绑定区域传输被拒绝

10

更新：

绑定版本：

[root@10.224.45.130] $ named -v
BIND 9.3.6-P1-RedHat-9.3.6-16.P1.el5

操作系统：

CentOS release 5.6 (Final)

运行后[root@10.224.45.131] $ dig @10.224.45.130 example.com. axfr：

奴隶：

; <<>> DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 <<>> @10.224.45.130 example.com. axfr
; (1 server found)
;; global options:  printcmd
; Transfer failed.

主：

28-Aug-2011 12:29:01.384 client 10.224.45.131#60553: query: example.com IN AXFR -
28-Aug-2011 12:29:01.384 client 10.224.45.131#60553: zone transfer 'example.com/AXFR/IN' denied

与以前相同的错误消息。

更新2：

[root@10.224.45.130 ~] # iptables -L -n -v
Chain INPUT (policy DROP 30235 packets, 1747K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 171K   23M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  tun0   *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  tap0   *       0.0.0.0/0            0.0.0.0/0           
57196 6930K ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0           
  688 57376 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 
37869 6120K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
  392 21216 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53 
   74  5275 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:53 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:110 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:143 
    3   192 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:389 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:465 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:587 
   13   832 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:636 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:694 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:843 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:873 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:953 
  119  7584 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:993 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:993 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:1194 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:1194 
    1    48 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3306 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5901 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            10.224.45.130       tcp dpt:10000 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11211 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11212 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11213 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11511 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11512 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11513 

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 2987  372K ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      br0     0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443 

Chain OUTPUT (policy ACCEPT 246K packets, 37M bytes)
 pkts bytes target     prot opt in     out     source               destination

我可能已经看过有关BIND主/从设置的每个页面，而我一生都无法使区域传输正常工作。

这是我的设置：（向下滚动以查看问题的描述）

硕士： 10.224.45.130

/etc/named.conf

options {
    directory "/var/named";
    version "unknown";
    pid-file "/var/run/named/named.pid";
    recursion yes;
    allow-recursion { localhost; localnets; };
    notify explicit;
    allow-transfer {
        10.224.45.131;
    };
    also-notify {
        10.224.45.131;
    };
};

zone "." {
    type hint;
    file "named.root";
};

zone "example.com" IN {
    type master;
    file "data/example.com.hosts";
};

从站： 10.224.45.131

/etc/named.conf

options {
    directory "/var/named";
    version "unknown";
    pid-file "/var/run/named/named.pid";
    recursion yes;
    allow-recursion { localhost; localnets; };
    notify yes;
    allow-transfer { "none"; };
    allow-notify {
        10.224.45.130;
    };
};

zone "." {
    type hint;
    file "named.root";
};

zone "example.com" IN {
    type slave;
    file "slaves/example.com.hosts";
    masters {
        10.224.45.130;
    };
};

这是问题所在。当我在从属服务器上重新启动named时，它会看到区域文件尚不存在，并请求从主服务器进行传输：

named.log（从属）

[10.224.45.131] zone example.com/IN: no database exists yet, requesting AXFR of initial version from 10.224.45.130#53

...之后主服务器收到转移请求：

named.log（Master）

[10.224.45.130] client 10.224.45.131#53467: query: example.com IN AXFR -

...并回复转移请求，该请求被拒绝：

named.log（Master）

[10.224.45.130] client 10.224.45.131#53467: zone transfer 'example.com/AXFR/IN' denied

...在从属服务器上，它显示为已被拒绝：

named.log（从属）

[10.224.45.131] transfer of 'example.com/IN' from 10.224.45.130#53: failed while receiving responses: REFUSED

一遍又一遍地查看所有配置，我发现设置没有任何问题。masters在从属区域配置的设置中列出了主服务器的IP地址allow-transfer，在主选项设置的设置中列出了从属服务器的IP地址。

所有IP地址都是应有的样子，这并不是在尝试使用公共IP地址，而是因为IP地址不匹配而被拒绝。我有iptables设置，以允许两台服务器上的端口53（和953）上的TCP / UDP连接。我已经正确设置了文件许可权，以便named用户可以写入存储从属区域文件的/ slaves目录。

无论我做什么，我总是会遇到同样的错误。如果有人可以提供我所缺少的线索，我将非常感激！

— 莎拉·瑞安（Sarah Ryan）
source

2

您是否尝试过（暂时）设置allow-transfer来any看看是否能解决这个问题？您的allow-transfer条款看起来是正确的，但这将消除出现问题的任何可能性……

— voretaq7 2011年

不，仍然出现相同的错误。我还尝试将主服务器的WAN IP地址添加到“主服务器”设置中，以防万一，但这也没有解决。

— 莎拉·瑞安

1

您rndc reconfig更改了主服务器上的配置后是否运行了？

— Cakemox 2011年

3

首先，请尝试验证区域传输是否正常。

在从属服务器上，发出dig @master your-domain。axfr

什么版本的BIND和什么操作系统？

— 杜莫拉蒂
source

我已经用该命令的输出和日志更新了我的问题。它显示它被拒绝，就像在常规区域传输请求中一样。我还添加了有关版本和操作系统的信息。很抱歉遗漏了这些重要信息。

— 莎拉·瑞安

1

好的，因此dig命令失败的事实表明主机上仍然存在问题。上面的@ voretaq7建议允许转移到我同意的任何位置，这是合理的故障排除步骤。将本地主机添加到allow-transsfer，尝试从本地主机的dig命令。还要在主服务器上设置“ tcpdump -i any port 53”以验证源/目标IP地址。您说“我已经设置了iptables来允许两个服务器上的端口53（和953）上的TCP / UDP连接”，但是请在主服务器上添加“ iptables -L -n -v”的输出。那或关闭主机上的iptables并重新测试。

— dmourati

我已经将localhost（以及可能的所有其他主机名和IP地址）添加到allow-transfer设置中，但仍然遇到相同的错误。我添加了您请求的iptables命令的输出，以及在重试时禁用了iptables。仍然没有运气。

— 莎拉·瑞安

3

找到了问题。我正在使用chroot的BIND，但是我在/ etc中而不是/ var / named / chroot / etc中编辑conf文件。因此，我所做的更改没有被看到。我将conf文件复制到chroot目录，现在一切正常。

— 莎拉·瑞安（Sarah Ryan）
source

1

很好，chroot。很高兴您找到了它。

— dmourati 2011年

1

似乎已经被中的allow-transfer语句覆盖了options，但是请尝试allow-transfer在区域下方添加显式语句。

我真的没有看到您的配置有什么问题。看起来应该可以使用。绑定是否在该端口上监听？（即，任何请求成功吗？还是全部失败？）

好吧，我还有两个值得尝试的想法。

确保两台服务器上的时钟都是最新的（至少在合理范围内）。
您可能会干扰SELinux。尝试暂时禁用它以进行测试。

— 巴哈马
source

我尝试将allow-transfer选项放在区域配置中，它仍然给我同样的错误。只是传输请求失败。我可以成功查询服务器的任何记录类型，它将按预期返回它。但是，当我尝试进行区域传输时，会收到拒绝/拒绝的错误消息。

— 莎拉·瑞安

检查我的答案以进行更新。

— bahamat 2011年