Здравствуйте! Спасибо за помощь, тут ещё один факт выяснился и не знаю с какой стороны к нему подойти. Внутри сети поимо веб сервера на 443 порту ещё и первичный сервер имён (вторичный на nic.ru). Я настроила правила переадресации для 53 го порта вроде как всё работает, по крайней мере, но при попытке получить трансфер зоны (я уже в настройках бинда прописала any; см. ниже)
с внешних адресов проверка отваливается по таймауту:
[evgeniya@znv-1c ~]$ dig @***.234.252.94 *************.xn--p1ai axfr
;; Connection to ***.234.252.94#53(***.234.252.94) for *************.xn--p1ai failed: timed out.
;; Connection to ***.234.252.94#53(***.234.252.94) for *************.xn--p1ai failed: timed out.
; <<>> DiG 9.16.27-RH <<>> @***.234.252.94 *************.xn--p1ai axfr
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached
Однако если без параметра axfr то записи зоны вполне себе прекрасно получаются:
[evgeniya@znv-1c ~]$ dig @***.234.252.94 *************.xn--p1ai
; <<>> DiG 9.16.27-RH <<>> @***.234.252.94 *************.xn--p1ai
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8866
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;чекушкины.рф. IN A
;; ANSWER SECTION:
*********.рф. 86400 IN A ***.234.252.94
;; AUTHORITY SECTION:
*********.рф. 86400 IN NS ns4-cloud.nic.ru.
*********.рф. 86400 IN NS ns.*********.рф.
;; ADDITIONAL SECTION:
ns.*********.рф. 86400 IN A ***.234.252.94
;; Query time: 10 msec
;; SERVER: 213.234.252.94#53(***.234.252.94)
;; WHEN: Mon Oct 09 17:59:25 +04 2023
;; MSG SIZE rcvd: 135
Я уже думала что откуда то из кэша данные берутся, ан нет, службу bind9 останавливаю и для простых запросов начинается таймаут
Ранее я аналогичный квест с передачей зоны проходила на микротике, тогда я с протоколом пролетела, забыла что для DNS нужен UDP, как только UDP на 53й открыла сразу заработали запросы, в т.ч. и axfr. Ощущение что именно запросы на скачивание зоны блокируются на самом роутере и не доходят до службы.
zone "*************.xn--p1ai" {
type master;
file "/var/lib/bind/zone_rf";
allow-transfer {
any;
};
};
Ваш вариант с перенастройкой вcтроенного https я тоже попробовала, но всё безрезультативно - ничего не изменилось, при попытке снаружи достучаться до 443 порта - SYN SENT. Самодиагностику пришлю в личку.
UPD Попробовала настроить правило переадресации TCP 1443 --> 443 сайт заработал. Т.е. точно какие то настройки внутри роутера препятствуют.