为什么我的 DNS 服务器会拒绝 IXFR 和 AXFR 传输?

为什么我的 DNS 服务器会拒绝 IXFR 和 AXFR 传输?

从我研究和尝试的一切来看,我的 named.conf 似乎配置正确,包括允许传输部分。

编辑 我刚刚删除了允许传输块并重新启动了绑定。现在应该允许任何人进行转移。之前可以的服务器仍然可以,但是之前有问题的两台服务器仍然被拒绝! 编辑

以下是错误示例。这种情况只发生在我的几台辅助服务器上,但对于发生故障的服务器,每个区域都会发生这种情况。其中一个服务器正在尝试 IXFR,另一个正在尝试 AXFR。结果相同:

18-Mar-2011 14:27:51.372 security: error: client 84.234.24.90#59208: zone transfer 'juansgaranton.com/IXFR/IN' denied

18-Mar-2011 14:32:18.015 security: error: client 174.37.196.55#50783: zone transfer 'cheshirecat.net/AXFR/IN' denied

这是named.conf的相关部分。

options {
        directory "/etc/bind";
        pid-file "/var/run/named/named.pid";
        files 4096;

        allow-transfer { 140.186.190.103; 84.234.24.90; 207.246.95.34;
                         203.20.52.5; 140.186.190.103; 127.0.0.1; 174.37.196.55; };
};

logging {
channel "bind" {
    file "/var/log/bind.log" versions 3;
    print-time yes;
    print-severity yes;
    print-category yes;
    severity info;
};

category lame-servers { null; };
category "default" { "bind"; };
};

答案1

我知道这个问题已经很老了并且已经得到解答了,但我想提出另一个让我印象深刻的选择。

同样的错误,但由文件系统上的本地权限引起。(从技术上讲,我忘记给它正确的路径,所以它试图写入它无权访问的目录)。因此,如果您看到这样的错误,请检查您的 named.conf 中的文件节以查找相关区域。

例子:

zone "example.net" {
  type slave;
  file "slave/example.net.db";
  masters {
     172.168.19.234;
  };
};

答案2

检查防火墙,确保辅助服务器的 53/tcp 端口已打开。如果区域大于 512 字节,则传输需要通过 TCP 而不是 UDP。

相关内容