<div dir="ltr"><div><div>Output for `dig NS .`<br>; <<>> DiG 9.8.1-P1 <<>> @<a href="http://127.0.0.1">127.0.0.1</a> NS .<br>; (1 server found)<br>;; global options: +cmd<br>;; Got answer:<br>;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 37032<br>
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0<br><br>;; QUESTION SECTION:<br>;.                IN    NS<br><br>;; Query time: 1474 msec<br>;; SERVER: 127.0.0.1#53(127.0.0.1)<br>;; WHEN: Thu Jan 17 15:28:04 2013<br>
;; MSG SIZE  rcvd: 17<br><br></div>Output for `dig NS org.`<br>; <<>> DiG 9.8.1-P1 <<>> @<a href="http://127.0.0.1">127.0.0.1</a> NS org.<br>; (1 server found)<br>;; global options: +cmd<br>;; Got answer:<br>
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 13835<br>;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0<br><br>;; QUESTION SECTION:<br>;org.                IN    NS<br><br>;; Query time: 467 msec<br>
;; SERVER: 127.0.0.1#53(127.0.0.1)<br>;; WHEN: Thu Jan 17 15:29:47 2013<br>;; MSG SIZE  rcvd: 21<br><br></div>Output for `dig +nodnssec +noedns NS .` is the same as the previous, as for `dig +nodnssec NS .` <br><br><div><div>
The return packets have size of 743 bytes and they all contains infos about NS for root zone.<br></div></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">2013/1/17 Warren Kumari <span dir="ltr"><<a href="mailto:warren@kumari.net" target="_blank">warren@kumari.net</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5"><br>
On Jan 17, 2013, at 9:04 AM, Daniele <<a href="mailto:d.imbrogino@gmail.com">d.imbrogino@gmail.com</a>> wrote:<br>
<br>
> I'm going crazy.<br>
><br>
> This is my named.conf<br>
><br>
> logging {<br>
><br>
>         channel default_logfile {<br>
>                 file "/var/cache/bind/logs/default.log";<br>
>                 severity info;<br>
>                 print-category yes;<br>
>                 print-severity yes;<br>
>                 print-time yes;<br>
>         };<br>
><br>
>         category default {<br>
>                 default_logfile;<br>
>         };<br>
><br>
>         category lame-servers {null;};<br>
> };<br>
><br>
> options {<br>
>         directory "/var/cache/bind";<br>
><br>
>         dnssec-validation auto;<br>
><br>
>         auth-nxdomain no;    # conform to RFC1035<br>
>         listen-on-v6 { any; };<br>
> };<br>
><br>
> and the default zones (not shown here).<br>
><br>
> This is the output of `dig +trace +nodnssec <a href="http://www.isc.org" target="_blank">www.isc.org</a>`<br>
> ; <<>> DiG 9.8.1-P1 <<>> +trace +nodnssec <a href="http://www.isc.org" target="_blank">www.isc.org</a><br>
> ;; global options: +cmd<br>
> .            3600000    IN    NS    <a href="http://M.ROOT-SERVERS.NET" target="_blank">M.ROOT-SERVERS.NET</a>.<br>
> .            3600000    IN    NS    <a href="http://K.ROOT-SERVERS.NET" target="_blank">K.ROOT-SERVERS.NET</a>.<br>
> .            3600000    IN    NS    <a href="http://G.ROOT-SERVERS.NET" target="_blank">G.ROOT-SERVERS.NET</a>.<br>
> .            3600000    IN    NS    <a href="http://L.ROOT-SERVERS.NET" target="_blank">L.ROOT-SERVERS.NET</a>.<br>
> .            3600000    IN    NS    <a href="http://B.ROOT-SERVERS.NET" target="_blank">B.ROOT-SERVERS.NET</a>.<br>
> .            3600000    IN    NS    <a href="http://E.ROOT-SERVERS.NET" target="_blank">E.ROOT-SERVERS.NET</a>.<br>
> .            3600000    IN    NS    <a href="http://A.ROOT-SERVERS.NET" target="_blank">A.ROOT-SERVERS.NET</a>.<br>
> .            3600000    IN    NS    <a href="http://F.ROOT-SERVERS.NET" target="_blank">F.ROOT-SERVERS.NET</a>.<br>
> .            3600000    IN    NS    <a href="http://J.ROOT-SERVERS.NET" target="_blank">J.ROOT-SERVERS.NET</a>.<br>
> .            3600000    IN    NS    <a href="http://H.ROOT-SERVERS.NET" target="_blank">H.ROOT-SERVERS.NET</a>.<br>
> .            3600000    IN    NS    <a href="http://C.ROOT-SERVERS.NET" target="_blank">C.ROOT-SERVERS.NET</a>.<br>
> .            3600000    IN    NS    <a href="http://I.ROOT-SERVERS.NET" target="_blank">I.ROOT-SERVERS.NET</a>.<br>
> .            3600000    IN    NS    <a href="http://D.ROOT-SERVERS.NET" target="_blank">D.ROOT-SERVERS.NET</a>.<br>
> dig: couldn't get address for '<a href="http://M.ROOT-SERVERS.NET" target="_blank">M.ROOT-SERVERS.NET</a>': not found<br>
><br>
><br>
> During `dig` operations, using Wireshark I can see outgoing packets to port 53 and incoming ones from port 53<br>
<br>
</div></div>What size is the return packet? Do you have anything in the path that might be helpfully trying to monkey with the replies?<br>
What do you get for just 'dig NS .' and 'dig NS org.'?<br>
<br>
Does anything change if you do 'dig +nodnssec +noedns NS .' versus 'dig +nodnssec NS .'<br>
<br>
Including the comment bit from digs output (;; Query time: 0 msec<br>
;; SERVER: 127.0.0.1#53(127.0.0.1)<br>
;; WHEN: Thu Jan 17 09:18:57 2013<br>
;; MSG SIZE  rcvd: 512<br>
<br>
<br>
would help.<br>
<div class="im HOEnZb"><br>
W<br>
<br>
<br>
><br>
> The default policy of my firewall, configured via `iptables`, is to accept everything (I'm on VirtualBox); the only rule is to MASQUERADE outgoing packets for NAT reasons (this box is the gateway of my private network).<br>

><br>
> What's wrong?<br>
><br>
> 2013/1/15 Chris Thompson <<a href="mailto:cet1@cam.ac.uk">cet1@cam.ac.uk</a>><br>
> On Jan 14 2013, Shane Kerr wrote:<br>
><br>
> [...]<br>
><br>
> You may want to try:<br>
><br>
> dig +trace <a href="http://www.isc.org" target="_blank">www.isc.org</a><br>
><br>
> [...]<br>
><br>
> The next step may be to try:<br>
><br>
> dig +trace +dnssec <a href="http://www.isc.org" target="_blank">www.isc.org</a><br>
><br>
> Beware that if you have a dig(1) from BIND 9.9.x, +dnssec has become the<br>
> default with +trace. In that case replace the first attempt with<br>
><br>
> dig +trace +nodnssec <a href="http://www.isc.org" target="_blank">www.isc.org</a><br>
><br>
> --<br>
> Chris Thompson<br>
> Email: <a href="mailto:cet1@cam.ac.uk">cet1@cam.ac.uk</a><br>
><br>
</div><div class="HOEnZb"><div class="h5">> _______________________________________________<br>
> Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
><br>
> bind-users mailing list<br>
> <a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a><br>
> <a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
<br>
</div></div><span class="HOEnZb"><font color="#888888">--<br>
Militant Agnostic -- I don't know and you don't either...<br>
<br>
<br>
<br>
</font></span></blockquote></div><br></div>