बिंद अंचल के स्थानांतरण से इंकार


10

अपडेट करें:

BIND संस्करण:

[root@10.224.45.130] $ named -v
BIND 9.3.6-P1-RedHat-9.3.6-16.P1.el5

ऑपरेटिंग सिस्टम:

CentOS release 5.6 (Final)

चलाने के बाद [root@10.224.45.131] $ dig @10.224.45.130 example.com. axfr:

दास:

; <<>> DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 <<>> @10.224.45.130 example.com. axfr
; (1 server found)
;; global options:  printcmd
; Transfer failed.

गुरुजी:

28-Aug-2011 12:29:01.384 client 10.224.45.131#60553: query: example.com IN AXFR -
28-Aug-2011 12:29:01.384 client 10.224.45.131#60553: zone transfer 'example.com/AXFR/IN' denied

पहले जैसा ही त्रुटि संदेश।

अद्यतन 2:

[root@10.224.45.130 ~] # iptables -L -n -v
Chain INPUT (policy DROP 30235 packets, 1747K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 171K   23M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  tun0   *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  tap0   *       0.0.0.0/0            0.0.0.0/0           
57196 6930K ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0           
  688 57376 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 
37869 6120K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
  392 21216 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53 
   74  5275 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:53 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:110 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:143 
    3   192 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:389 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:465 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:587 
   13   832 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:636 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:694 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:843 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:873 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:953 
  119  7584 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:993 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:993 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:1194 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:1194 
    1    48 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3306 
    1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5901 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            10.224.45.130       tcp dpt:10000 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11211 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11212 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11213 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11511 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11512 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:11513 

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 2987  372K ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      br0     0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443 

Chain OUTPUT (policy ACCEPT 246K packets, 37M bytes)
 pkts bytes target     prot opt in     out     source               destination

मैंने शायद हर एक पेज को BIND मास्टर / स्लेव सेटअप के बारे में देखा है, और मैं अपने जीवन के लिए ज़ोन स्थानांतरण कार्य नहीं कर सकता।

यहाँ मेरा सेटअप है: (समस्या के विवरण के लिए नीचे स्क्रॉल करें)

मास्टर: 10.224.45.130

/etc/named.conf

options {
    directory "/var/named";
    version "unknown";
    pid-file "/var/run/named/named.pid";
    recursion yes;
    allow-recursion { localhost; localnets; };
    notify explicit;
    allow-transfer {
        10.224.45.131;
    };
    also-notify {
        10.224.45.131;
    };
};

zone "." {
    type hint;
    file "named.root";
};

zone "example.com" IN {
    type master;
    file "data/example.com.hosts";
};

दास: 10.224.45.131

/etc/named.conf

options {
    directory "/var/named";
    version "unknown";
    pid-file "/var/run/named/named.pid";
    recursion yes;
    allow-recursion { localhost; localnets; };
    notify yes;
    allow-transfer { "none"; };
    allow-notify {
        10.224.45.130;
    };
};

zone "." {
    type hint;
    file "named.root";
};

zone "example.com" IN {
    type slave;
    file "slaves/example.com.hosts";
    masters {
        10.224.45.130;
    };
};

यहाँ समस्या है। जब मैं दास सर्वर पर नाम फिर से शुरू करता हूं तो यह देखता है कि ज़ोन फाइलें अभी तक मौजूद नहीं हैं और मास्टर सर्वर से स्थानांतरण का अनुरोध करता है:

नाम.लॉग (दास)

[10.224.45.131] zone example.com/IN: no database exists yet, requesting AXFR of initial version from 10.224.45.130#53

... जिसके बाद मास्टर सर्वर स्थानांतरण अनुरोध प्राप्त करता है:

name.log (मास्टर)

[10.224.45.130] client 10.224.45.131#53467: query: example.com IN AXFR -

... और स्थानांतरण अनुरोध के साथ जवाब देता है, जो अस्वीकृत हो जाता है:

name.log (मास्टर)

[10.224.45.130] client 10.224.45.131#53467: zone transfer 'example.com/AXFR/IN' denied

... गुलाम सर्वर पर यह दिखावा किया जा रहा है:

नाम.लॉग (दास)

[10.224.45.131] transfer of 'example.com/IN' from 10.224.45.130#53: failed while receiving responses: REFUSED

बार-बार सभी कॉन्फिग को देखते हुए मैं सेटिंग्स में कुछ भी गलत नहीं पा सकता हूं। मेरे पास mastersदास क्षेत्र कॉन्फ़िगरेशन की सेटिंग में सूचीबद्ध मास्टर सर्वर का आईपी पता है, मेरे पास allow-transferमास्टर विकल्प सेटिंग्स की सेटिंग में दास सर्वर का आईपी पता है ।

सभी IP पते वही हैं जो उन्हें होना चाहिए, ऐसा नहीं है कि यह सार्वजनिक IP पते का उपयोग करने की कोशिश कर रहा है और अस्वीकार किया जा रहा है क्योंकि IP पता मेल नहीं खाता है। मेरे पास दोनों सर्वरों पर पोर्ट 53 (और 953) पर टीसीपी / यूडीपी कनेक्शन की अनुमति देने के लिए आईपीटैबल्स सेटअप है। मैंने फ़ाइल अनुमतियों को ठीक से सेटअप किया है ताकि / गुलाम निर्देशिका जहां दास ज़ोन फ़ाइलों को संग्रहीत किया जाता है वह namedउपयोगकर्ता द्वारा लिखने योग्य हो ।

कोई फर्क नहीं पड़ता कि मैं क्या करता हूं मुझे हमेशा यही त्रुटि मिलती है। अगर कोई मुझे एक सुराग दे सकता है कि मैं क्या याद कर रहा हूं तो मैं वास्तव में इसकी सराहना करूंगा!


2
क्या आपने (अस्थायी रूप से) यह देखने के लिए सेटिंग की allow-transferहै anyकि क्या समस्या को ठीक करता है? आपका allow-transferक्लॉज सही दिखता है, लेकिन यह समस्याओं के किसी भी अवसर को समाप्त कर देगा ...
voretaq7

नहीं, अभी भी वही त्रुटि हो रही है। मैंने सिर्फ मास्टर सर्वर के WAN IP पते को 'मास्टर्स' सेटिंग में जोड़ने की कोशिश की, बस मामले में, और यह भी इसे ठीक नहीं किया।
सारा रयान

1
क्या आपने rndc reconfigमास्टर पर कॉन्फ़िगरेशन बदलने के बाद भाग लिया था ?
कैकेमोक्स

जवाबों:


3

प्रारंभ करने के लिए, यह सत्यापित करने का प्रयास करें कि ज़ोन स्थानांतरण कार्य करता है।

दास पर, डिमांड को जारी करें @master- डोमेन। AXFR

BIND के संस्करण और क्या OS?


मैंने इस कमांड के आउटपुट और लॉग के साथ अपना प्रश्न अपडेट किया है। यह दिखाता है कि इसे नियमित क्षेत्र स्थानांतरण अनुरोध की तरह ही नकारा जा रहा है। मैंने संस्करण और OS से संबंधित जानकारी भी जोड़ी है। उस महत्वपूर्ण जानकारी को छोड़ने के लिए क्षमा करें।
सारा रयान

1
ठीक है, इसलिए यह तथ्य कि खुदाई आदेश विफल रहता है, यह दर्शाता है कि मास्टर पर अभी भी कोई समस्या है। @ voretaq7 ऊपर दिए गए सुझाव-हस्तांतरण में से किसी से भी सहमत है जो एक उचित समस्या निवारण कदम है। अनुमति-ट्रांसफ़र में लोकलहोस्ट को जोड़ें, लोकलहोस्ट में मास्टर से डिजीट कमांड का प्रयास करें। साथ ही स्रोत / गंतव्य आईपी पते को सत्यापित करने के लिए मास्टर पर "tcpdump -i any port 53" सेटअप करें। आप कहते हैं, "मेरे पास IPTables सेटअप है, जो दोनों सर्वरों पर पोर्ट 53 (और 953) पर टीसीपी / यूडीपी कनेक्शन की अनुमति देता है", लेकिन कृपया मास्टर पर "iptables -L -n -v" का आउटपुट जोड़ें। वह मास्टर या रेटेस्ट पर iptables बंद कर देता है।
dmourati

मैंने अनुमति-हस्तांतरण सेटिंग में लोकलहोस्ट (साथ ही अन्य सभी होस्टनाम और आईपी पते जो संभवतः हो सकते हैं) को जोड़ा है और मुझे अभी भी वही त्रुटि मिल रही है। मैंने आपके द्वारा अनुरोध किए गए iptables कमांड से आउटपुट जोड़ा है, साथ ही फिर से कोशिश करते हुए iptables को अक्षम कर दिया है। फिर भी नसीब नहीं।
सारा रयान

3

समस्या मिली। मैं एक काटे हुए BIND का उपयोग कर रहा हूँ, लेकिन मैं / / आदि में / या नहीं / var / नाम / chroot / आदि की फाइलों को संपादित कर रहा था। इसलिए जो बदलाव मैं कर रहा था, वह देखा नहीं जा रहा था। मैं chroot निर्देशिका में फाइल की प्रतिलिपि बनाई और यह सब अब ठीक काम करता है।


1
अच्छा राजभाषा 'चुरोट। खुशी है कि आप इसे पा गए।
dmourati

1

ऐसा लग सकता है कि यह पहले से ही allow-transferबयान द्वारा कवर किया गया है options, लेकिन allow-transferज़ोन के तहत एक स्पष्ट कथन जोड़ने का प्रयास करें ।

मैं वास्तव में आपके कॉन्फिग में कुछ भी गलत नहीं देखता हूं। ऐसा लग रहा है कि यह काम करना चाहिए । क्या उस बंदरगाह पर बाँध सुन रहे हैं? (अर्थात, क्या कोई अनुरोध सफल होता है? या क्या वे सभी विफल होते हैं?)

खैर, मुझे कोशिश करने लायक दो और विचार मिले हैं।

  1. सुनिश्चित करें कि आपकी घड़ियां दोनों सर्वरों पर (कम से कम एक उचित मार्जिन के भीतर) अप टू डेट हैं।

  2. आपके पास SELinux हस्तक्षेप हो सकता है। परीक्षण करने के लिए इसे अस्थायी रूप से अक्षम करने का प्रयास करें।


मैंने ज़ोन कॉन्फ़िगर में अनुमति-हस्तांतरण विकल्प डालने की कोशिश की है और यह अभी भी मुझे वही त्रुटि दे रहा है। यह केवल स्थानांतरण अनुरोध हैं जो विफल होते हैं। मैं किसी भी प्रकार के रिकॉर्ड के लिए सर्वर को सफलतापूर्वक क्वेरी कर सकता हूं और यह उम्मीद के मुताबिक इसे वापस कर देगा। लेकिन जब मैं ज़ोन ट्रांसफ़र करने की कोशिश करता हूँ तो मुझे नकार दिया जाता है / त्रुटि संदेश को दोहराया जाता है।
सारा रयान

अपडेट के लिए मेरे उत्तर की जांच करें।
bahamat
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.