bind: cliente X… transferência de zona 'example.com/AXFR/IN' negada, mas permitir transferência {X; }; está pronto!

Navegue suas respostas
2

Eu tenho acesso negado ao tentar iniciar a transferência de zona.

Por dig @ns.example.com example.com axfr estou recebendo 

client 71.252.219.43#58392: zone transfer 'balticovo.eu/AXFR/IN' denied

Configuração:

  1. O servidor é NATed , por trás do firewall . Se fosse emitir firewalls, eu não veria nos arquivos de log do meu computador que tal solicitação foi feita.
  2. o processo denominado é executado como usuário de ligação que é chrooted em /var/lib/named .

  3. named.conf: 

    web:/var/lib/named/etc# cat named.conf
options {
    directory "/etc";
    pid-file "/var/run/named.pid";
    statistics-file "/var/run/named.stats";
    allow-transfer { 127.0.0.1; };
    listen-on port 53 { any; };
    listen-on-v6 port 53 { any; };
};

logging {
    category default { default_syslog; default_debug; };
    category unmatched { null; };

    channel default_syslog {
        syslog daemon;
        severity info;
    };

    channel default_debug {
        file "named.run";
        severity dynamic;
    };

    channel default_stderr {
        stderr;
        severity info;
    };

    channel null {
        null;
    };
};

zone "." {
    type hint;
    file "/etc/root.hints";
};

zone "localhost" {
    type master;
    file "/etc/localhost";
};

zone "0.0.127.in-addr.arpa" {
    type master;
    file "/etc/127.0.0";
};

zone "example.com" IN {
        type master;
        file "sites/example.com/forward.zone";
        allow-transfer { 202.157.182.142; 71.252.219.43; };
        allow-update { none; };
        allow-query { any; };
        zone-statistics yes;
};
  4. Todos os arquivos são de propriedade de bind. E o processo nomeado é realmente executado pelo usuário chrooted.
  5. Escavação diferente de trabalhos de registro do axfr.
  6. named -v outputs BIND 9.6-ESV-R3
por Janis Veinbergs 25.01.2011 / 13:29

2 respostas

3

O problema foi resolvido agora. Eu fiz grandes mudanças:

  1. Apertar a segurança de algumas permissões para arquivos (isso provavelmente não é o caso, porque eles estavam bem antes disso também)
  2. Não tinha configuração do rndc no lugar. Chave gerada e configurada rndc.

  3. E então .... quando eu estava fazendo alterações no named.conf e reiniciado, parece que o processo anterior não foi morto, mas novos apareceram e eu tinha essas linhas no meu log: 

    Jan 25 15:43:22 web named[18863]: listening on IPv6 interfaces, port 53
Jan 25 15:43:22 web named[18863]: binding TCP socket: address in use
Jan 25 15:43:22 web named[18863]: listening on IPv4 interface lo, 127.0.0.1#53
Jan 25 15:43:22 web named[18863]: binding TCP socket: address in use
Jan 25 15:43:22 web named[18863]: listening on IPv4 interface eth0, 10.3.0.10#53
Jan 25 15:43:22 web named[18863]: binding TCP socket: address in use
...
Jan 25 15:43:22 web named[18863]: /etc/named.conf:12: couldn't add command channel 0.0.0.0#953: address in use

    Agora eu consegui killall named e, em seguida, /etc/init.d/bind9 start e tudo correu bem.

Provavelmente, o terceiro ponto resolveu o problema, porque quando eu estava mudando o named.conf, ele não estava trabalhando com o último arquivo conf.

    
por 25.01.2011 / 14:55
1

Seu arquivo de configuração mostra apenas uma opção de transferência de permissão para o 127.0.0.1, que é provavelmente o motivo pelo qual seu cliente está sendo negado. Você precisaria modificar sua configuração para incluir algo como: 

allow-transfer { 127.0.0.1; 71.252.219.43; };

(Assumindo que 71.252.219.43 é o endereço do cliente do qual você espera poder fazer transferências de zona.)

    
por 25.01.2011 / 13:56

Tags

rota BSD (8) erro da página MAN Como alterar a frequência de atualização do NTP