domingo, 20 de abril de 2025

SERVFAIL no Unbound com uma única interface

SERVFAIL no Unbound com uma interface – Diagnóstico

Publicado por Sysadmin Urbano | Infraestrutura, SysOps e DevOps

Um guia prático para quem vive na linha de frente da operação de sistemas.

SERVFAIL no Unbound com uma interface: O que pode ser?

Se você configurou o Unbound como servidor DNS local e ao tentar uma consulta está recebendo o erro SERVFAIL, especialmente quando o Unbound está configurado para ouvir em apenas uma interface, há algumas possíveis causas para investigar.

🔎 Entendendo o erro

SERVFAIL indica que o servidor não conseguiu resolver a requisição, mesmo sendo tecnicamente funcional. O problema pode estar em:

  • Falta de acesso externo (internet/firewall)
  • Restrições no arquivo de configuração
  • Escopo de rede limitado pela diretiva interface:
  • Restrições no access-control

📄 Verifique o arquivo de configuração (unbound.conf)

Se o Unbound está ouvindo apenas em 127.0.0.1, ele não poderá atender clientes externos. Exemplo de problema:

interface: 127.0.0.1
access-control: 192.168.0.0/16 deny

Para permitir requisições externas, adicione:

interface: 0.0.0.0
access-control: 192.168.0.0/16 allow

🧪 Testes úteis

Use ferramentas como:

  • dig @127.0.0.1 google.com
  • dig @localhost -p 53 google.com
  • unbound-checkconf – verifica erros de sintaxe
  • journalctl -u unbound – veja os logs

📌 Outras dicas

  • Habilite logs com verbosity: 2 ou superior para depurar
  • Verifique se o servidor tem acesso à internet para consultas externas (forwarding ou root hints)
  • Use local-zone e stub-zone apenas quando necessário

“Um servidor DNS só é útil quando sabe escutar — e quando está no canal certo.”

Postado por às
Marcadores: , , ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)