named/bind refuză să servească unele domenii după ce le-a rezolvat singur

De ce refuză Bind unele dintre întrebările mele? Acest lucru se întâmplă doar pentru anumite domenii.

O interogare prin named eșuează:

$ dig -t A fedoraproject.org @127.0.0.1
;; ->>HEADER<<- opcode: QUERY, stare: SERVFAIL, id: 33117

$ journalctl -n10
...
01 august 17:07:11 ns3.r3.mclarkdev.com numit[10807]: interogarea de amorsare a rezolvării finalizată
01 august 17:09:57 ns3.r3.mclarkdev.com numit[10807]: expirat rezolvând „fedoraproject.org/DNSKEY/IN”: 8.8.8.8#53
01 august 17:09:59 ns3.r3.mclarkdev.com numit[10807]: expirat rezolvând „fedoraproject.org/DNSKEY/IN”: 8.8.8.8#53

Cu toate acestea, o interogare directă către expeditor funcționează:

$ dig -t A fedoraproject.org @8.8.8.8
;; ->>HEADER<<- opcode: QUERY, stare: NOERROR, id: 42249

  ... înregistrări ...

Bind folosește o configurație destul de implicită.
Singurele lucruri pe care le-am schimbat au fost să permit interogări de oriunde și să adaug un fișier de zone pentru servirea unor înregistrări locale.

Opțiuni {
    portul de ascultare 53 { oricare; };
    permite-interogare { orice; };
    expeditori { 8.8.8.8; };
    recursivitate da;
    ...
    dnssec-activare da;
    validare dnssec da; // am încercat și auto
}

...

// include două definiții suplimentare pentru „zonă”.
includ „/opt/dns/named.zones”;

Versiunea OS: CentOS Linux versiunea 8.4.2105
Versiunea Kernel: 4.18.0-305.10.2.el8_4.x86_64
Versiune numită: BIND 9.11.26-RedHat-9.11.26-4.el8_4

Privind tcpdump, pot vedea că named se adresează expeditorului și preia înregistrările A, dar refuză să le transmită clientului după ce a efectuat câteva interogări suplimentare.

localhost.49683 > localhost.domain: 14274+ A? fedoraproject.org. (35)
ns3.r3.mclarkdev.com.56668 > 8.8.8.8.domain: 21852+% [1au] A? fedoraproject.org. (58)
localhost.39587 > localhost.domain: 53253+ PTR? 8.8.8.8.in-addr.arpa. (38)
ns3.r3.mclarkdev.com.55378 > 8.8.8.8.domain: 61019+% [1au] PTR? 8.8.8.8.in-addr.arpa. (61)
8.8.8.8.domain > ns3.r3.mclarkdev.com.56668: 21852$ 12/0/1 fedoraproject.org. A 140.211.169.206, fedoraproject.org. A 152.19.134.198, fedoraproject.org. A 8.43.85.73, fedoraproject.org. A 152.19.134.142, fedoraproject.org. A 38.145.60.21, fedoraproject.org. A 140.211.169.196, fedoraproject.org. A 209.132.190.2, fedoraproject.org. A 8.43.85.67, fedoraproject.org. A 67.219.144.68, fedoraproject.org. A 38.145.60.20, fedoraproject.org.RRSIG, fedoraproject.org. RRSIG (528)
  /\ bind are înregistrările A

ns3.r3.mclarkdev.com.52120 > 8.8.8.8.domain: 7073+% [1au] DNSKEY? fedoraproject.org. (58)
8.8.8.8.domain > ns3.r3.mclarkdev.com.55378: 61019 1/0/1 8.8.8.8.in-addr.arpa. PTR dns.google. (73)
ns3.r3.mclarkdev.com.55309 > 8.8.8.8.domain: 23607+% [1au] DS? 8.in-addr.arpa. (55)
localhost.48388 > localhost.domain: 55328+ PTR? 201.23.16.172.in-addr.arpa. (44)
  /\ bind face câteva interogări suplimentare

localhost.domain > localhost.48388: 55328 NXDomain* 0/1/0 (98)
  /\ bind servește NXDomain către client

De ce este numit refuzul de a servi rezultatul clientului? Se întâmplă doar pentru aproximativ 1% din domenii.

Tcpdump arată că primește cu succes fișierul A înregistrarea de fedoraproject.org, dar încearcă și să obțină DNSKEY înregistrare, care este utilizată pentru validarea DNSSEC. Dar nu există niciun răspuns la asta.

am întrebat 8.8.8.8 pentru asta DNSKEY înregistrare și a funcționat bine.

$ dig fedoraproject.org dnskey @8.8.8.8

; <<>> DiG 9.10.6 <<>> fedoraproject.org dnskey @8.8.8.8
;; opțiuni globale: +cmd
;; Am răspuns:
;; ->>HEADER<<- opcode: QUERY, stare: NOERROR, id: 63666
;; steaguri: qr rd ra ad; ÎNTREBARE: 1, RĂSPUNS: 4, AUTORITATE: 0, SUPLIMENTARE: 1

;; PSEUDOSECȚIE OPT:
; EDNS: versiunea: 0, steaguri:; udp: 512
;; SECȚIUNEA DE ÎNTREBĂRI:
;fedoraproject.org. ÎN DNSKEY

;; SECȚIUNEA RĂSPUNSURI:
fedoraproject.org. 108 IN  DNSKEY  256 3 5 AwEAAcCWNQWl5pCI3iOOP2r8nStL60Zjb/2JQLQytamVap0L44z0YWft u7pu0hx3cnIM1ejQOsEwbg2/10IyC+38cYqJDXbSdFg1zGztOS5xNz7r 9hzSRK5N2jkycdJ/BoByJ4Y+XGpDqfG4I97++8sIzSrw60TmGAKTvM9v iL3ByeCN
fedoraproject.org. 108 IN  DNSKEY  257 3 5 AwEAAdTXJc0joiKGfTvLXi+LXxGpKvPvOoJEst9PR8TCCvXGVp7h3BY3 uXLkjckuT0aopCp2KF8zHgNgpMK03p1fd94pn9JZSuxfqvKsiYH2KvNO a/655oPj06jRhqAP5grX01Iz4BH411ZhGxIQ1BzZtOr1wAazojMJzLUg ChRJs8GVt3LU0e6T8z1RQF33Dt9UMHIR5EAsFAqfZ/tsbfJDYktGoZi3 nFlW7A745+ObM1LNXOWq3FcYPVzhH08Q7/7WpxmzM6/ET8VeqWIsvh8E nZNDNMfJyPbY9B1BOIrFCpE03ALgFMejaBZwmeQaX+D4Duup5xGOmdtC O4GSpM1YH6c=
fedoraproject.org. 108 ÎN DNSKEY 257 3 14 7ttmhus8JD56ybsvMVZVsXa3U2R+2+WmOPIP7BU6t2LicosMZ2Ju3pfv ijsa5LvBvVCB4xVtLSqEdLSvW4vJPLSAB2uymVCJwSzGmqJVLUSHzGmqJws60ZPJMQJWx6
fedoraproject.org. 108 ÎN DNSKEY 256 3 14 04ZsDOgyzs3kJsJ4jEY3MYufkCOWm1OI8N4M+dlBOBmweln0TSaKfafH zNCkaPiVG4bdgdnrzwxmjpK5GQgsiB47npkCOWm1OI8N4M+dlBOBmweln0TSaKfafH zNCkaPiVG4bdgdnrzwxmjpK5GQgsiB47np5GQgsiB47npHrh385Nprh38J0J00000000000000002

Așa că bănuiesc că ceva în mediul tău blochează interogarea sau răspunsul. Ar putea fi o problemă de firewall, filtrarea tipurilor de înregistrări DNS sau răspunsuri mari.

Instalarea dvs. de bind pare să se sufoce de validarea DNSSEC pentru domeniile semnate DNSSEC. Versiunile mai recente de bind au validarea DNSSEC activată în mod implicit, dar versiunile mai vechi, cum ar fi 9.11, trebuie să fie activat în mod explicit:

Opțiuni {
         ...
         dnssec-validation auto;
         ...
 };