Chuyển nhượng vùng ràng buộc từ chối

10

CẬP NHẬT:

Phiên bản BIND:

[root@10.224.45.130] $ named -v
BIND 9.3.6-P1-RedHat-9.3.6-16.P1.el5

Hệ điều hành:

CentOS release 5.6 (Final)

Sau khi chạy [root@10.224.45.131] $ dig @10.224.45.130 example.com. axfr:

Nô lệ:

; <<>> DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 <<>> @10.224.45.130 example.com. axfr
; (1 server found)
;; global options:  printcmd
; Transfer failed.

Bậc thầy:

28-Aug-2011 12:29:01.384 client 10.224.45.131#60553: query: example.com IN AXFR -
28-Aug-2011 12:29:01.384 client 10.224.45.131#60553: zone transfer 'example.com/AXFR/IN' denied

Thông báo lỗi tương tự như trước đây.

CẬP NHẬT 2:

[root@10.224.45.130 ~] # iptables -L -n -v
Chain INPUT (policy DROP 30235 packets, 1747K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 171K   23M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  tun0   *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  tap0   *       0.0.0.0/0            0.0.0.0/0           
57196 6930K ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0           
  688 57376 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 
37869 6120K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
  392 21216 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53 
   74  5275 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:53 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:110 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:143 
    3   192 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:389 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:465 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:587 
   13   832 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:636 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:694 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:843 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:873 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:953 
  119  7584 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:993 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:993 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:1194 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:1194 
    1    48 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3306 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5901 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            10.224.45.130       tcp dpt:10000 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11211 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11212 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11213 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11511 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11512 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11513 

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 2987  372K ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      br0     0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443 

Chain OUTPUT (policy ACCEPT 246K packets, 37M bytes)
 pkts bytes target     prot opt in     out     source               destination

Có lẽ tôi đã xem xét từng trang liên quan đến thiết lập BIND master / nô lệ và tôi không thể làm cho việc chuyển vùng hoạt động được.

Đây là thiết lập của tôi: (cuộn xuống để mô tả vấn đề)

Thạc sĩ: 10.224,45.130

/etc/named.conf

options {
    directory "/var/named";
    version "unknown";
    pid-file "/var/run/named/named.pid";
    recursion yes;
    allow-recursion { localhost; localnets; };
    notify explicit;
    allow-transfer {
        10.224.45.131;
    };
    also-notify {
        10.224.45.131;
    };
};

zone "." {
    type hint;
    file "named.root";
};

zone "example.com" IN {
    type master;
    file "data/example.com.hosts";
};

Nô lệ: 10.224.45.131

/etc/named.conf

options {
    directory "/var/named";
    version "unknown";
    pid-file "/var/run/named/named.pid";
    recursion yes;
    allow-recursion { localhost; localnets; };
    notify yes;
    allow-transfer { "none"; };
    allow-notify {
        10.224.45.130;
    };
};

zone "." {
    type hint;
    file "named.root";
};

zone "example.com" IN {
    type slave;
    file "slaves/example.com.hosts";
    masters {
        10.224.45.130;
    };
};

Đây là vấn đề. Khi tôi khởi động lại có tên trên máy chủ nô lệ, nó thấy rằng các tệp vùng chưa tồn tại và yêu cầu chuyển từ máy chủ chính:

tên.log (nô lệ)

[10.224.45.131] zone example.com/IN: no database exists yet, requesting AXFR of initial version from 10.224.45.130#53

... Sau đó, máy chủ chính nhận được yêu cầu chuyển:

tên.log (Master)

[10.224.45.130] client 10.224.45.131#53467: query: example.com IN AXFR -

... và trả lời với yêu cầu chuyển, bị từ chối:

tên.log (Master)

[10.224.45.130] client 10.224.45.131#53467: zone transfer 'example.com/AXFR/IN' denied

... trên máy chủ nô lệ, nó hiện lên như được xác định lại:

tên.log (nô lệ)

[10.224.45.131] transfer of 'example.com/IN' from 10.224.45.130#53: failed while receiving responses: REFUSED

Nhìn vào tất cả các cấu hình nhiều lần tôi không thể tìm thấy bất cứ điều gì sai với các cài đặt. Tôi có địa chỉ IP của máy chủ chính được liệt kê trong masterscài đặt cấu hình vùng nô lệ, tôi có địa chỉ IP của máy chủ nô lệ được liệt kê trong allow-transfercài đặt của cài đặt tùy chọn chính.

Tất cả các địa chỉ IP là những gì họ cần, không giống như nó đang cố sử dụng địa chỉ IP công cộng và bị từ chối vì địa chỉ IP không khớp. Tôi có thiết lập iptables để cho phép kết nối TCP / UDP trên cổng 53 (và 953) trên cả hai máy chủ. Tôi đã thiết lập quyền truy cập tệp đúng cách để thư mục / nô lệ nơi tệp tệp nô lệ được lưu trữ có thể ghi được bởi namedngười dùng.

Bất kể tôi làm gì tôi luôn nhận được lỗi tương tự. Nếu bất cứ ai có thể cho tôi manh mối về những gì tôi đang thiếu tôi sẽ thực sự đánh giá cao nó!

— Sarah Ryan
nguồn

2

Bạn đã thử (tạm thời) thiết allow-transferđể anyxem bản sửa lỗi vấn đề này? allow-transferĐiều khoản của bạn có vẻ đúng, nhưng điều này sẽ loại bỏ bất kỳ cơ hội vấn đề nào ...

— voretaq7

Không, vẫn nhận được cùng một lỗi. Tôi cũng vừa thử thêm địa chỉ IP WAN của máy chủ chính vào cài đặt 'chủ', chỉ trong trường hợp và điều đó cũng không khắc phục được.

— Sarah Ryan

1

Bạn đã chạy rndc reconfigsau khi thay đổi cấu hình trên bản gốc?

— Cakemox

3

Để bắt đầu, hãy thử xác minh rằng chuyển vùng hoạt động.

Trên nô lệ, vấn đề đào @master tên miền của bạn. nách

Phiên bản nào của BIND và HĐH nào?

— dmourati
nguồn

Tôi đã cập nhật câu hỏi của mình với đầu ra và nhật ký của lệnh này. Nó cho thấy nó như bị từ chối giống như trong yêu cầu chuyển vùng thông thường. Tôi cũng đã thêm thông tin về các phiên bản và HĐH. Xin lỗi vì đã để lại thông tin quan trọng đó.

— Sarah Ryan

1

OK, vì vậy thực tế là lệnh đào thất bại chỉ ra rằng vẫn còn một vấn đề trên bản gốc. @ voretaq7 ở trên cho phép chuyển nhượng cho bất kỳ điều gì tôi đồng ý là bước khắc phục sự cố hợp lý. Thêm localhost để allow-transsfer, hãy thử lệnh đào từ master tại localhost. Đồng thời thiết lập "tcpdump -i any port 53" trên master để xác minh địa chỉ IP nguồn / đích. Bạn nói "Tôi có thiết lập iptables để cho phép kết nối TCP / UDP trên cổng 53 (và 953) trên cả hai máy chủ" nhưng vui lòng thêm đầu ra của "iptables -L -n -v" trên bản gốc. Điều đó hoặc tắt iptables trên bản gốc và kiểm tra lại.

— dmourati

Tôi đã thêm localhost (cũng như tất cả các tên máy chủ và địa chỉ IP khác có thể có) vào cài đặt cho phép chuyển và tôi vẫn gặp lỗi tương tự. Tôi đã thêm đầu ra từ lệnh iptables mà bạn yêu cầu, cũng như tắt iptables trong khi thử lại. Vẫn không có may mắn.

— Sarah Ryan

3

Tìm thấy vấn đề. Tôi đang sử dụng BIND chroot, nhưng tôi đã chỉnh sửa các tệp conf trong / etc và không / var / tên / chroot / etc. Vì vậy, những thay đổi mà tôi đang thực hiện không được nhìn thấy. Tôi đã sao chép các tập tin conf vào thư mục chroot và bây giờ tất cả đều hoạt động tốt.

— Sarah Ryan
nguồn

1

Tốt ol 'chroot. Vui mừng bạn đã tìm thấy nó.

— dmourati

1

Có vẻ như điều này đã được bao phủ bởi allow-transfercâu lệnh trong options, nhưng hãy thử thêm một allow-transfercâu lệnh rõ ràng trong vùng.

Tôi thực sự không thấy bất cứ điều gì sai với cấu hình của bạn. Có vẻ như nó nên hoạt động. Là ràng buộc nghe trên cổng đó cả? (Tức là, có yêu cầu nào thành công không? Hay tất cả đều thất bại?)

Chà, tôi có thêm hai ý tưởng đáng để thử.

Đảm bảo đồng hồ của bạn luôn cập nhật (ít nhất là trong một mức hợp lý) trên cả hai máy chủ.
Bạn có thể có sự can thiệp của Selinux. Hãy thử vô hiệu hóa nó tạm thời để kiểm tra.

— bahamat
nguồn

Tôi đã thử đặt tùy chọn cho phép chuyển trong cấu hình vùng và nó vẫn gây ra lỗi tương tự. Đó chỉ là yêu cầu chuyển mà không thành công. Tôi có thể truy vấn thành công máy chủ cho bất kỳ loại bản ghi nào và nó sẽ trả về nó như mong đợi. Nhưng khi tôi cố gắng thực hiện chuyển vùng, tôi nhận được thông báo lỗi bị từ chối / REFUSED.

— Sarah Ryan

Kiểm tra câu trả lời của tôi để cập nhật.

— bahamat