Portál AbcLinuxu, 16. července 2025 15:27


Dotaz: zone transfer 'milde.cz/AXFR/IN' denied

24.4.2009 17:02 Dundee5 | skóre: 17 | blog: Dundee5 | Praha
zone transfer 'milde.cz/AXFR/IN' denied
Přečteno: 465×
Odpovědět | Admin
Cau, snazim se ted zprovoznit si zalozni DNSko, ale bojuju s tim uz dva dny a stale mi nejde provest transfer na jiny stroj.

Master hlasi: client 90.177.20.149#58741: zone transfer 'milde.cz/AXFR/IN' denied

Pritom ale v named.conf.local mam:

acl "my" { 90.177.20.149; };

zone "milde.cz" { type master; file "/etc/bind/milde.cz.hosts"; allow-transfer {"my";}; };

Transfer zony testuju prikazem: dig @77.93.192.212 milde.cz. axfr

Normalni dotaz na domenu probehne v poradku, transfer uz ne.

Kdo se vzdá svobody, aby získal jistotu, ztratí nakonec obojí. --Benjamin Franklin
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

24.4.2009 17:20 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: zone transfer 'milde.cz/AXFR/IN' denied
Odpovědět | | Sbalit | Link | Blokovat | Admin
Máte na mezilehlých firewallech povolen port 53 pro protokol TCP?
24.4.2009 17:26 Dundee5 | skóre: 17 | blog: Dundee5 | Praha
Rozbalit Rozbalit vše Re: zone transfer 'milde.cz/AXFR/IN' denied
Na obou počítačích jede Bind a oba odpovídají na DNS dotazy, takže bych řekl, že ve firewallu chyba nebude. Práva všech složek vypadají také v pořádku.

/etc/bind má sgid bit a je zapisovatelná bindem. všechny soubory v /etc/bind patří bindu a jsou zapisovatelné.
Kdo se vzdá svobody, aby získal jistotu, ztratí nakonec obojí. --Benjamin Franklin
24.4.2009 17:32 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: zone transfer 'milde.cz/AXFR/IN' denied
Dotazy a odpovědi jdou protokolem UDP, transfer zóny protokolem TCP, takže ve firewallu klidně problém být může. Pokud nepředpokládáte obří odpovědi (aby se na TCP přepnulo i klasické resolvování po odpovědi „odpověď je příliš velká“), povoluje se běžně na firewallu pro DNS jen protokol UDP…
24.4.2009 17:34 Dundee5 | skóre: 17 | blog: Dundee5 | Praha
Rozbalit Rozbalit vše Re: zone transfer 'milde.cz/AXFR/IN' denied
V iptables je:

ACCEPT tcp -- anywhere anywhere tcp dpt:domain

takže firewallem to snad není.
Kdo se vzdá svobody, aby získal jistotu, ztratí nakonec obojí. --Benjamin Franklin
24.4.2009 17:40 Dundee5 | skóre: 17 | blog: Dundee5 | Praha
Rozbalit Rozbalit vše Re: zone transfer 'milde.cz/AXFR/IN' denied
Změnil jsem acl na:

acl "my" { "any"; };

Takže můžete zkusit, že transfer opravdu nejde, ale Bind na něj odpoví.
Kdo se vzdá svobody, aby získal jistotu, ztratí nakonec obojí. --Benjamin Franklin
24.4.2009 17:53 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: zone transfer 'milde.cz/AXFR/IN' denied
Bind mi na něj odpoví Refused. Pokud ta IP adresa v Bindu je zadaná opravdu správně (je to ta, kterou vidí Bind při komunikaci), podívejte se asi do logů, zda tam Bind nepíše něco o tom, proč přenos zamítl.
24.4.2009 18:01 Dundee5 | skóre: 17 | blog: Dundee5 | Praha
Rozbalit Rozbalit vše Re: zone transfer 'milde.cz/AXFR/IN' denied
Právě, že v logu není skoro nic.

daemon.log: Apr 24 17:50:40 milde named[2595]: client 195.47.67.222#60688: zone transfer 'milde.cz/AXFR/IN' denied

V syslogu to same.
Kdo se vzdá svobody, aby získal jistotu, ztratí nakonec obojí. --Benjamin Franklin
24.4.2009 18:15 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: zone transfer 'milde.cz/AXFR/IN' denied
Tak pro tuhle IP adresu mne to ani nepřekvapuje :-) A pro tu vaši to hlásí stejnou chybu?
24.4.2009 17:40 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: zone transfer 'milde.cz/AXFR/IN' denied
Tomu vyhoví pakety směřující od sekundárního serveru k masteru, ale pakety v opačném směru mají zdrojový port 53 a cílový port nějaký vysoký náhodně zvolený. Ale pokud máte na firewallu nastaveno ACCEPT i pro protokol TCP pro stav established, mělo by to přes firewall projít. Nicméně stejně bych na tom sekundárním serveru ověřil tcpdumpem, že komunikace je v pořádku a spojení proběhne korektně.
24.4.2009 17:46 Dundee5 | skóre: 17 | blog: Dundee5 | Praha
Rozbalit Rozbalit vše Re: zone transfer 'milde.cz/AXFR/IN' denied
Vrátí se mi zpět DNS response, kde je: Reply code: Refused (5)

Kdo se vzdá svobody, aby získal jistotu, ztratí nakonec obojí. --Benjamin Franklin
24.4.2009 17:50 Dundee5 | skóre: 17 | blog: Dundee5 | Praha
Rozbalit Rozbalit vše Re: zone transfer 'milde.cz/AXFR/IN' denied
Jinak je to na Debianu Lennym a apparmor tam vubec neni, takze na problem s pravy sluzby to taky nevypada.
Kdo se vzdá svobody, aby získal jistotu, ztratí nakonec obojí. --Benjamin Franklin
24.4.2009 18:06 Dundee5 | skóre: 17 | blog: Dundee5 | Praha
Rozbalit Rozbalit vše Re: zone transfer 'milde.cz/AXFR/IN' denied
Odpovědět | | Sbalit | Link | Blokovat | Admin
Možná to bude mít něco společného s tím, že Bind není schopen resolvovat adresy (ale nevím proč).

network unreachable resolving 'ns0.xname.org/A/IN': 2001:503:ba3e::2:30#53
Kdo se vzdá svobody, aby získal jistotu, ztratí nakonec obojí. --Benjamin Franklin
24.4.2009 19:14 Dundee5 | skóre: 17 | blog: Dundee5 | Praha
Rozbalit Rozbalit vše Re: zone transfer 'milde.cz/AXFR/IN' denied
Odpovědět | | Sbalit | Link | Blokovat | Admin
Neuvěřitelné, vyřešeno rebootem master serveru. Nechápu.
Kdo se vzdá svobody, aby získal jistotu, ztratí nakonec obojí. --Benjamin Franklin

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.