bind9配置好后，内网测试正确，外网无法正常解析。

Voidray

bind9的服务器有一个公网ip,测试的客户机设置dns为内网ip时一切正常，设置为公网ip时就无法解析。

运行bind9的机器selinux已关闭，iptables已经开放53端口的udp和tcp，公网ip的53端口确认是打开状态，内网ip正反解析都是正常

1. 
   
2. options {
   
3.         listen-on port 53 { any; };
   
4.         allow-query { any; };
   
5.         allow-transfer { any; };
   
6.         ......
   
7. };
   
8. 
   
9. view "net_resolver" {
   
10.         recursion yes;
    
11.         match-clients {
    
12.                 any;
    
13.                 };
    
14.         allow-transfer {
    
15.                 any;
    
16.                 };
    
17.         allow-query {
    
18.                 any;
    
19.                 };
    
20.         ......
    
21. };
    

复制代码

dig @内网ip 域名
一切正常

dig @公网ip 域名
;; global options:  printcmd
;; connection timed out; no servers could be reached


请问我应该如何排错和处理？

Voidray

dig @公网ip 域名 +tcp
一切正常

dig @公网ip 域名 +notcp
;; global options:  printcmd
;; connection timed out; no servers could be reached

发现是公网ip53端口的udp无法通过



listen-on port 53 { any; }; 改成 listen-on port 53 { 公网ip; 内网ip; };后named restart

netstate -an发现内网ip正在监听53的udp，而外网ip没有监听53的udp

chenyx

检查下dns的日志,看看为什么没有侦听外网接口.
或者,禁用下内网网卡,重启下named服务,看看能侦听不

Voidray

网卡是内网ip，公网ip是nat。


启动时日志如下：
Sep  7 21:25:36 ns1 named[15033]: starting BIND 9.3.6-P1-RedHat-9.3.6-16.P1.el5 -u named -t /var/named/chroot
Sep  7 21:25:36 ns1 named[15033]: found 4 CPUs, using 4 worker threads
Sep  7 21:25:36 ns1 named[15033]: using up to 4096 sockets
Sep  7 21:25:36 ns1 named[15033]: loading configuration from '/etc/named.conf'
Sep  7 21:25:36 ns1 named[15033]: using default UDP/IPv4 port range: [1024, 65535]
Sep  7 21:25:36 ns1 named[15033]: using default UDP/IPv6 port range: [1024, 65535]
Sep  7 21:25:36 ns1 named[15033]: no IPv6 interfaces found
Sep  7 21:25:36 ns1 named[15033]: listening on IPv4 interface eth0, 192.168.100.89#53
Sep  7 21:25:36 ns1 named[15033]: command channel listening on 127.0.0.1#953
Sep  7 21:25:36 ns1 named[15033]: the working directory is not writable

192.168.100.89是内网地址，对应公网ip的侦听没有启动。

listen-on port 53 里面已经配置了内网ip和公网ip

alsonluo

是内网IP和公网IP分别绑定到服务器的网卡上，则分别在每个IP上侦听；如果只有内网IP在网卡上，公网IP通过NAT到内网IP，应该只需要把侦听内网IP的53端口就可以了。

Voidray

是内网IP和公网IP分别绑定到服务器的网卡上，则分别在每个IP上侦听；如果只有内网IP在网卡上，公网IP通过NA ...
alsonluo 发表于 2011-09-07 21:31

现在就是内网ip在网卡上，公网ip通过nat。selinux已关闭，iptables已关闭。路由只做了nat没做任何限制，没做硬件防火墙。

dig @公网ip 域名 +tcp 就可以正常解析
dig @公网ip 域名 +notcp 就无法解析。