named: query (cache) denied

Bind, PowerDNS
dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

named: query (cache) denied

Post by dodolin » 2003-06-07 01:00

Servus, endlich habe ich meinen Rootserver und jetzt kann ich hier ja auch mal posten und nicht nur antworten... :)

Habe dodolin.de von 1&1 (war die Inklusivdomain beim bestellen) zu Schlund Technologies umgezogen.
Jetzt sehe ich heute folgendes in meinen Logs:

Code: Select all

Jun  6 21:21:39 trinity named[2896]: client 194.246.96.75#61581: query (cache) denied
Jun  6 21:21:39 trinity named[2896]: client 194.246.96.75#61582: query (cache) denied
Was mich nachdenklich machte, war die IP:

Code: Select all

dominik@trinity:~$ host 194.246.96.75
75.96.246.194.in-addr.arpa domain name pointer denics3.denic.de.
Ein Server von Denic. Hups?!

Also meine Konfig sollte eigentlich passen, habe u.a. in named.conf drin:

Code: Select all

zone "dodolin.de" {
        type master;
        file "/etc/bind/db.dodolin.de";
        allow-query { any; };
};
Ich kann den Server von zuhause aus (Dialup) auch problemlos nach allem in der Zone fragen.

Nach einigem gegoogel nach dem Fehler habe ich hauptsächlich Leute gefunden, die ihren allow-query nicht korrekt gesetzt hatten. Leider bin ich bisher noch nicht fündig geworden, was der Eintrag genau besagt bzw. wann er ausgelöst wird. Weiß das hier jemand? Ich werde jetzt gleich mal noch ins Bind-Manual schauen, vielleicht werde ich dort besser fündig als im Web...

Ich habe folgende Vermutung:

In meiner /etc/resolv.conf hatte ich noch die Schlund-Server drin, aber NICHT 127.0.0.1. Deshalb könnte es vielleicht sein, dass mein Bind irgendwie beim resolven durcheinander kam und das nicht an sich selbst, sondern an die Schlund-Nameserver forwarden wollte. Dass fremde Rechner meinen Server nicht als Forwarder nutzen dürfen, ist wohl klar. Eventuell wurde das deshalb verboten? Nuja, ich habe jetzt jedenfalls in resolv.conf mal nur noch 127.0.0.1 drin und sonst keinen. Mal schauen...

Vielleicht ist beim morgigen Reload der Denic DNS ja auch schon alles in Ordnung?

Zur Referenz (auch wenn es schon im whois steht): Meine IP ist 217.160.191.190.

[tom]
Posts: 656
Joined: 2003-01-08 20:10
Location: Berlin

Re: named: query (cache) denied

Post by [tom] » 2003-06-07 01:38

Ein Server von Denic. Hups?
Klar - die begrüßen die neuen manchmal gerne persönlich. ;-)

Nach nem KK oder Neuregistrierung werden die authorativen NS vom DENIC überprüft. Deiner ist einer der authorativen.

@allow-query:

Was hast du denn global unter allow-query stehen? Da scheiden sich ja die Geister. Einige empfehlen, das auf "none" zu setzen und bei den Zonen dann explizit auf "any" zu gehen. Ich persönlich setz das grundsätzlich auf "any" im globalen Bereich (und dafür nix bei den Zoneneinträgen). Das Ding heißt Namens bediener, weil er Anfragen nach Namen bedienen soll. Außerdem arbeite ich auf einem Rootserver ja nciht mit Views oder mehreren Interfaces.

[TOM]

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: named: query (cache) denied

Post by dodolin » 2003-06-07 02:00

Nach nem KK oder Neuregistrierung werden die authorativen NS vom DENIC überprüft. Deiner ist einer der authorativen.
Das war mir schon klar, aber warum der - zumindest scheinbar - eine Anfrage machen wollte, die nicht erlaubt sein soll, machte mich halt stutzig, da ich dachte, dass alles korrekt konfiguriert sei.
Was hast du denn global unter allow-query stehen?

Code: Select all

        // Below my own additions to the global options section

        allow-query { localhost; };
        allow-transfer { slave; };
        pid-file "/var/run/named/named.pid";
Aus /usr/share/doc/bind9-doc/arm/ (Debian):
The following ACLs are built-in:
[...]
localhost
Matches the IPv4 addresses of all network interfaces on the system.
[...]
http://www.tldp.org/HOWTO/DNS-HOWTO-6.html#ss6.2
Außerdem arbeite ich auf einem Rootserver ja nciht mit Views oder mehreren Interfaces.
Ich aber. :-D

Code: Select all

// bl.dodolin.de may only be queried from localhost
// and will not get transfered to our slave (ns.schlund.de)

zone "bl.dodolin.de" {
        type master;
        file "/etc/bind/db.bl.dodolin.de";
        allow-query { localhost; };
        allow-transfer { none; };
};
Eigene DNSBLs z.B.

[tom]
Posts: 656
Joined: 2003-01-08 20:10
Location: Berlin

Re: named: query (cache) denied

Post by [tom] » 2003-06-07 02:08

Ich weiß nicht, welche Domain DEnic abfragen wollte. Aber mit Views arbeitest du nicht. Ich machs umgekehrt wie bei ner Firewall. Grundsätzlich alles (Queries) erlauben und nur im Einzelfall verbieten.

[TOM]

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: named: query (cache) denied

Post by dodolin » 2003-06-07 02:32

Ah, huch. Ich dachte, das wären Views. Habe ich wohl was falsch verstanden, aber da ich dann wohl ohnehin keine Views benötige... ist's mir erst mal wurscht, was das ist. ;)

kase
Posts: 1031
Joined: 2002-10-14 22:56

Re: named: query (cache) denied

Post by kase » 2003-06-07 03:25

Ich denke mal, an deiner Config sollte alles in Ordnung sein. Leider sieht man nicht, welche Domain der Denic Server abgefragt hat. Wenn es eine != dodolin.de war, dann ist alles in Ordnung, wenn dieser Fehler nicht mehr häufiger vorkommt.

Und zu dem allow-query global: Ein NameServer soll zwar Namen auflösen, aber warum bitte schön welche, für die er gar nicht zuständig ist...

Aber da streiten sich, wie du bereits geschrieben hast, die Gemüter ^^

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: named: query (cache) denied

Post by dodolin » 2003-06-07 10:57

Sieht so aus, als wäre eben doch alle ok gewesen:

Code: Select all

dominik@cheffe:~$ dig @dns.denic.de dodolin.de any

; <<>> DiG 9.2.1 <<>> @dns.denic.de dodolin.de any
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61190
;; flags: qr rd; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 1

;; QUESTION SECTION:
;dodolin.de.                    IN      ANY

;; ANSWER SECTION:
dodolin.de.             86400   IN      NS      ns.dodolin.de.
dodolin.de.             86400   IN      NS      ns.schlund.de.

;; AUTHORITY SECTION:
dodolin.de.             86400   IN      NS      ns.dodolin.de.
dodolin.de.             86400   IN      NS      ns.schlund.de.

;; ADDITIONAL SECTION:
ns.dodolin.de.          86400   IN      A       217.160.191.190

;; Query time: 36 msec
;; SERVER: 81.91.161.5#53(dns.denic.de)
;; WHEN: Sat Jun  7 10:54:12 2003
;; MSG SIZE  rcvd: 114
Dann könnte meine Vermutung mit der resolv.conf ja richtig gewesen sein... Wenn nicht, soll es mir jetzt auch wurscht sein, Hauptsache, es geht. ;)

BTW: Ich habe in den global Options jetzt zusätzlich noch ein

allow-recursion { localhost; };

reingemacht. Ich wäre mir sonst nicht sicher, ob das per Default eingeschaltet für alle ist (so steht es zumindest im Manual). Eventuell sollte man das auch in euren beiden Howtos ergänzen, falls das noch nicht drin ist. Was meint ihr?

kase
Posts: 1031
Joined: 2002-10-14 22:56

Re: named: query (cache) denied

Post by kase » 2003-06-07 13:41

DebianHowTo-Bind wrote: allow-recursion { 127.0.0.1; 217.160.xyz.abc; };

[tom]
Posts: 656
Joined: 2003-01-08 20:10
Location: Berlin

Re: named: query (cache) denied

Post by [tom] » 2003-06-07 14:31

dodolin wrote: BTW: Ich habe in den global Options jetzt zusätzlich noch ein

allow-recursion { localhost; };

reingemacht. Ich wäre mir sonst nicht sicher, ob das per Default eingeschaltet für alle ist (so steht es zumindest im Manual). Eventuell sollte man das auch in euren beiden Howtos ergänzen, falls das noch nicht drin ist. Was meint ihr?
Guter Vorschlag. Bei mir würd das dann zu

Code: Select all

allow-recursion { local; };
[TOM]