Ajuda! - DNS caching ja tentei todos

[paulojrandrade]

Ola pessoal, venho pedir a ajuda de vcs, pois já se passa 01 semana e nao consigo fazer um servidor de cache dns. Ja tentei o power-dns, pdns, powerdns-recursor, bind....
Até agora consehui no Bind, mas estou tendo erro "Denied" para o ip dos meus clientes. Uso o Ubuntu 8.10 AMD64, instalei o Dind9 pelo apt-get.
segui esse tuto... Linux: Instalação do Bind, cache de DNS, logging e BindGraph no Ubuntu Intrepid Ibex (Ubuntu 8.10), apresenta os seguintes erros...

Erro 01-
root@srv1:/# tail -f /var/log/messages
May 16 18:06:15 srv1 kernel: [29198.139900] type=1503 audit(1242511575.288:203): operation="capable" name="sys_resource" pid=11664 profile="/usr/sbin/named"
May 16 18:06:15 srv1 kernel: [29198.141142] type=1503 audit(1242511575.298:204): operation="inode_permission" requested_mask="::r" denied_mask="::r" fsuid=103 name="/proc/11662/net/if_inet6" pid=11664 profile="/usr/sbin/named"

Erro 02-
root@srv1:/# tail -f /var/log/syslog
May 16 18:43:36 srv1 named[12041]: client 10.21.0.1#48785: query (cache) 'lan.startvg.com/A/IN' denied
May 16 18:43:52 srv1 named[12041]: client 10.21.0.1#48820: query (cache) 'static.cache.l.google.com/A/IN' denied
May 16 18:44:15 srv1 named[12041]: client 10.21.0.1#48851: query (cache) 'www.google.com/A/IN' denied
May 16 18:44:43 srv1 named[12041]: client 10.21.0.1#48883: query (cache) 'img2.imageshack.us/A/IN' denied
May 16 18:44:43 srv1 named[12041]: client 10.21.0.1#48884: query (cache) 'i43.tinypic.com/A/IN' denied



Alguem por gentileza pode dar um help.
Desde já agradeço

[Josue Guedes]

Toda vez que esbarrei no Bind era problema de permissão das pastas. Isso está certo ai?

[sergio]

Seu problema é o apparmor. Desinstale o mesmo e teste.

Código :

/etc/init.d/apparmor stop
update-rc.d -f apparmor remove
apt-get remove apparmor apparmor-utils

Reinicie o sistema (não é obrigatório, mas por via das dúvidas...hehehe)

[paulojrandrade]

Obrigado Josue Guedes,sobre permissões, como falei, estou usando o bind pelo apt-get, presumo q nao precise alterar permissões.

Obrigado Sergio, desintalei o apparmor como tu falasse, a mensagem no /var/log/messages parou. Mas ele continua dando DENIED para meus clientes

root@srv1:/# tail -f /var/log/syslog
May 17 13:27:08 srv1 named[4537]: client 172.17.0.118#54428: query (cache) 'cucarachos.sin-ip.es/A/IN' denied
May 17 13:27:18 srv1 named[4537]: client 172.17.0.118#51520: query (cache) 'cucarachos.sin-ip.es/A/IN' denied
May 17 13:27:21 srv1 named[4537]: client 172.17.0.118#60858: query (cache) 'talkgadget.google.com/A/IN' denied
May 17 13:27:28 srv1 named[4537]: client 172.17.0.118#64355: query (cache) 'cucarachos.sin-ip.es/A/IN' denied
May 17 13:27:33 srv1 named[4537]: client 172.17.0.118#59336: query (cache) 'cucarachos.sin-ip.es/A/IN' denied
May 17 13:27:38 srv1 named[4537]: client 172.17.0.118#50035: query (cache) 'cucarachos.sin-ip.es/A/IN' denied
May 17 13:27:43 srv1 named[4537]: client 172.17.0.169#56646: query (cache) 'www8.agame.com/A/IN' denied
May 17 13:27:43 srv1 named[4537]: client 172.17.0.118#56504: query (cache) 'cucarachos.sin-ip.es/A/IN' denied

e aparece essa msg no
root@srv1:/# tail -f /var/log/bindQuery.log
17-May-2009 13:27:38.323 client 172.17.0.118#50035: query: cucarachos.sin-ip.es IN A +
17-May-2009 13:27:43.177 client 172.17.0.169#56646: query: www8.agame.com IN A +
17-May-2009 13:27:43.353 client 172.17.0.118#56504: query: cucarachos.sin-ip.es IN A +
17-May-2009 13:27:48.753 client 172.17.0.118#51684: query: cucarachos.sin-ip.es IN A +
17-May-2009 13:28:03.453 client 172.17.0.118#63860: query: cucarachos.sin-ip.es IN A +

Eq estou montando é apenas um servidor de Cache DNS pra otimizar, já q a Embratel me falou q nao é obrigação deles fornecer srvidor DNS.

As minhas configurações são padroes do bind instalado pelo apt-get, apenas alterei o fala no site q postei.

Obrigado desde ja pela ajuda

[sergio]

no arquivo named.conf.options tente configurar:

Código :

options {
    directory "/var/cache/bind";
 
    // If there is a firewall between you and nameservers you want
    // to talk to, you might need to uncomment the query-source
    // directive below.  Previous versions of BIND always asked
    // questions using port 53, but BIND 8.1 and later use an unprivileged
    // port by default.
 
    // query-source address * port 53;
 
    // If your ISP provided one or more IP addresses for stable 
    // nameservers, you probably want to use them as forwarders.  
    // Uncomment the following block, and insert the addresses replacing 
    // the all-0's placeholder.
 
    // forwarders {
    //     0.0.0.0;
    // };
 
    allow-query-cache { 
                        127.0.0.1;
                        10.0.0.0/8;
                        172.16.0.0/29;
                        172.16.0.0/12;
                        200.x.x.x/24;
                };
 
    allow-recursion {
                        127.0.0.1;
                        10.0.0.0/8;
                        172.16.0.0/12;
                        200.x.x.x/24;};
 
 
    auth-nxdomain no;    # conform to RFC1035
    listen-on-v6 { any; };
};

onde as redes, 10.0.0.0/8, 172.16.0.0/12 e 200.x.x.x/24 seriam suas redes.

[andreferraro]

Fala aí amigo...

Este post está em meu blog... me manda o seu named.conf.options pra eu dar uma olhada... Pq pra mim no Ubuntu e no Debian funcionaram sem nenhuma configuração ou procedimento adicional.

Abraços.

[herlon2008]

Os log do Erro 02 esta acusando que você não configurou o named.conf corretamente. A rede 10.0.0.0/8 não consta como cliente deste servidor.

[paulojrandrade]

Obrigado amigos... vcs são os karas heheheh Segui o q o Sergio falou e deu certo...
Para quem quiser fazer igual... irei ver como ficou e depois reporto se o trem ficou bão mesmo.
segue minhas confs:

No etc/bind/named.conf, deixei o padrão do bind.

No etc/bind/named.conf.local
include "/etc/bind/zones.rfc1918";
logging {
channel "BindGraphQuery" {
file "/var/log/bindQuery.log";
print-time yes;
severity debug 3;
};
category queries { BindGraphQuery; };
};

e

No etc/bind/named.conf.options
options {
directory "/var/cache/bind";

forwarders {
208.67.222.222; # IP da sua Operadora ... eu coloquei da Opendns
208.67.220.220; # IP da sua Operadora ... eu coloquei da Opendns
};
allow-query-cache {
127.0.0.1; # IPs da minha rede
10.xxx.xxx.xxx/xx; # IPs da minha rede
172.xxx.xxx.xxx/xx; # IPs da minha rede
200.xxx.xxx.xxx/xx; # IPs da minha rede
};
auth-nxdomain yes; # conform to RFC1035
listen-on-v6 { any; };
};

[paulojrandrade]

Fala aí amigo...

Este post está em meu blog... me manda o seu named.conf.options pra eu dar uma olhada... Pq pra mim no Ubuntu e no Debian funcionaram sem nenhuma configuração ou procedimento adicional.

Abraços.

Valeu Andre, segui oq o Sergio falou, a diferença é q no Ubuntu 8.10 options fica em outro arquivo, e nao no named.conf.... mas sim no named.conf.options. Depois de duas semanas hehehe menos de 1 minuto pra usufruir , já q a Embratel nao da suporte ao dns dela. Valeu mesmo pov !!! Grande Abraço a todos

[andreferraro]

Fala Paulo e Sérgio,

Vou até acrescentar isso no meu post, pois se eu precisar configurar um outro cache de DNS e encontrar o mesmo problema, então já fico esperto.

Abraços.

[paulojrandrade]

Fala Paulo e Sérgio,

Vou até acrescentar isso no meu post, pois se eu precisar configurar um outro cache de DNS e encontrar o mesmo problema, então já fico esperto.

Abraços.

Ótimo Andre, coloca lá no seu tuto, e parabéns por ele... aqui esta indo tudo legal por enquanto !!!

[sergio]

Fala Paulo e Sérgio,

Vou até acrescentar isso no meu post, pois se eu precisar configurar um outro cache de DNS e encontrar o mesmo problema, então já fico esperto.

Abraços.

Manda bala.