bind: cliente X… transferência de zona 'example.com/AXFR/IN' negada, mas permitir transferência {X; }; está pronto!

2

Eu tenho acesso negado ao tentar iniciar a transferência de zona.

Por dig @ns.example.com example.com axfr estou recebendo

client 71.252.219.43#58392: zone transfer 'balticovo.eu/AXFR/IN' denied

Configuração:

  1. O servidor é NATed , por trás do firewall . Se fosse emitir firewalls, eu não veria nos arquivos de log do meu computador que tal solicitação foi feita.
  2. o processo denominado é executado como usuário de ligação que é chrooted em /var/lib/named .
  3. named.conf:

    web:/var/lib/named/etc# cat named.conf
    options {
        directory "/etc";
        pid-file "/var/run/named.pid";
        statistics-file "/var/run/named.stats";
        allow-transfer { 127.0.0.1; };
        listen-on port 53 { any; };
        listen-on-v6 port 53 { any; };
    };
    
    logging {
        category default { default_syslog; default_debug; };
        category unmatched { null; };
    
        channel default_syslog {
            syslog daemon;
            severity info;
        };
    
        channel default_debug {
            file "named.run";
            severity dynamic;
        };
    
        channel default_stderr {
            stderr;
            severity info;
        };
    
        channel null {
            null;
        };
    };
    
    zone "." {
        type hint;
        file "/etc/root.hints";
    };
    
    zone "localhost" {
        type master;
        file "/etc/localhost";
    };
    
    zone "0.0.127.in-addr.arpa" {
        type master;
        file "/etc/127.0.0";
    };
    
    zone "example.com" IN {
            type master;
            file "sites/example.com/forward.zone";
            allow-transfer { 202.157.182.142; 71.252.219.43; };
            allow-update { none; };
            allow-query { any; };
            zone-statistics yes;
    };   
    
  4. Todos os arquivos são de propriedade de bind. E o processo nomeado é realmente executado pelo usuário chrooted.
  5. Escavação diferente de trabalhos de registro do axfr.
  6. named -v outputs BIND 9.6-ESV-R3
por Janis Veinbergs 25.01.2011 / 13:29

2 respostas

3

O problema foi resolvido agora. Eu fiz grandes mudanças:

  1. Apertar a segurança de algumas permissões para arquivos (isso provavelmente não é o caso, porque eles estavam bem antes disso também)
  2. Não tinha configuração do rndc no lugar. Chave gerada e configurada rndc.
  3. E então .... quando eu estava fazendo alterações no named.conf e reiniciado, parece que o processo anterior não foi morto, mas novos apareceram e eu tinha essas linhas no meu log:

    Jan 25 15:43:22 web named[18863]: listening on IPv6 interfaces, port 53
    Jan 25 15:43:22 web named[18863]: binding TCP socket: address in use
    Jan 25 15:43:22 web named[18863]: listening on IPv4 interface lo, 127.0.0.1#53
    Jan 25 15:43:22 web named[18863]: binding TCP socket: address in use
    Jan 25 15:43:22 web named[18863]: listening on IPv4 interface eth0, 10.3.0.10#53
    Jan 25 15:43:22 web named[18863]: binding TCP socket: address in use
    ...
    Jan 25 15:43:22 web named[18863]: /etc/named.conf:12: couldn't add command channel 0.0.0.0#953: address in use
    

    Agora eu consegui killall named e, em seguida, /etc/init.d/bind9 start e tudo correu bem.

Provavelmente, o terceiro ponto resolveu o problema, porque quando eu estava mudando o named.conf, ele não estava trabalhando com o último arquivo conf.

    
por 25.01.2011 / 14:55
1

Seu arquivo de configuração mostra apenas uma opção de transferência de permissão para o 127.0.0.1, que é provavelmente o motivo pelo qual seu cliente está sendo negado. Você precisaria modificar sua configuração para incluir algo como:

allow-transfer { 127.0.0.1; 71.252.219.43; };

(Assumindo que 71.252.219.43 é o endereço do cliente do qual você espera poder fazer transferências de zona.)

    
por 25.01.2011 / 13:56