Dig harici sorgular için “status: REFUSED” döndürüyor mu?


14

Ad sunucusundan dig çalıştırırsam, DNS'imin neden düzgün çalışmadığını anlayamıyorum: düzgün çalışıyor:

# dig ungl.org

; <<>> DiG 9.5.1-P2.1 <<>> ungl.org
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24585
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 1

;; QUESTION SECTION:
;ungl.org.                      IN      A

;; ANSWER SECTION:
ungl.org.               38400   IN      A       188.165.34.72

;; AUTHORITY SECTION:
ungl.org.               38400   IN      NS      ns.kimsufi.com.
ungl.org.               38400   IN      NS      r29901.ovh.net.

;; ADDITIONAL SECTION:
ns.kimsufi.com.         85529   IN      A       213.186.33.199

;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sat Mar 13 01:04:06 2010
;; MSG SIZE  rcvd: 114

ama aynı veri merkezinde başka bir sunucudan çalıştırdığımda:

# dig @87.98.167.208 ungl.org

; <<>> DiG 9.5.1-P2.1 <<>> @87.98.167.208 ungl.org
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 18787
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;ungl.org.                      IN      A

;; Query time: 1 msec
;; SERVER: 87.98.167.208#53(87.98.167.208)
;; WHEN: Sat Mar 13 01:01:35 2010
;; MSG SIZE  rcvd: 26

bu alan için bölge dosyam

$ttl 38400
ungl.org.       IN  SOA r29901.ovh.net. mikey.aol.com. (
                201003121
                10800
                3600
                604800
                38400 )
ungl.org.       IN  NS  r29901.ovh.net.
ungl.org.       IN  NS  ns.kimsufi.com.
ungl.org.       IN  A   188.165.34.72
localhost.      IN  A   127.0.0.1
www             IN  A   188.165.34.72

ve adlandırılmış.conf.options varsayılan değerdir:

options {
    directory "/var/cache/bind";

    // If there is a firewall between you and nameservers you want
    // to talk to, you may need to fix the firewall to allow multiple
    // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

    // If your ISP provided one or more IP addresses for stable 
    // nameservers, you probably want to use them as forwarders.  
    // Uncomment the following block, and insert the addresses replacing 
    // the all-0's placeholder.

    // forwarders {
    //  0.0.0.0;
    // };

    auth-nxdomain no;    # conform to RFC1035
    listen-on-v6 { ::1; };
    listen-on { 127.0.0.1; };
    allow-recursion { 127.0.0.1; };
};

Named.conf.local:

//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
// include "/etc/bind/zones.rfc1918";

zone "eugl.eu" {
         type master;
         file "/etc/bind/eugl.eu";
         notify no;
};


zone "ungl.org" {
         type master;
         file "/etc/bind/ungl.org";
         notify no;
};

Sunucu Ubuntu 9.10 ve Bind 9 çalıştırıyor, eğer herkes benim için biraz ışık tutabilirse beni çok mutlu eder!

Teşekkürler


Bağlama yapılandırmasının "seçenekler" bölümünüz, davranmayan sunucuda neye benziyor? Ubuntu'da varsayılan olarak hepsinin /etc/bind/named.conf.options adresinde olduğuna inanıyorum
Cory J

Soruyu güncelledim, seçeneklerde henüz hiçbir şey değiştirmedim

1
Named.conf.local'deki bölge tanımı nasıl olur?
ktower

Ana mesaja eklendi

Yanıtlar:


18

eski bir iş parçacığı kazma rağmen, ben bunu "sorgu durumu reddedildi" için bir google arama yaparken en alakalı sonuçlarından biri olduğu için yapıyorum.

Benim özel durumumda, allow-query { any; };named.conf dosyasındaki her bir bölge tanımına dahil etmem gerektiğini buldum .


Sen benim kurtarıcı meleğimsin! Çok teşekkürler
codezombie

5

Sadece hızlı bir bakışta bana dünyanın geri kalanını dinlemek için yapılandırılmadığı anlaşılıyor listen-on { 127.0.0.1; };. Buraya uygun IP adresini eklemeniz gerekir.


Bunu sunucunun internet IP adresine (188.165.34.72) değiştirdim ve yeniden bağlandım ama yine de aynı reddedilen mesajı alıyorum

1
Bu makinede yerel bir güvenlik duvarı var mı? Bağlantı noktalarını açmanız gerekebilir (53 TCP ve UDP).
John Gardeniers

URL şu anda çalışıyor gibi görünüyor, ancak yine de diğer sunucumdan aynı reddedilen durumu gösteriyor

4

Ben bir şey yapıyorum ama adlandırılmış.conf.options izin sorgusu seçeneği koymak


1

Kaynak kaydı (RR) eşlik etmediğinde NOERROR, böyle bir kayıt olmadığı anlamına gelir; bu nedenle, NOERROR yanıtı ve "version" değerini "none" olarak ayarladığınızda "kayıt" olmadığında beklendiği gibi çalışır.

Ayrıca allow-queryBIND9 ile bir yapılandırma deyimi ancak varsayılan her yerden sorguları izin olduğunu düşünüyorum.


1

Tam olarak aynı sorun vardı (kazma durumu yerel olarak NOERROR, kazma durumu dışarıdan REFUSED) ve çözüm "localhost" (bağlama yükleme için varsayılan olan) "any" (daha sonra olabilir) alan adı sağlayıcımın tam ipinin ne olduğunu öğrenin ve güvenlik nedeniyle bu ip ile sınırlandırın). Ayrıca, görünüm adını local_something yerine varsayılan olarak değiştirdim. İsim gerçekten önemli değil.

view default {
        match-clients      { any; };
        match-destinations { any; };
        include "/etc/named.rfc1912.zones";
};

Bu gerçekten "kazı durumu reddedildi" işiyle ilgili sorun buydu. Match-clients parametresini değiştirdikten hemen sonra, dig @ 12.34.56.78 mydomain.com sorgularım NOERROR durumuyla çözümlenmeye başladı ve etki alanı adı sağlayıcısı (godaddy) hemen ad sunucusu kaydını önbelleğe aldı. Bölge dosyalarım zaten doğru bir şekilde yapılandırıldığından, alan adı anında internette görünür hale geldi.

Bunu çözmek için bir süre kafamı duvara vuruyordum.


1
Hangi bilgisayarda hangi dosyayı değiştirdiğinizi açıklığa kavuşturabilir misiniz?
Alexey

1

Özyinelemeye izin vermek istediğim ağ için açık bir referans girmek zorunda kaldım. "Herhangi biri" belirtmek işe yaramadı. Varsayılan olarak (Umbutu Server 15) dosyada bunun için herhangi bir girdi yoktu /etc/bind/named.conf.options.

recursion yes;  << needed to add this but did not resolve greater prob
allow-recursion { any; }; << this did not work
allow-recursion { 10.1.0.0/16; }; << this did the trick

0

Sorguları doğru yere gönderdiğinizden emin misiniz?

188.165.34.72 ( r29901.ovh.net) üzerindeki sunucunuz BIND 9.5.1-P2.1 çalıştırıyor - dig @ip version.bind ch txtbu yanıt dizesinde beklendiği gibi bir soruyu yanıtlıyor .

Ancak yukarıda belirtilen IP adresi NOTIMPL, *.bindsözde yapılandırma dosyasında sözde kayıtlarla ilgili hiçbir şey olmamasına ve BIND'ın bunları devre dışı bırakmak için açık yapılandırma gerektirmesine rağmen bir hata döndürür .


NOTIMPL uygulanmadı mı? Neden uygulanmayan özellikler varsayılan olarak etkin olsun?

BIND ise, bu sorguya kullanıcı tarafından belirtilen bir değer göndermesini söyleyen "sürüm" veya özelliği devre dışı bırakmak için "yok" seçeneği bulunur. Seçenek belirtilmezse, gerçek sürüm numarasını döndürür. Böyle bir seçenek belirtmediniz, bu da doğru sunucu ile konuşmediğinizden şüpheleniyor. Bkz. İsc.org/software/bind/documentation/arm95
Alnitak

Daha da kontrol ettim - MacOSX kutumda bind 9.6.0, "version" ayarını "none" olarak döndürür NOERRORve NOTIMPLbu IP'den gördüğüm hatayı değil .
Alnitak

0

Çünkü özyinelemeye yalnızca yerel makinenizden izin veriyorsunuz.

Uygun ip adresini eklemenize izin vermek istiyorsanız ve yerel makinenizdeki herhangi bir bağdaştırıcının dinleme değerini değiştirmeniz veya yerel makinenin arabiriminin ip adresini koymanız gerekir:

listen-on { any;} or x.x.x.x;
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.