绑定区域传输被拒绝

更新:

BIND版本:

[root@10.224.45.130] $ named -v BIND 9.3.6-P1-RedHat-9.3.6-16.P1.el5 

操作系统:

 CentOS release 5.6 (Final) 

运行后[root@10.224.45.131] $ dig @10.224.45.130 example.com. axfr [root@10.224.45.131] $ dig @10.224.45.130 example.com. axfr

奴隶:

 ; <<>> DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 <<>> @10.224.45.130 example.com. axfr ; (1 server found) ;; global options: printcmd ; Transfer failed. 

主:

 28-Aug-2011 12:29:01.384 client 10.224.45.131#60553: query: example.com IN AXFR - 28-Aug-2011 12:29:01.384 client 10.224.45.131#60553: zone transfer 'example.com/AXFR/IN' denied 

和以前一样的错误信息。

更新2:

 [root@10.224.45.130 ~] # iptables -L -n -v Chain INPUT (policy DROP 30235 packets, 1747K bytes) pkts bytes target prot opt in out source destination 171K 23M ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- tun0 * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- tap0 * 0.0.0.0/0 0.0.0.0/0 57196 6930K ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 688 57376 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 37869 6120K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 392 21216 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 1 64 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 74 5275 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 1 64 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:143 3 192 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:389 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 1 64 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:465 1 64 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:587 13 832 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:636 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:694 1 64 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:843 1 64 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:873 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:953 119 7584 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:993 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:993 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1194 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1194 1 48 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306 1 64 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5901 0 0 ACCEPT tcp -- * * 0.0.0.0/0 10.224.45.130 tcp dpt:10000 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:11211 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:11212 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:11213 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:11511 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:11512 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:11513 Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 2987 372K ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- * br0 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 Chain OUTPUT (policy ACCEPT 246K packets, 37M bytes) pkts bytes target prot opt in out source destination 

我可能已经看过每一个关于BIND主/从设置的页面,而且我不能让区域传输工作。

这是我的设置:( 向下滚动查看问题的描述)

主人: 10.224.45.130

的/etc/named.conf

 options { directory "/var/named"; version "unknown"; pid-file "/var/run/named/named.pid"; recursion yes; allow-recursion { localhost; localnets; }; notify explicit; allow-transfer { 10.224.45.131; }; also-notify { 10.224.45.131; }; }; zone "." { type hint; file "named.root"; }; zone "example.com" IN { type master; file "data/example.com.hosts"; }; 

奴隶: 10.224.45.131

的/etc/named.conf

 options { directory "/var/named"; version "unknown"; pid-file "/var/run/named/named.pid"; recursion yes; allow-recursion { localhost; localnets; }; notify yes; allow-transfer { "none"; }; allow-notify { 10.224.45.130; }; }; zone "." { type hint; file "named.root"; }; zone "example.com" IN { type slave; file "slaves/example.com.hosts"; masters { 10.224.45.130; }; }; 

这是问题。 当我重新启动在从属服务器上命名时,它看到区域文件还不存在,并请求从主服务器传输:

named.log(从)

 [10.224.45.131] zone example.com/IN: no database exists yet, requesting AXFR of initial version from 10.224.45.130#53 

…之后,主服务器收到转移请求:

named.log(主)

 [10.224.45.130] client 10.224.45.131#53467: query: example.com IN AXFR - 

…以及被拒绝的转移请求的答复:

named.log(主)

 [10.224.45.130] client 10.224.45.131#53467: zone transfer 'example.com/AXFR/IN' denied 

…在从服务器上显示为被拒绝:

named.log(从)

 [10.224.45.131] transfer of 'example.com/IN' from 10.224.45.130#53: failed while receiving responses: REFUSED 

一遍又一遍查看所有的configuration我找不到任何设置错误。 从服务器区域configuration的主服务器设置中列出了主服务器的IP地址,并且在主服务器选项设置的allow-transfer设置中列出了从服务器的IP地址。

所有的IP地址是他们应该是,它不是像试图使用公共IP地址,并被拒绝,因为IP地址不匹配。 我有iptables安装程序,以允许端口53(和953)在两台服务器上的TCP / UDP连接。 我已经正确设置了文件权限,以便存储从属区域文件的/ slaves目录可以由named用户写入。

不pipe我做什么,我总是得到这个相同的错误。 如果任何人都可以给我一个线索,我很想念我真的很感激!

要开始,请尝试validation区域传输是否有效。

在奴隶,问题dig @master您的域名。 AXFR

什么版本的BIND和什么操作系统?

发现问题。 我正在使用chrooted BIND,但我正在编辑/ etc中的conf文件,而不是/ var / named / chroot / etc。 所以我所做的改变没有被看到。 我将conf文件复制到chroot目录,现在一切正常。

可能看起来这已经被optionsallow-transfer语句覆盖了,但是尝试在该区域下添加一个明确的allow-transfer语句。

我真的不觉得你的configuration有什么问题。 它看起来应该工作。 绑定在那个端口上监听? (即,是否有任何要求成功?还是全部失败?)

那么,我有两个更值得尝试的想法。

  1. 确保你的时钟在两台服务器上都是最新的(至less在合理的范围内)。

  2. 你可能有SELinux干扰。 尝试暂时禁用它来testing。