바인드 영역 전송이 거부되었습니다.


10

최신 정보:

바인드 버전 :

[root@10.224.45.130] $ named -v
BIND 9.3.6-P1-RedHat-9.3.6-16.P1.el5

운영 체제 :

CentOS release 5.6 (Final)

실행 후 [root@10.224.45.131] $ dig @10.224.45.130 example.com. axfr:

노예:

; <<>> DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 <<>> @10.224.45.130 example.com. axfr
; (1 server found)
;; global options:  printcmd
; Transfer failed.

석사:

28-Aug-2011 12:29:01.384 client 10.224.45.131#60553: query: example.com IN AXFR -
28-Aug-2011 12:29:01.384 client 10.224.45.131#60553: zone transfer 'example.com/AXFR/IN' denied

이전과 같은 오류 메시지.

업데이트 2 :

[root@10.224.45.130 ~] # iptables -L -n -v
Chain INPUT (policy DROP 30235 packets, 1747K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 171K   23M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  tun0   *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  tap0   *       0.0.0.0/0            0.0.0.0/0           
57196 6930K ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0           
  688 57376 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 
37869 6120K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
  392 21216 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53 
   74  5275 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:53 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:110 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:143 
    3   192 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:389 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:465 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:587 
   13   832 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:636 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:694 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:843 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:873 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:953 
  119  7584 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:993 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:993 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:1194 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:1194 
    1    48 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3306 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5901 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            10.224.45.130       tcp dpt:10000 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11211 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11212 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11213 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11511 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11512 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11513 

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 2987  372K ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      br0     0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443 

Chain OUTPUT (policy ACCEPT 246K packets, 37M bytes)
 pkts bytes target     prot opt in     out     source               destination

BIND 마스터 / 슬레이브 설정과 관련된 모든 단일 페이지를 보았을 수 있으며, 존 전송이 작동하지 않을 수 없습니다.

내 설정은 다음과 같습니다 (문제 설명을 보려면 아래로 스크롤하십시오)

마스터 : 10.224.45.130

/etc/named.conf

options {
    directory "/var/named";
    version "unknown";
    pid-file "/var/run/named/named.pid";
    recursion yes;
    allow-recursion { localhost; localnets; };
    notify explicit;
    allow-transfer {
        10.224.45.131;
    };
    also-notify {
        10.224.45.131;
    };
};

zone "." {
    type hint;
    file "named.root";
};

zone "example.com" IN {
    type master;
    file "data/example.com.hosts";
};

노예 : 10.224.45.131

/etc/named.conf

options {
    directory "/var/named";
    version "unknown";
    pid-file "/var/run/named/named.pid";
    recursion yes;
    allow-recursion { localhost; localnets; };
    notify yes;
    allow-transfer { "none"; };
    allow-notify {
        10.224.45.130;
    };
};

zone "." {
    type hint;
    file "named.root";
};

zone "example.com" IN {
    type slave;
    file "slaves/example.com.hosts";
    masters {
        10.224.45.130;
    };
};

여기 문제가 있습니다. 슬레이브 서버에서 이름을 다시 시작하면 영역 파일이 아직 존재하지 않고 마스터 서버에서 전송을 요청합니다.

named.log (슬레이브)

[10.224.45.131] zone example.com/IN: no database exists yet, requesting AXFR of initial version from 10.224.45.130#53

... 마스터 서버가 전송 요청을 수신 한 후 :

named.log (마스터)

[10.224.45.130] client 10.224.45.131#53467: query: example.com IN AXFR -

... 이체 요청에 응답하여 거부됩니다.

named.log (마스터)

[10.224.45.130] client 10.224.45.131#53467: zone transfer 'example.com/AXFR/IN' denied

... 슬레이브 서버에서 거부 됨으로 표시됩니다.

named.log (슬레이브)

[10.224.45.131] transfer of 'example.com/IN' from 10.224.45.130#53: failed while receiving responses: REFUSED

모든 구성을 반복해서 살펴보면 설정에 문제가 없습니다. masters슬레이브 영역 구성 설정에 마스터 서버의 IP 주소 가 있고 슬레이브 서버의 IP 주소가allow-transfer 마스터 옵션 설정의 설정.

모든 IP 주소는 원래 IP 주소와 일치하지 않기 때문에 공개 IP 주소를 사용하려고하거나 거부되는 것과 다릅니다. 두 서버의 포트 53 (및 953)에서 TCP / UDP 연결을 허용하도록 iptables를 설정했습니다. 슬레이브 영역 파일이 저장된 / slaves 디렉토리가 파일에 의해 쓰기 가능하도록 파일 권한을 올바르게 설정했습니다.named 사용자 .

내가 무엇을 하든지 항상 동일한 오류가 발생합니다. 누군가 내가 누락 된 것에 대해 실마리를 줄 수 있다면 정말 감사하겠습니다!


2
문제가 해결되는지 확인 allow-transfer하기 any위해 (일시적으로) 설정 을 시도 했습니까 ? 귀하의 allow-transfer조항은 정확 해 보이지만 문제가 발생할 가능성을 제거합니다.
voretaq7

아니요, 여전히 같은 오류가 발생합니다. 또한 경우에 따라 마스터 서버의 WAN IP 주소를 '마스터'설정에 추가하려고 시도했지만 문제가 해결되지 않았습니다.
Sarah Ryan

1
rndc reconfig마스터에서 구성을 변경 한 후 실행 했습니까 ?
Cakemox

답변:


3

시작하려면 영역 전송이 작동하는지 확인하십시오.

노예에서 dig @master your-domain을 발행하십시오. 도끼

어떤 버전의 BIND와 어떤 OS입니까?


이 명령의 출력과 로그로 내 질문을 업데이트했습니다. 일반 영역 전송 요청과 마찬가지로 거부 된 것으로 표시됩니다. 또한 버전 및 OS에 관한 정보를 추가했습니다. 중요한 정보를 남겨 두어 죄송합니다.
Sarah Ryan

1
dig 명령이 실패했다는 것은 여전히 ​​마스터에 문제가 있음을 나타냅니다. 위의 @ voretaq7은 합리적인 문제 해결 단계에 동의하는 것으로 허용 된 전송을 제안했습니다. 전송을 허용하기 위해 localhost를 추가하고 localhost의 마스터에서 dig 명령을 시도하십시오. 또한 마스터에서 "tcpdump -i any port 53"을 설정하여 소스 / 대상 IP 주소를 확인하십시오. "두 서버의 포트 53 (및 953)에서 TCP / UDP 연결을 허용하도록 iptables를 설정했습니다."라고 말하지만 마스터에서 "iptables -L -n -v"의 출력을 추가하십시오. 마스터에서 iptables를 종료하고 다시 테스트하십시오.
dmourati

전송 허용 설정에 localhost (및 가능한 다른 모든 호스트 이름 및 IP 주소)를 추가하고 여전히 같은 오류가 발생합니다. 요청한 iptables 명령의 출력을 추가하고 다시 시도하는 동안 iptables를 비활성화했습니다. 아직 운이 없다.
Sarah Ryan

3

문제를 찾았습니다. chrooted BIND를 사용하고 있지만 / var / named / chroot / etc가 아닌 / etc에서 conf 파일을 편집하고있었습니다. 그래서 내가 만든 변화는 보이지 않았습니다. conf 파일을 chroot 디렉토리에 복사했으며 이제 모두 정상적으로 작동합니다.


1
좋은 놈. 당신이 그것을 찾아서 다행입니다.
dmourati

1

에 이미 allow-transfer언급되어 있는 것처럼 보이지만 options명시 적을 추가하십시오.allow-transfer 영역 아래에 설명을 .

나는 당신의 구성에 실제로 아무것도 잘못 보지 않습니다. 그것은 것 같습니다 해야 작동합니다. 바인드가 해당 포트에서 수신 대기합니까? (즉, 아무거나 요청이 성공? 아니면 모두 실패합니까?)

글쎄, 시도해 볼만한 두 가지 아이디어가 더 있습니다.

  1. 두 서버 모두 시계가 최신 상태인지 확인하십시오 (적어도 합리적인 여유 범위 내).

  2. SELinux가 방해를받을 수 있습니다. 테스트를 위해 일시적으로 비활성화하십시오.


zone config에 allow-transfer 옵션을 넣으려고했는데 여전히 같은 오류가 발생합니다. 전송 요청 만 실패합니다. 모든 레코드 유형에 대해 서버에 성공적으로 쿼리하면 예상대로 반환됩니다. 그러나 영역 전송을 시도하면 거부 / 거부 됨 오류 메시지가 나타납니다.
Sarah Ryan

업데이트에 대한 답변을 확인하십시오.
bahamat
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.