[Fli4l_dev] [r30947] DNS-Forwarding funktioniert nicht

Heinz-Peter Faasen fli.und.eis at web.de
Do Mai 22 07:44:54 CEST 2014 

Hallo Christoph,

> Nur der Vollständigkeit halber: Der DNS-Upstream-Server hat also ein
> NXDOMAIN zurückgeliefert, obwohl es im (globalen) DNS eine oder mehrere
> Adressen für den Namen gibt?

richtig.

>> Offensichtlich hat sich die Verarbeitung durch den dnsmasq jetzt
>> dahingehend geändert, dass diese Ergebnisse weitergereicht werden,
>> obwohl sie unbrauchbar sind. Bei frühere Versionen wurden sie wohl
>> ignoriert und auf sinnvolle Ergebnisse der anderen Server gewartet.
>
> Nun ja, woher weiß der dnsmasq, dass das Ergebnis unbrauchbar ist? Wenn du
> "abcquq12examfooltest.com" [1] auflöst, bekommst du schließlich auch
> NXDOMAIN zurück, nur halt von jedem DNS-Server.

Ja, aber wenn er eine solche Antwort vom schnellsten Server bekommt, so 
hat er zwei Möglichkeiten:

Dies als Ergebnis an den fragenden Client weiterleiten, oder abzuwarten, 
ob von den anderen Servern brauchbare Resultate kommen und erst dann das 
Ergebnis zu präsentieren.

In Deinem Bsp. liefern eben alle Server NXDOMAIN zurück, aber das ist 
natürlich nicht zwangsläufig so.

> http://www.dnsknowledge.com/whatis/nxdomain-non-existent-domain-2/

Interessante Seite, danke für den Link.

>> Ich habe jetzt die Server jeweils einzeln in die Konfiguration
>> eingetragen und damit die Spreu vom Weizen getrennt. Nun läuft alles
>> sehr stabil und deutlich schneller als vorher.
>
> Weißt du denn, welche Namen dein "halb-kaputter" DNS-Server auflöst und
> welche nicht? Sprich: Setzt dieser DNS-Server evtl. nur Namen um, die zu
> einer bestimmten (Sub-)Domäne gehören? Dann kann man ihn weiterhin nutzen,
> aber nur mit entsprechenden DNS_ZONE_DELEGATION-Einstellungen. Oder _soll_
> dieser Server alle Namen auflösen, nur _kann_ er es nicht? Dann sollte man
> diesen DNS-Server entweder gar nicht nutzen oder reparieren. Denn das ist
> schon ein seltsames bzw. "kaputtes" Verhalten. Der dnsmasq geht schon davon
> aus, dass seine Upstream-Server rekursive Abfragen unterstützen, und zwar
> für den vollen Namensraum und nicht nur für Teile davon.

Nein, da war nichts Gewünschtes dabei, sondern einfach Bruch. ;-)
Deshalb wurde er einfach ausgesondert und gut ist's. Wenn das noch mal 
passiert, weiß ich jetzt wenigstens, wo ich den Hebel ansetzen muss.

Gruß
Heinz-Peter

Mehr Informationen über die Mailingliste Fli4l_dev