Transfer zona mengikat ditolak

10

MEMPERBARUI:

Versi BIND:

[[email protected]] $ named -v
BIND 9.3.6-P1-RedHat-9.3.6-16.P1.el5

Sistem operasi:

CentOS release 5.6 (Final)

Setelah berlari [[email protected]] $ dig @10.224.45.130 example.com. axfr:

Budak:

; <<>> DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 <<>> @10.224.45.130 example.com. axfr
; (1 server found)
;; global options:  printcmd
; Transfer failed.

Menguasai:

28-Aug-2011 12:29:01.384 client 10.224.45.131#60553: query: example.com IN AXFR -
28-Aug-2011 12:29:01.384 client 10.224.45.131#60553: zone transfer 'example.com/AXFR/IN' denied

Pesan kesalahan yang sama seperti sebelumnya.

PEMBARUAN 2:

[[email protected] ~] # iptables -L -n -v
Chain INPUT (policy DROP 30235 packets, 1747K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 171K   23M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  tun0   *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  tap0   *       0.0.0.0/0            0.0.0.0/0           
57196 6930K ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0           
  688 57376 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 
37869 6120K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
  392 21216 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53 
   74  5275 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:53 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:110 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:143 
    3   192 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:389 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:465 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:587 
   13   832 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:636 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:694 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:843 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:873 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:953 
  119  7584 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:993 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:993 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:1194 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:1194 
    1    48 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3306 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5901 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            10.224.45.130       tcp dpt:10000 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11211 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11212 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11213 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11511 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11512 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11513 

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 2987  372K ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      br0     0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443 

Chain OUTPUT (policy ACCEPT 246K packets, 37M bytes)
 pkts bytes target     prot opt in     out     source               destination

Saya mungkin telah melihat pada setiap halaman tentang pengaturan master / slave BIND, dan saya tidak bisa seumur hidup saya membuat transfer zona berfungsi.

Inilah pengaturan saya: (gulir ke bawah untuk penjelasan masalah)

Master: 10.224.45.130

/etc/named.conf

options {
    directory "/var/named";
    version "unknown";
    pid-file "/var/run/named/named.pid";
    recursion yes;
    allow-recursion { localhost; localnets; };
    notify explicit;
    allow-transfer {
        10.224.45.131;
    };
    also-notify {
        10.224.45.131;
    };
};

zone "." {
    type hint;
    file "named.root";
};

zone "example.com" IN {
    type master;
    file "data/example.com.hosts";
};

Budak: 10.224.45.131

/etc/named.conf

options {
    directory "/var/named";
    version "unknown";
    pid-file "/var/run/named/named.pid";
    recursion yes;
    allow-recursion { localhost; localnets; };
    notify yes;
    allow-transfer { "none"; };
    allow-notify {
        10.224.45.130;
    };
};

zone "." {
    type hint;
    file "named.root";
};

zone "example.com" IN {
    type slave;
    file "slaves/example.com.hosts";
    masters {
        10.224.45.130;
    };
};

Inilah masalahnya. Ketika saya restart dinamai pada server slave ia melihat bahwa file zona belum ada dan meminta transfer dari server master:

named.log (Slave)

[10.224.45.131] zone example.com/IN: no database exists yet, requesting AXFR of initial version from 10.224.45.130#53

... setelah itu server master menerima permintaan transfer:

named.log (Master)

[10.224.45.130] client 10.224.45.131#53467: query: example.com IN AXFR -

... dan balasan dengan permintaan transfer, yang ditolak:

named.log (Master)

[10.224.45.130] client 10.224.45.131#53467: zone transfer 'example.com/AXFR/IN' denied

... pada server slave yang muncul sebagai DITOLAK:

named.log (Slave)

[10.224.45.131] transfer of 'example.com/IN' from 10.224.45.130#53: failed while receiving responses: REFUSED

Melihat semua konfigurasi berulang kali saya tidak dapat menemukan kesalahan dengan pengaturan. Saya memiliki alamat IP server master yang tercantum dalam masterspengaturan konfigurasi zona slave, saya memiliki alamat IP server slave yang tercantum dalam allow-transferpengaturan pengaturan opsi master.

Semua alamat IP adalah apa yang seharusnya, tidak seperti itu mencoba menggunakan alamat IP publik dan ditolak karena alamat IP tidak cocok. Saya memiliki pengaturan iptables untuk memungkinkan koneksi TCP / UDP pada port 53 (dan 953) di kedua server. Saya telah mengatur izin file dengan benar sehingga direktori / slave tempat file slave zone disimpan dapat ditulis oleh namedpengguna.

Apa pun yang saya lakukan, saya selalu mendapatkan kesalahan yang sama. Jika ada yang bisa memberi saya petunjuk tentang apa yang saya lewatkan saya akan sangat menghargainya!

centos bind centos5 dns-zone master-slave Sarah Ryan
sumber
2
Apakah Anda mencoba (sementara) menetapkan allow-transferuntuk anyuntuk melihat apakah perbaikan yang masalah? allow-transferKlausa Anda terlihat benar, tetapi ini akan menghilangkan kemungkinan masalah ...
voretaq7
Tidak, masih mendapatkan kesalahan yang sama. Saya juga baru saja mencoba menambahkan alamat IP WAN server master ke pengaturan 'master', untuk berjaga-jaga, dan itu juga tidak memperbaikinya.
Sarah Ryan
1
Apakah Anda menjalankan rndc reconfigsetelah mengubah konfigurasi pada master?
Cakemox

Jawaban:

3

Untuk memulai, coba verifikasi bahwa transfer zona berfungsi.

Pada slave, keluarkan dig @ master domain Anda. axfr

Versi BIND apa dan OS apa?

dmourati
sumber
Saya telah memperbarui pertanyaan saya dengan output dan log dari perintah ini. Itu menunjukkan itu ditolak sama seperti dalam permintaan transfer zona biasa. Saya juga menambahkan informasi mengenai versi dan OS. Maaf karena mengabaikan informasi penting itu.
Sarah Ryan
1
OK, jadi fakta bahwa perintah menggali gagal menunjukkan bahwa masih ada masalah pada master. @ voretaq7 di atas menyarankan boleh-transfer ke apa pun yang saya setujui adalah langkah pemecahan masalah yang wajar. Tambahkan localhost untuk mengizinkan-transsfer, coba perintah gali dari master di localhost. Juga siapkan "tcpdump -i any port 53" pada master untuk memverifikasi alamat IP sumber / tujuan. Anda mengatakan "Saya memiliki pengaturan iptables untuk memungkinkan koneksi TCP / UDP pada port 53 (dan 953) di kedua server" tetapi tolong tambahkan output dari "iptables -L -n -v" pada master. Itu atau matikan iptables pada master dan tes ulang.
dmourati
Saya telah menambahkan localhost (dan juga semua nama host dan alamat IP lainnya) ke pengaturan allow-transfer dan saya masih mendapatkan kesalahan yang sama. Saya telah menambahkan output dari perintah iptables yang Anda minta, serta menonaktifkan iptables saat mencoba lagi. Masih belum berhasil.
Sarah Ryan
3

Menemukan masalahnya. Saya menggunakan BIND chroot, tapi saya mengedit file conf di / etc dan bukan / var / bernama / chroot / etc. Jadi perubahan yang saya buat tidak terlihat. Saya menyalin file conf ke direktori chroot dan semuanya berfungsi dengan baik sekarang.

Sarah Ryan
sumber
1
Bagus, chroot. Senang Anda menemukannya.
dmourati
1

Sepertinya ini sudah dicakup oleh allow-transferpernyataan dalam options, tetapi coba tambahkan allow-transferpernyataan eksplisit di bawah zona.

Saya tidak benar-benar melihat ada yang salah dengan konfigurasi Anda. Sepertinya itu harus bekerja. Apakah binding mendengarkan port itu sama sekali? (Yaitu, apakah ada permintaan yang berhasil? Atau apakah semuanya gagal?)

Yah, saya punya dua ide lagi yang patut dicoba.

  1. Pastikan jam Anda sama-sama terbaru (setidaknya dalam batas wajar) di kedua server.

  2. Anda mungkin memiliki SELinux yang ikut campur. Coba nonaktifkan sementara untuk menguji.

bahamat
sumber
Saya sudah mencoba menempatkan opsi izinkan-transfer dalam konfigurasi zona dan itu masih memberi saya kesalahan yang sama. Hanya permintaan transfer yang gagal. Saya bisa berhasil meminta server untuk semua jenis catatan dan itu akan mengembalikannya seperti yang diharapkan. Tetapi ketika saya mencoba melakukan transfer zona saya ditolak / ditolak pesan kesalahan.
Sarah Ryan
Periksa jawaban saya untuk pembaruan.
bahamat