Bağlama bölgesi aktarımı reddedildi


10

GÜNCELLEME:

BIND Sürümü:

[root@10.224.45.130] $ named -v
BIND 9.3.6-P1-RedHat-9.3.6-16.P1.el5

İşletim sistemi:

CentOS release 5.6 (Final)

Çalıştırdıktan sonra [root@10.224.45.131] $ dig @10.224.45.130 example.com. axfr:

Köle:

; <<>> DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 <<>> @10.224.45.130 example.com. axfr
; (1 server found)
;; global options:  printcmd
; Transfer failed.

Usta:

28-Aug-2011 12:29:01.384 client 10.224.45.131#60553: query: example.com IN AXFR -
28-Aug-2011 12:29:01.384 client 10.224.45.131#60553: zone transfer 'example.com/AXFR/IN' denied

Önceki ile aynı hata mesajı.

GÜNCELLEME 2:

[root@10.224.45.130 ~] # iptables -L -n -v
Chain INPUT (policy DROP 30235 packets, 1747K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 171K   23M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  tun0   *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  tap0   *       0.0.0.0/0            0.0.0.0/0           
57196 6930K ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0           
  688 57376 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 
37869 6120K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
  392 21216 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53 
   74  5275 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:53 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:110 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:143 
    3   192 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:389 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:465 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:587 
   13   832 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:636 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:694 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:843 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:873 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:953 
  119  7584 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:993 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:993 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:1194 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:1194 
    1    48 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3306 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5901 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            10.224.45.130       tcp dpt:10000 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11211 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11212 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11213 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11511 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11512 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11513 

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 2987  372K ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      br0     0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443 

Chain OUTPUT (policy ACCEPT 246K packets, 37M bytes)
 pkts bytes target     prot opt in     out     source               destination

Muhtemelen BIND master / slave kurulumu ile ilgili her sayfaya baktım ve hayatım boyunca bölge transferini çalıştıramadım.

İşte kurulumum: (sorunun açıklaması için aşağı kaydırın)

Master: 10.224.45.130

/etc/named.conf

options {
    directory "/var/named";
    version "unknown";
    pid-file "/var/run/named/named.pid";
    recursion yes;
    allow-recursion { localhost; localnets; };
    notify explicit;
    allow-transfer {
        10.224.45.131;
    };
    also-notify {
        10.224.45.131;
    };
};

zone "." {
    type hint;
    file "named.root";
};

zone "example.com" IN {
    type master;
    file "data/example.com.hosts";
};

Köle: 10.224.45.131

/etc/named.conf

options {
    directory "/var/named";
    version "unknown";
    pid-file "/var/run/named/named.pid";
    recursion yes;
    allow-recursion { localhost; localnets; };
    notify yes;
    allow-transfer { "none"; };
    allow-notify {
        10.224.45.130;
    };
};

zone "." {
    type hint;
    file "named.root";
};

zone "example.com" IN {
    type slave;
    file "slaves/example.com.hosts";
    masters {
        10.224.45.130;
    };
};

Sorun burada. Slave sunucusunda adlandırılmış yeniden başlattığınızda bölge dosyalarının henüz var olmadığını görür ve ana sunucudan bir aktarım ister:

named.log (Köle)

[10.224.45.131] zone example.com/IN: no database exists yet, requesting AXFR of initial version from 10.224.45.130#53

... bundan sonra ana sunucu aktarım talebini alır:

named.log (Ana)

[10.224.45.130] client 10.224.45.131#53467: query: example.com IN AXFR -

... ve reddedilen aktarma isteğine yanıt verir:

named.log (Ana)

[10.224.45.130] client 10.224.45.131#53467: zone transfer 'example.com/AXFR/IN' denied

... bağımlı sunucuda REFUSED olarak görünüyor:

named.log (Köle)

[10.224.45.131] transfer of 'example.com/IN' from 10.224.45.130#53: failed while receiving responses: REFUSED

Tüm yapılandırmalara tekrar tekrar baktığımda, ayarlarda yanlış bir şey bulamıyorum. mastersBağımlı bölge yapılandırması ayarında listelenen ana sunucunun IP adresi var allow-transfer, ana seçenek ayarlarının ayarında bağımlı sunucunun IP adresi var .

Tüm IP adresleri olması gerektiği gibi, genel IP adresini kullanmaya çalışıyor ve IP adresi eşleşmediği için reddediliyor gibi değil. Her iki sunucuda bağlantı noktası 53 (ve 953) TCP / UDP bağlantılarına izin vermek için iptables kurulum var. Köle bölge dosyalarının depolandığı / slaves dizini namedkullanıcı tarafından yazılabilir olması için dosya izinlerini düzgün ayarladım .

Ne yaparsam yapayım hep aynı hatayı alıyorum. Biri bana eksik olduğum şey hakkında bir ipucu verebilirse gerçekten takdir ediyorum!


2
Sorunun çözülüp çözülmediğini görmek allow-transferiçin (geçici olarak) ayarını denediniz anymi? Kişisel allow-transfer... fıkra doğru görünüyor, ama bu sorunlardan herhangi şansını ortadan kaldıracaktır
voretaq7

Hayır, hala aynı hatayı alıyorum. Ayrıca, ana sunucunun WAN IP adresini 'masterlar' ayarına eklemeyi denedim, her ihtimale karşı da düzeltmedim.
Sarah Ryan

1
rndc reconfigMaster'daki yapılandırmayı değiştirdikten sonra çalıştırdınız mı?
Cakemox

Yanıtlar:


3

Başlamak için bir bölge aktarımının çalıştığını doğrulamayı deneyin.

Köle üzerinde, alan adınızı @master kazın. AXFR

Hangi BIND sürümleri ve hangi işletim sistemi?


Sorumu bu komutun çıktısı ve günlükleriyle güncelledim. Normal bölge aktarma isteğinde olduğu gibi reddedildiğini gösterir. Ayrıca sürümler ve işletim sistemi hakkında bilgi ekledim. Önemli bilgileri dışarıda bıraktığım için üzgünüm.
Sarah Ryan

1
Tamam, böylece dig komutunun başarısız olması, master üzerinde hala bir sorun olduğunu gösterir. @ voretaq7, makul bir sorun giderme adımı olduğunu kabul ettiğim herhangi birine izin transferini önerdi. Allow-transsfer öğesine localhost ekleyin, localhost'ta master'dan dig komutunu deneyin. Ayrıca kaynak / hedef IP adreslerini doğrulamak için master üzerinde bir "tcpdump -i any port 53" kurun. "Her iki sunucuda 53 numaralı bağlantı noktasında (ve 953) TCP / UDP bağlantılarına izin vermek için iptables kurulumum var" diyorsunuz, ancak lütfen master'a "iptables -L -n -v" çıktısını ekleyin. Bu veya master üzerindeki iptables'ı kapatın ve tekrar test edin.
dmourati

Allow-transfer ayarına localhost (ayrıca diğer tüm ana bilgisayar adları ve IP adresleri de olabilir) ekledim ve hala aynı hatayı alıyorum. İstediğiniz iptables komutunun çıktısını ekledim ve tekrar denerken iptables'ı devre dışı bıraktım. Hala şans yok.
Sarah Ryan

3

Sorunu buldum. Köklü bir BIND kullanıyorum, ancak / var / adlandırılmış / chroot / etc değil / etc içinde conf dosyalarını düzenliyordum. Yani yaptığım değişiklikler görülmüyordu. Conf dosyalarını chroot dizinine kopyaladım ve şimdi iyi çalışıyor.


1
İyi ol 'chroot. Onu bulduğuna sevindim.
dmourati

1

Bunun zaten içindeki allow-transferifadeyle kapsanmış gibi görünebilir options, ancak allow-transferbölge altına açık bir ifade eklemeyi deneyin .

Yapılandırmanızla ilgili yanlış bir şey görmüyorum. Çalışması gerektiği gibi görünüyor . Bağlama hiç bu bağlantı noktasını dinliyor mu? (Yani, herhangi bir istek başarılı mı? Yoksa hepsi başarısız mı?)

Denemeye değer iki fikrim daha var.

  1. Saatlerinizin her iki sunucuda da güncel (en azından makul bir marj dahilinde) olduğundan emin olun.

  2. SELinux karışıyor olabilir. Test etmek için geçici olarak devre dışı bırakmayı deneyin.


Bölge yapılandırma izin-transfer seçeneği koyarak denedim ve hala bana aynı hatayı veriyor. Yalnızca başarısız olan aktarma istekleri. Sunucuyu herhangi bir kayıt türü için başarıyla sorgulayabilirim ve beklendiği gibi döndürür. Ancak bölge aktarımı yapmaya çalıştığımda reddedildi / REFUSED hata iletileri alıyorum.
Sarah Ryan

Güncelleme için cevabımı kontrol et.
bahamat
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.