NS: zone transfer denied

[kasi4u]

hallo,

ich erhalte vereinzelt die meldung: "zone transfer denied" und kann mir das
nur so erklären, dass der zonen-transfer nicht geklappt hat. ist das richtig?

iich verwende: bind9

aber was ist dann an meiner named.conf falsch?

~/etc/named.conf:

Code: Select all

# BIND 9 Konfigurationsdatei
# angelegt: 10.06.2003 

########
# IP's #
#dns.schlund.de
#195.20.224.234; 
#
#dns2.schlund.de
#195.20.224.99; 
#
#ns.schlund.de
#195.20.224.97;
#
# mein zukünftiger secondary_
#217.160.XXX.XXX;
########

options {
        directory "/var/named";
        forwarders { 195.20.224.234; 195.20.224.99; 217.160.XXX.XXX; };
        forward first;
        listen-on port 53 { 127.0.0.1; 217.160.XXX.XXX; };
        # listen-on-v6 { none; };
        allow-transfer { 195.20.224.97; 217.160.XXX.XXX; };
        allow-query { 127.0.0.1; 217.160.XXX.XXX; };
        notify yes;
        auth-nxdomain no;
        allow-recursion { 127.0.0.1; 217.160.XXX.XXX; };
};
zone "localhost" in {
   type master;
   file "/var/named/zone/localhost.zone";
};
zone "0.0.127.in-addr.arpa" in {
   type master;
   file "/var/named/zone/127.0.0.zone";
};
zone "XXX.160.217.in-addr.arpa" in {
   type master;
   file "/var/named/zone/217.160.XXX.zone";
};
zone "." in {
   type hint;
   file "/var/named/root.hint";
};
# ... #

~/var/log/messages

Code: Select all

# Uni Bielefeld
Jun 28 08:36:05 p12345678 /usr/sbin/named[2650]: client 129.70.132.4#63807: zone transfer denied

# ns.schlund.de
Jun 30 06:57:08 p12345678 /usr/sbin/named[27748]: client 195.20.224.97#60489: query denied

# ns.schlund.de
Jul  2 07:51:17 p12345678 /usr/sbin/named[10699]: client 195.20.224.97#60551: query denied

könnt ihr mir weiterhelfen?

danke,
karsten

[oxygen]

Code: Select all

allow-query { 127.0.0.1; 217.160.XXX.XXX; }; 

Das ist der Fehler.

Das zone transfer denied kannst du ignorieren.

[kasi4u]

das heißt, um es richtig zu verstehen:

falsch:

Code: Select all

allow-query { 127.0.0.1; 217.160.XXX.XXX; }; 

richtig:

Code: Select all

allow-query { 127.0.0.1; }; 

gruß,
karsten

[wirsing]

falsch:

Code: Select all

allow-query { 127.0.0.1; 217.160.XXX.XXX; }; 

noch falscher:

Code: Select all

allow-query { 127.0.0.1; }; 

richtig:

Code: Select all

allow-query { any; };

Oder wozu betreibst du einen Name Server? Doch damit andere Computer Anfragen an deinen Computer stellen können, oder nicht?

[wgot]

Hallo,

Code: Select all

allow-query { 127.0.0.1; 217.160.XXX.XXX; }; 

Das ist der Fehler.

vermutlich hat er in den Zonefiles allow-query auf any gesetzt, dann kann das schon so stehen bleiben.

Unterschied:

allow-query any in der named.conf - der Nameserver darf für Anfragen von jedem über alle Domains genutzt werden, jeder könnte ihn also z.B. zum Surfen verwenden. Wenn man ihn selbst zum Surfen verwenden will (möglicher Grund: die Nameserver des Einwahlproviders sind unzuverlässig) muß man die Abfragen in der named.conf freigeben.

allow-query im Zonefile - jeder kann abfragen aber nur die Domains für die der NS authoritativ ist, der NS ist nicht zum Surfen geeignet.

# Uni Bielefeld
Jun 28 08:36:05 p12345678 /usr/sbin/named[2650]: client 129.70.132.4#63807: zone transfer denied

Hier geht's nicht um die normale Abfrage sondern um den Zonetransfer. Dieser ist sinnvollerweise auf den Secondary beschränkt. Uni Bielefeld versucht einen Zonetransfer für Statistikzwecke. Wenn man das unterstützen will (ich mach's nicht), die IP der Uni in den allow-transfer mit aufnehmen, ansonsten die Fehlermeldung (kommt alle paar Wochen) ignorieren.

Gruß, Wolfgang

[kasi4u]

Hallo Wolfgang,

richtig, mein Zone-File ist in der named.conf so angegeben:

Code: Select all

zone "domain.de" {
   type master;
   file "/var/named/zone/domain.de.zone";
   allow-query { any; };
};

Einmal eine Nachfrage zu einem Secondary. Es reicht doch aus, wenn ich den Secondary wie ein Primary einrichte und das Zone-File so anlege:

Code: Select all

zone "domain.de" {
   type slave;
   file "/var/named/slave/domain.de.zone";
   masters { ip-primary; };
};

Wie kann ich den testen, dass mein Primary und mein Secondary so arbeiten, wie ich das will?

Gruß
Karsten

[wgot]

Hallo,

ist korrekt.

Zum Testen einfach mit dig die beiden NS befragen, sie müssen gleich antworten. Dann im Primary in einem Zonefile die Serial erhöhen (sonst nicht ändern) und (nur!) den Primary reloaden. Nach ein paar Stunden mit dig nachsehen, ob der Secondary die neue Serial hat.

Wenn Du noch die Abfrageeinschränkungen prüfen willst: mit dig eine Domain abfragen die nicht in den NS eingetragen ist prüft allow-query. Außerdem einen Transfer von einem dritten Server oder von PC aus probieren - das hat Dir die Uni aber schon erledigt.

Gruß, Wolfgang