> 
> Non-authoritative answer:
> *** Can't find www.google.de: No answer
> 
> 192.168.1.1 ist als einziger NS in der /etc/resolv.conf eingetragen.
> Ich kann die Forwarder alle mit "telnet $ForwarderIP 53" erreichen. -


Schon mal 127.0.0.1 direkt auf dem NS mit eingetragen und dann getestet ?


Hast du die Anfragen denn auch mal direkt versucht:

# nslookup  -sil www.google.de   212.62.64.34
# nslookup  -sil www.google.de   129.70.5.15
# nslookup  -sil www.google.de   212.62.68.34
# nslookup  -sil www.google.de   160.45.8.8

.. evtl. geht die Connection ja, aber der Server will dir nicht antworten!


> Folglich blockt weder der lokale shorewall noch mein Firewall die
> Anfrage. Bind selber läuft chrooted - aber das sollte für diese Problem
> unerheblich sein.
> 
> Hab' mich grad einmal durch die Bind9 Doku quergelesen, aber dort keinen
> entsprechenden Hinweis gefunden. named-checkconf und named-checkzone
> laufen auch ohne zu meckern. ... und mir fällt absolut nix mehr ein.

Erst mal ausführliches logging einschalten, obwohl diese Einträge hier 
zwar nix vermelden sollten:


 logging {                                          
         channel update_debug {
                 file            "/var/log/update-debug.log";                   
                 severity        debug 3;                                       
                 print-category  yes;                                           
                 print-severity  yes;                                           
                 print-time      yes;                                           
         };                                                                     
         channel security_info    {                                             
                 file            "/var/log/named-auth.info";                    
                 severity        info;                                          
                 print-category  yes;                                           
                 print-severity  yes;                                           
                 print-time      yes;                                           
         };                                                                     
         category update	 { update_debug;  };
         category security       { security_info; }; 
         // reduce log verbosity on issues outside our control
         category lame-servers   { null; };
         # category cname        { null; };
 };                                                                             



Regards,
Achim Dreyer
--
A. Dreyer, Senior SysAdmin (UNIX&Network) / Internet Security Consultant

More information about the Linux mailing list