V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ScotGu
V2EX  ›  DNS

气哭了,本地搭建转发 DNS 时好时坏。求支招。

  •  
  •   ScotGu · 2014-11-10 10:57:29 +08:00 · 3356 次点击
    这是一个创建于 3666 天前的主题,其中的信息可能已经有所发展或是发生改变。
    前戏
    大型局域网,要自架设DNS,配置成转发DNS后,不定时,不定量出现部分域名无法解析的现象。
    选择:CensOS+BIND9
    自架DNS-IP:10.10.10.10
    上游DNS:1.2.3.10 ; 1.2.3.20
    named.conf参数:

    options
    {
    directory "/var/named";
    allow-query { 0.0.0.0/0; };
    allow-query-cache { 0.0.0.0/0; };
    forward only;
    recursion yes;
    datasize 200M;
    dump-file "/var/named/named.dump_db";
    forwarders { 1.2.3.10 ; 1.2.3.20; };
    };

    症状:
    ============================================
    客户机访问trade.taobao.com [提示无法解析]
    客户机nslookup 后得到:
    服务器: UnKnown
    Address: 10.60.3.74

    非权威应答:
    名称: trade.taobao.com
    然后就没了。。。
    ---------------------------------------------
    自建DNS上使用dig命令得到
    [自建DNS-10.10.10.10 ~]# dig trade.taobao.com @10 .10.10.10

    ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.el6 <<>> trade.taobao.com @10 .10.10.10
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49060
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

    ;; QUESTION SECTION:
    ;trade.taobao.com. IN A

    ;; ANSWER SECTION:
    trade.taobao.com. 832 IN CNAME trade.gds.taobao.com.

    ;; AUTHORITY SECTION:
    gds.taobao.com. 766 IN SOA gdsns1.taobao.com. hostmaster.gds.taobao.com. 2014070916 1800 600 1814400 300

    ;; Query time: 0 msec
    ;; SERVER: 10.10.10.10#53(10.10.10.10)
    ;; WHEN: Mon Nov 10 09:52:01 2014
    ;; MSG SIZE rcvd: 112

    [自建DNS-10.10.10.10 ~]# dig trade.taobao.com @1 .2.3.10

    ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.el6 <<>> trade.taobao.com @1 .2.3.10
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6295
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 4

    ;; QUESTION SECTION:
    ;trade.taobao.com. IN A

    ;; ANSWER SECTION:
    trade.taobao.com. 912 IN CNAME trade.gds.taobao.com.
    trade.gds.taobao.com. 600 IN A 140.205.133.112

    ;; AUTHORITY SECTION:
    gds.taobao.com. 25119 IN NS gdsns2.taobao.com.
    gds.taobao.com. 25119 IN NS gdsns1.taobao.com.

    ;; ADDITIONAL SECTION:
    gdsns1.taobao.com. 2816 IN A 198.11.138.254
    gdsns1.taobao.com. 2816 IN A 140.205.66.254
    gdsns2.taobao.com. 19 IN A 42.120.227.254
    gdsns2.taobao.com. 19 IN A 140.205.67.254

    ;; Query time: 19 msec
    ;; SERVER: 1.2.3.10#53(1.2.3.10)
    ;; WHEN: Mon Nov 10 09:52:11 2014
    ;; MSG SIZE rcvd: 180

    ========================================
    总结,
    就是说,从自建DNS后,这个域名就解析不到了,
    而在自建DNS本身上使用dig trade.taobao.com ,却可以正确解析IP。
    不过一旦加上@参数(即:dig trade.taobao.com @10 .10.10.10),便无法得到结果。
    尝试各种重装,都会出现这个问题。
    一般持续10~30分钟不等。
    求各位救我于水深火热之中。


    另附防火墙配置:
    [自建DNS-10.10.10.10]# iptables -L -n
    Chain INPUT (policy ACCEPT)
    target prot opt source destination
    ACCEPT all -- 127.0.0.1 127.0.0.1
    ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
    ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53
    ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53

    Chain FORWARD (policy ACCEPT)
    target prot opt source destination
    REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination
    ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
    ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
    ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53
    5 条回复    2014-11-11 00:32:48 +08:00
    tmqhliu
        1
    tmqhliu  
       2014-11-10 16:52:45 +08:00   ❤️ 1
    你这需求,换 dnsmasq 或者 unbound 轻松搞定吧
    ScotGu
        2
    ScotGu  
    OP
       2014-11-10 20:28:11 +08:00
    @tmqhliu 呃~ 对 dnsmasq unbound 不是很了解,不知道性能怎样,并发至少要保证5W+。 真的是大型局域网。。
    sdcg1994
        3
    sdcg1994  
       2014-11-10 23:21:54 +08:00 via iPhone   ❤️ 1
    把forward only删了试试,这样无法联系到转发器时,那么 BIND 会自己尝试解析。
    而且bind也会监听tcp 53端口的
    sdcg1994
        4
    sdcg1994  
       2014-11-10 23:31:50 +08:00 via iPhone   ❤️ 1
    找到了一个差不多的情况,允许tcp 53后就正常了,你可以看下http://csna.cn/viewthread.php?tid=20233
    ScotGu
        5
    ScotGu  
    OP
       2014-11-11 00:32:48 +08:00
    @sdcg1994 还真就是淘宝的域名无法转发。。 看来就是TCP的问题。 打算做个支持TCP转发DNS了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   972 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 19:50 · PVG 03:50 · LAX 11:50 · JFK 14:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.