Dig trả về trạng thái của Google: REFUSED do đó cho các truy vấn bên ngoài?

14

Tôi dường như không thể tìm ra lý do tại sao DNS của tôi không hoạt động chính xác, nếu tôi chạy đào từ máy chủ tên thì nó hoạt động chính xác:

# dig ungl.org

; <<>> DiG 9.5.1-P2.1 <<>> ungl.org
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24585
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 1

;; QUESTION SECTION:
;ungl.org.                      IN      A

;; ANSWER SECTION:
ungl.org.               38400   IN      A       188.165.34.72

;; AUTHORITY SECTION:
ungl.org.               38400   IN      NS      ns.kimsufi.com.
ungl.org.               38400   IN      NS      r29901.ovh.net.

;; ADDITIONAL SECTION:
ns.kimsufi.com.         85529   IN      A       213.186.33.199

;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sat Mar 13 01:04:06 2010
;; MSG SIZE  rcvd: 114

nhưng khi tôi chạy nó từ một máy chủ khác trong cùng một trung tâm dữ liệu tôi nhận được:

# dig @87.98.167.208 ungl.org

; <<>> DiG 9.5.1-P2.1 <<>> @87.98.167.208 ungl.org
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 18787
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;ungl.org.                      IN      A

;; Query time: 1 msec
;; SERVER: 87.98.167.208#53(87.98.167.208)
;; WHEN: Sat Mar 13 01:01:35 2010
;; MSG SIZE  rcvd: 26

tập tin vùng của tôi cho tên miền này là

$ttl 38400
ungl.org.       IN  SOA r29901.ovh.net. mikey.aol.com. (
                201003121
                10800
                3600
                604800
                38400 )
ungl.org.       IN  NS  r29901.ovh.net.
ungl.org.       IN  NS  ns.kimsufi.com.
ungl.org.       IN  A   188.165.34.72
localhost.      IN  A   127.0.0.1
www             IN  A   188.165.34.72

và tên.conf.options là mặc định:

options {
    directory "/var/cache/bind";

    // If there is a firewall between you and nameservers you want
    // to talk to, you may need to fix the firewall to allow multiple
    // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

    // If your ISP provided one or more IP addresses for stable 
    // nameservers, you probably want to use them as forwarders.  
    // Uncomment the following block, and insert the addresses replacing 
    // the all-0's placeholder.

    // forwarders {
    //  0.0.0.0;
    // };

    auth-nxdomain no;    # conform to RFC1035
    listen-on-v6 { ::1; };
    listen-on { 127.0.0.1; };
    allow-recursion { 127.0.0.1; };
};

có tên.conf.local:

//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
// include "/etc/bind/zones.rfc1918";

zone "eugl.eu" {
         type master;
         file "/etc/bind/eugl.eu";
         notify no;
};


zone "ungl.org" {
         type master;
         file "/etc/bind/ungl.org";
         notify no;
};

Máy chủ đang chạy Ubuntu 9.10 và Bind 9, nếu ai đó có thể làm sáng tỏ điều này với tôi, điều đó sẽ khiến tôi rất hạnh phúc!

cảm ơn

ubuntu  bind  domain-name-system 
Phần "tùy chọn" của bạn trong cấu hình liên kết trông như thế nào trên máy chủ không hoạt động? Theo mặc định trên Ubuntu, tôi tin rằng tất cả đều nằm trong /etc/bind/named.conf.options
Cory J
Tôi đã cập nhật câu hỏi, tôi chưa thay đổi bất cứ điều gì trong các tùy chọn
1
Làm thế nào về định nghĩa khu vực trong tên.conf.local?
ktower
Đã thêm vào bài đăng chính

Câu trả lời:

17

mặc dù tôi có thể đang đào một chủ đề cũ, tôi đang làm như vậy bởi vì đây là một trong những kết quả phù hợp nhất trong khi thực hiện tìm kiếm google cho "trạng thái truy vấn bị từ chối".

Trong trường hợp cụ thể của tôi, tôi thấy rằng tôi phải đưa allow-query { any; };vào từng định nghĩa vùng trong tên.conf.

w00t
nguồn
Bạn là thiên thần cứu rỗi của tôi! Cảm ơn rất nhiều
codezombie
5

Chỉ trong nháy mắt, tôi nhận ra rằng nó không được cấu hình để lắng nghe phần còn lại của thế giới listen-on { 127.0.0.1; };. Bạn sẽ cần thêm địa chỉ IP thích hợp vào đó.

John Gardeniers
nguồn
Tôi đã thay đổi địa chỉ này thành địa chỉ IP internet của máy chủ (188.165.34.72) và tải lại liên kết nhưng tôi vẫn nhận được tin nhắn từ chối tương tự
1
Có một tường lửa cục bộ trên máy đó? Bạn có thể cần mở các cổng (53 TCP và UDP).
John Gardeniers
URL dường như đang hoạt động, nhưng vẫn hiển thị trạng thái bị từ chối tương tự từ máy chủ khác của tôi
4

Tôi thực hiện lấy mẫu nhưng tôi đặt tùy chọn cho phép truy vấn trong tên.conf.options

1

NOERROR khi không đi kèm với bản ghi tài nguyên (RR) có nghĩa là không có bản ghi đó, vì vậy khi bạn nhận được phản hồi NOERROR và không có "bản ghi" khi đặt "phiên bản" thành "không" thì nó sẽ hoạt động như mong đợi.

Ngoài ra còn có một allow-querytuyên bố cấu hình với BIND9 tuy nhiên tôi nghĩ mặc định là cho phép truy vấn từ bất cứ đâu.

Kinh điển
nguồn
1

Tôi đã có chính xác cùng một vấn đề (trạng thái đào NOERROR cục bộ, trạng thái đào REFUSED từ bên ngoài) và giải pháp đã thay đổi ứng dụng khách khớp từ "localhost" (là mặc định cho cài đặt liên kết) thành "bất kỳ" (sau này tôi có thể tìm hiểu ip chính xác của nhà cung cấp tên miền của tôi là gì và giới hạn nó với ip cụ thể đó vì lý do bảo mật). Ngoài ra, tôi đã thay đổi tên xem từ local_s Something thành mặc định. Tên thực sự không quan trọng.

view default {
        match-clients      { any; };
        match-destinations { any; };
        include "/etc/named.rfc1912.zones";
};

Đó thực sự là vấn đề với doanh nghiệp "tình trạng đào bị từ chối" này. Ngay sau khi tôi thay đổi tham số máy khách khớp, các truy vấn của tôi @ 12.34.56.78 mydomain.com bắt đầu giải quyết với trạng thái NOERROR và nhà cung cấp tên miền (godaddy) ngay lập tức lưu vào bản ghi máy chủ tên. Vì các tệp vùng của tôi đã được cấu hình đúng, tên miền ngay lập tức hiển thị trên internet.

Mặc dù vậy, tôi đã đập đầu vào tường khá lâu để giải quyết vấn đề này.

con ngựa có cánh
nguồn
1
Bạn có thể làm rõ, tập tin nào trên máy tính mà bạn đã sửa đổi?
Alexey
1

Tôi đã phải nhập một tài liệu tham khảo rõ ràng cho mạng mà tôi muốn cho phép đệ quy. Chỉ định "bất kỳ" không giúp được gì. Theo mặc định (Umbutu Server 15) không có mục nào cho việc này trong /etc/bind/named.conf.optionstệp.

recursion yes;  << needed to add this but did not resolve greater prob
allow-recursion { any; }; << this did not work
allow-recursion { 10.1.0.0/16; }; << this did the trick
Iradw
nguồn
0

Bạn có chắc chắn đang gửi các truy vấn đến đúng nơi?

Máy chủ của bạn trên 188.165.34.72 ( r29901.ovh.net) đang chạy BIND 9.5.1-P2.1 - nó trả lời một truy vấn dig @ip version.bind ch txtnhư mong đợi với chuỗi phản hồi đó.

Tuy nhiên, địa chỉ IP bạn trích dẫn ở trên trả về NOTIMPLlỗi, mặc dù không có gì trong tệp cấu hình được trích dẫn của bạn về các *.bindbản ghi giả và BIND yêu cầu cấu hình rõ ràng để vô hiệu hóa chúng.

Alnitak
nguồn
NOTIMPL không được thực hiện? Tại sao nó có các tính năng không được triển khai theo mặc định?
Nếu đó là BIND, có một tùy chọn gọi là "phiên bản" yêu cầu nó gửi giá trị do người dùng chỉ định đến truy vấn đó hoặc "không" để tắt tính năng này. Nếu tùy chọn không được chỉ định, nó sẽ trả về số phiên bản thực tế. Bạn đã trích dẫn không có tùy chọn như vậy, điều này khiến tôi nghi ngờ bạn không nói chuyện với đúng máy chủ. Xem isc.org/software/bind/documentation/arm95
Alnitak
Tôi đã kiểm tra thêm - trên hộp MacOSX của tôi với liên kết 9.6.0, đặt "phiên bản" thành "không" trả về NOERRORvà không phải là NOTIMPLlỗi tôi gặp từ IP đó.
Alnitak
0

Bởi vì bạn chỉ cho phép đệ quy từ máy cục bộ của bạn.

Nếu bạn muốn cho phép thêm địa chỉ IP thích hợp và bạn cần thay đổi nghe theo giá trị cho bất kỳ bộ điều hợp nào từ máy cục bộ của bạn hoặc đặt địa chỉ IP của giao diện của máy cục bộ:

listen-on { any;} or x.x.x.x;
tamirat
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.