https://www.opennet.me/openforum/vsluhforumID1/84443.html Здравствуйте! Воюю весь вечер, не могу понять. Прошу помощи.<br>На сервере:<br># nslookup ya.ru xxx.xxx.xxx.xxx<br>Server:xxx.xxx.xxx.xxx<br>Address:xxx.xxx.xxx.xxx#53<br><br>Non-authoritative answer:<br>Name:ya.ru<br>Address: 213.180.204.8<br><br>На клиенте:<br>nslookup ya.ru xxx.xxx.xxx.xxx<br>Server:xxx.xxx.xxx.xxx<br>Address:xxx.xxx.xxx.xxx#53<br><br>** server can't find ya.ru: REFUSED<br><br>xxx.xxx.xxx.xxx - IP моего сервера<br><br>Изначально всё работало. Потом немного поигрался с зонами и привет. Вернул как было - результат тот же. Как это лечить? Подскажите, люди добрые!<br> https://www.opennet.me/openforum/vsluhforumID1/84443.html#37 Sat, 14 Mar 2009 07:06:15 GMT Поясню. Если вы нерекурсивно запросите RR-записи по зоне ru. (которые наверняка имеются в вашем кеше), то получите и список NS-серверов (хотя ваш сервер не обладает по ним авторитетом), и адресные записи этих серверов, хотя серверу и запрещено их искать. Но "не искать", не означает "не отдавать".<br><br><br> https://www.opennet.me/openforum/vsluhforumID1/84443.html#36 Sat, 14 Mar 2009 06:56:56 GMT &gt;Я и не утверждал что ответ на <br>&gt;запрос к . всегда рекурсивен. <br><br>Не понял, что именно вы имеете в виду, флаг RD в заголовке запроса был снят, и версия bind - 9.4.3 Общий принцип мне видится так - есть у сервера запрашиваемая инфа, он ее отдает. При этом не имеет значения был ли запрос на рекурсию или нет. Я ранее немного схитрил, указав fetch-glue для bind9, который никогда не ищет "связующие" данные самостоятельно. Эта настройка была актуальна для bind8. Попробуйте, например, запросить данные, которые имеются в кеше при выключенной рекурсии.<br> https://www.opennet.me/openforum/vsluhforumID1/84443.html#35 Sat, 14 Mar 2009 06:41:48 GMT &gt;cirus неадекватен, продолжать глупо <br><br>По моему вопросу в http://www.opennet.ru/openforum/vsluhforumID1/84484.html чтонть можно подсказать ?<br> https://www.opennet.me/openforum/vsluhforumID1/84443.html#34 Sat, 14 Mar 2009 05:33:46 GMT cirus неадекватен, продолжать глупо<br><br><br> https://www.opennet.me/openforum/vsluhforumID1/84443.html#33 Sat, 14 Mar 2009 05:20:14 GMT &gt;[оверквотинг удален]<br>&gt;Мне кажется, вы ошибаетесь. Это был вывод nslookupa при таких настройках bind <br>&gt;<br>&gt;options { <br>&gt; recursion no; <br>&gt; fetch-glue no; <br>&gt;}; <br>&gt;Обратите внимание, что и рекурсия отключена, и стоит запрет на дополнительный раздел <br>&gt;ответа. Плюс я "продул" ему кеш. Чего проще - проверьте у <br>&gt;себя. Хотя на мой взгляд, тут все работает логично, а проблема <br>&gt;в вашем недопонимании основ процесса. <br><br>ну, насчет логично - я не соглашусь. Недопонимание основ процесса.... хм, опять же, не соглашусь :) Я и не утверждал что ответ на запрос к . всегда рекурсивен.<br><br><br><br>В общем, по результатам настройки должно быть так (bind 9.5.1):<br><br>$ host -t NS . &lt;my.srv&gt;<br>Using domain server:<br>Name: &lt;my.srv&gt;<br>Address: &lt;my.srv.ip&gt;#53<br>Aliases:<br><br>Host . not found: 5(REFUSED)<br><br><br>Но бывает по-другому, рассмотрим все три случая:<br><br>$ dig . NS @&lt;my.srv.ip&gt;<br><br>; &lt;&lt;&gt;&gt; DiG 9.3.3 &lt;&lt;&gt;&gt; . NS @&lt;my.srv.ip&gt;<br>; (1 server found)<br>;; global options: printcmd<br>;; Got answer:<br>;; -&gt;&gt;HEADER&lt;&lt;- opcode: QUERY, status: REF https://www.opennet.me/openforum/vsluhforumID1/84443.html#32 Fri, 13 Mar 2009 22:05:15 GMT &gt;Сервер не должен отвечать на подобные запросы. <br>&gt;<br>&gt;Т.е. не должен отвечать на запрос, если он не является держателем зоны. <br><br>Мне кажется, вы ошибаетесь. Это был вывод nslookupa при таких настройках bind<br>options {<br> recursion no;<br> fetch-glue no;<br>};<br>Обратите внимание, что и рекурсия отключена, и стоит запрет на дополнительный раздел ответа. Плюс я "продул" ему кеш. Чего проще - проверьте у себя. Хотя на мой взгляд, тут все работает логично, а проблема в вашем недопонимании основ процесса.<br><br><br> https://www.opennet.me/openforum/vsluhforumID1/84443.html#31 Fri, 13 Mar 2009 21:31:07 GMT &gt;Извините, ошибся. Не netstat'а, nslookup'а. <br><br>Не рекурсией единой...<br><br><br>Сервер не должен отвечать на подобные запросы. <br><br>Т.е. не должен отвечать на запрос, если он не является держателем зоны.<br> https://www.opennet.me/openforum/vsluhforumID1/84443.html#30 Fri, 13 Mar 2009 21:04:14 GMT Извините, ошибся. Не netstat'а, nslookup'а.<br><br><br> https://www.opennet.me/openforum/vsluhforumID1/84443.html#29 Fri, 13 Mar 2009 21:01:42 GMT &gt;это ПОПАДАЛОВА НА ТРАФИК - постарайтесь запомнить уже<br><br>Я уже приводил листинг netstat'а, который показывает, что отключение рекурсии не решает проблемы трафика. Вы его не видели или не поняли?<br><br><br>