绑定:客户端 X…区域传输‘example.com/AXFR/IN’被拒绝,但允许传输 {X;};已设置!

tag-icon tag-icon bind permissions domain-name-system
绑定:客户端 X…区域传输‘example.com/AXFR/IN’被拒绝,但允许传输 {X;};已设置!

当我尝试启动区域传输时,访问被拒绝。

dig @ns.example.com example.com axfr得到了

client 71.252.219.43#58392: zone transfer 'balticovo.eu/AXFR/IN' denied

配置:

  1. 服务器是NATed防火墙后面。如果是防火墙问题,我将不会在我的计算机日志文件中看到有这样的请求。
  2. 命名进程以 chrooted 中的绑定用户身份运行/var/lib/named

  3. 命名的.conf:

    web:/var/lib/named/etc# cat named.conf
options {
    directory "/etc";
    pid-file "/var/run/named.pid";
    statistics-file "/var/run/named.stats";
    allow-transfer { 127.0.0.1; };
    listen-on port 53 { any; };
    listen-on-v6 port 53 { any; };
};

logging {
    category default { default_syslog; default_debug; };
    category unmatched { null; };

    channel default_syslog {
        syslog daemon;
        severity info;
    };

    channel default_debug {
        file "named.run";
        severity dynamic;
    };

    channel default_stderr {
        stderr;
        severity info;
    };

    channel null {
        null;
    };
};

zone "." {
    type hint;
    file "/etc/root.hints";
};

zone "localhost" {
    type master;
    file "/etc/localhost";
};

zone "0.0.127.in-addr.arpa" {
    type master;
    file "/etc/127.0.0";
};

zone "example.com" IN {
        type master;
        file "sites/example.com/forward.zone";
        allow-transfer { 202.157.182.142; 71.252.219.43; };
        allow-update { none; };
        allow-query { any; };
        zone-statistics yes;
};
  4. 所有文件都归 bind 所有。并且命名进程真正由 chrooted 用户运行。
  5. 除 axfr 记录之外的挖掘工作。
  6. named -v输出BIND 9.6-ESV-R3

答案1

问题现在已经解决。我做了相当大的改变:

  1. 通过某些文件权限来加强安全性(这可能并非事实,因为在此之前它们也是可以的)
  2. 没有准备好 rndc 配置。生成密钥并设置 rndc。

  3. 然后......当我在named.conf中进行更改并重新启动时,似乎之前的进程并没有被终止,但是新的进程产生了,并且我的日志中出现了这样的几行:

    Jan 25 15:43:22 web named[18863]: listening on IPv6 interfaces, port 53
Jan 25 15:43:22 web named[18863]: binding TCP socket: address in use
Jan 25 15:43:22 web named[18863]: listening on IPv4 interface lo, 127.0.0.1#53
Jan 25 15:43:22 web named[18863]: binding TCP socket: address in use
Jan 25 15:43:22 web named[18863]: listening on IPv4 interface eth0, 10.3.0.10#53
Jan 25 15:43:22 web named[18863]: binding TCP socket: address in use
...
Jan 25 15:43:22 web named[18863]: /etc/named.conf:12: couldn't add command channel 0.0.0.0#953: address in use

    现在我killall named这样做了/etc/init.d/bind9 start,并且一切都顺利。

可能第三点解决了这个问题,因为当我更改 named.conf 时,它实际上并没有与最新的 conf 文件一起工作。

相关内容