Cisco DNS Doctoring hay Hairpinning?

Tôi có cấu hình sau: CISCO 881, IOS 15.2 (4) M6. Trên giao diện WAN được cấu hình mạng con 86.34.156.48/29 từ ISP của chúng tôi. Đằng sau bộ định tuyến là 2 máy chủ web. NAT: 86.34.156.51 <> 10.10.10.100 (IP riêng, máy chủ1). Nếu tôi định cấu hình máy chủ DNS BIND A bản ghi với IP bên ngoài của máy chủ (86.34.156.51) thì thế giới bên ngoài không bao giờ nhận được phản hồi từ máy chủ DNS của tôi (tôi không biết điều gì xảy ra ở đó, có lẽ bộ định tuyến đã tiến hành DNS hoặc một cái gì đó tương tự (đó là một câu hỏi)) và chắc chắn rằng máy chủ DNS được cấu hình và hoạt động đúng (tôi đã bắt được các gói IP bằng TCPdump). Nhưng nếu tôi định cấu hình máy chủ DNS A bản ghi với IP riêng của máy chủ (10.10.10.100) thì các gói sẽ được chuyển đến đích thích hợp (với IP bên ngoài của máy chủ, có lẽ cả DNS cũng là bác sĩ).

Tôi có thể làm gì???

        +-----+
        |     |  an other host somewhere on internet(C)
        |     |
        +-----+
            |
            |
            :
            :  internet
            :

            |  

        +-----+
        |     |      ISP's router
        |     |       black box, without acces
        +-----+

            |
            | 86.34.456.48/29
        +-----+
        |     |      CISCO 881,
        |     |       IOS 15.2(4)M6
        +-----+
            |
            |
------------------------------------------------------------  local private network 10.10.10.0/24
    |                                           |
    | (86.34.156.51)                            | (Nat rule not yet attached)
    | 10.10.10.100                              | 10.10.10.101
    |                                           |
+-----+                                       +-----+
|     |                                       |     |
|     |                                       |     |
+-----+                                       +-----+
linux server (A)                                linux server (B)
BIND DNS server
 style2take.ro

Dưới đây là một số đào (công cụ chẩn đoán dns trong linux):

Từ máy chủ B: $ dig style2take.ro

;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42222
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;style2take.ro.                 IN      A

;; ANSWER SECTION:
style2take.ro.          0       IN      A       10.10.10.100                                                <-- here you can see the TTL is 0

;; Query time: 52 msec
;; SERVER: 193.231.100.130#53(193.231.100.130)
;; WHEN: Fri Feb 20 10:27:25 EET 2015
;; MSG SIZE  rcvd: 58

Từ máy chủ B: $ dig @ 10.10.10.100 style2take.ro

;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 65374
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;style2take.ro.                 IN      A

;; ANSWER SECTION:
style2take.ro.          3600    IN      A       10.10.10.100                                                <-- here you can see the TTL is 3600

;; AUTHORITY SECTION:
style2take.ro.          3600    IN      NS      ns1.style2take.ro.
style2take.ro.          3600    IN      NS      ns2.style2take.ro.

;; ADDITIONAL SECTION:
ns1.style2take.ro.      3600    IN      A       10.10.10.100
ns2.style2take.ro.      3600    IN      A       10.10.10.100

;; Query time: 0 msec
;; SERVER: 10.10.10.100#53(10.10.10.100)
;; WHEN: Fri Feb 20 10:28:58 EET 2015
;; MSG SIZE  rcvd: 126

Từ máy chủ C: $ dig style2take.ro

;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32364
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 6, ADDITIONAL: 0

;; QUESTION SECTION:
;style2take.ro.                 IN      A

;; ANSWER SECTION:
style2take.ro.          0       IN      A       86.34.156.51                                                <-- here you can see the TTL is 0

;; AUTHORITY SECTION:
ro.                     106161  IN      NS      sns-pb.isc.org.
ro.                     106161  IN      NS      primary.rotld.ro.
ro.                     106161  IN      NS      sec-dns-a.rotld.ro.
ro.                     106161  IN      NS      sec-dns-b.rotld.ro.
ro.                     106161  IN      NS      dns-at.rotld.ro.
ro.                     106161  IN      NS      dns-ro.denic.de.

;; Query time: 149 msec
;; SERVER: 82.79.24.74#53(82.79.24.74)
;; WHEN: Fri Feb 20 10:29:52 2015
;; MSG SIZE  rcvd: 201

Từ máy chủ C: $ dig @ 86.34.156.51 style2take.ro

; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48385
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;style2take.ro.                 IN      A

;; ANSWER SECTION:
style2take.ro.          0       IN      A       86.34.156.51                                                <-- here you can see the TTL is 0

;; AUTHORITY SECTION:
style2take.ro.          0       IN      NS      ns2.style2take.ro.
style2take.ro.          0       IN      NS      ns1.style2take.ro.

;; ADDITIONAL SECTION:
ns1.style2take.ro.      0       IN      A       86.34.156.51
ns2.style2take.ro.      0       IN      A       86.34.156.51

;; Query time: 29 msec
;; SERVER: 86.34.156.51#53(86.34.156.51)
;; WHEN: Fri Feb 20 10:35:05 2015
;; MSG SIZE  rcvd: 115

Chà, nếu bạn không giải quyết được DNS, vấn đề có thể xảy ra hai lần:

1. Cấu hình DNS không đúng - hệ thống DNS toàn cầu có thể cho biết NS cho miền của bạn là gì không? Đây là một cái gì đó bạn cần đặt tại nhà cung cấp tên của bạn. dig style2take.ro NSĐầu ra là gì?

2. Bộ định tuyến của bạn không cho phép yêu cầu DNS. Truy cập máy chủ bên ngoài và thử telnet đến cổng 53 của DNS của bạn telnet 86.34.156.51- DNS sẽ hoạt động trên cả UDP và TCP, phần này kiểm tra ít nhất là phần TCP.

Bạn không cần phải có IP bên ngoài trong bất kỳ cấu hình DNS (được đặt tên) nào. Bạn có thể sử dụng nội bộ (10.10.10.100) ở mọi nơi và NAT nó từ bộ định tuyến đến 86.34.156.51 ( ip nat inside source static 10.10.10.100 86.34.156.51). Nếu bạn muốn định cấu hình DNS phụ, điều tương tự cũng áp dụng cho nó: sử dụng 10.10.10.101 (dưới dạng NS2) được đặt tên cho một thứ khác (như 86.34.156.51). Ngoài ra, đảm bảo rằng các cổng DNS thực sự được chuyển tiếp trong bộ định tuyến và không bị chặn bởi tường lửa trong máy chủ linux. Sử dụng trình kiểm tra cổng dựa trên web để đảm bảo UDP 53 được mở.