Назад | Перейти на главную страницу

BIND9 отклоняет запросы с IP-адресов вне локальной сети (внешние IP-адреса) в Ubuntu

BIND9 запрещает запросы с IP-адресов за пределами локальной сети (внешние IP-адреса) в Ubuntu.

options {
        listen-on port 53       { any; };
        directory               "/var/bind";
        allow-query             { any; };
        allow-query-cache       { any; };
        allow-transfer          { none; };
        recursion               no;
        dnssec-validation       auto;
        auth-nxdomain           no;
};

include "/etc/bind/zones.conf";
include "/etc/bind/reverse-zones.conf";
include "/etc/bind/named.conf.default-zones";

Пример zone.conf

zone "test.test" IN {
    type slave;
    file "zones/test.test.zone";
    masters { 1.1.1.1; };
};

Кроме того, я видел в моих журналах отказ, поэтому добавил allow-query-cache { any; }; однако это не имело значения.

Журнал:client 192.168.3.100#64088 (test.test.SUB.DOMAIN.INTERN): query (cache) 'test.test.SUB.DOMAIN.INTERN/A/IN' denied

После запуска "nslookup test.test 172.1.1.5"(Тайм-аут DNS)

Теперь в системном журнале нет ничего необычного. Вот что показывает BIND перед загрузкой зон (без ошибок):

adjusted limit on open files from 4096 to 1048576
found 18 CPUs, using 18 worker threads
using 18 UDP listeners per interface
using up to 18432 sockets
loading configuration from '/etc/bind/named.conf'
reading built-in trusted keys from file '/etc/bind/bind.keys'
using default UDP/IPv4 port range: [1024, 65535]
using default UDP/IPv6 port range: [1024, 65535]
no IPv6 interfaces found
listening on IPv4 interface lo, 127.0.0.1#53
listening on IPv4 interface eth0, 172.1.1.5#53
generating session key for dynamic DNS
sizing zone task pool based on 162 zones
using built-in root key for view _default
set up managed keys zone for view _default, file 'managed-keys.bind'
command channel listening on 127.0.0.1#953
managed-keys-zone: loaded serial 2
zone 0.in-addr.arpa/IN: loaded serial 1

Var / Bind находится в нестандартном месте, но я проверил журналы после редактирования профиля apparmor и не вижу проблем.

Я могу успешно запросить привязку из той же подсети.

/ и т.д. / по умолчанию / bind9:

# run resolvconf?
RESOLVCONF=no

# startup options for the server
# OPTIONS="-u bind"
OPTIONS="-4 -u bind"

Это изменение должно было отключить ipv6.

Я парень RHEL - успешно настроил сервер на Centos7 (1503) и обнаружил, что парни за границей с рабом хотят запустить Ubuntu. Так что это круто быть ошибкой конфигурации ОС с моей стороны.

Вы проверили свой брандмауэр? Журналы показывают, что BIND прослушивает 172.1.1.5, поэтому вы должны увидеть некоторые запросы в журналах, даже если запросы фактически не разрешаются.

Проверьте свои журналы на передачу зоны с главного сервера на 1.1.1.1, test.test является подчиненным и будет отправлять nxdomain, пока не получит зону от главного.

Кроме того, внешние сообщения должны быть подписаны с обеспечением безопасности транзакций.

Я предполагаю, что SUB.DOMAIN.INTERN - это ваш домен поиска dhcp. Завершите все поиски домена точкой (.)

Это сообщение журнала правильное? Клиентский запрос test.test.SUB.DOMAIN.INTERN который не определен как ваша зона.

client 192.168.3.100#64088 (test.test.SUB.DOMAIN.INTERN): query (cache) 'test.test.SUB.DOMAIN.INTERN/A/IN' denied

Вы можете удалить recursion no и поместите следующие строки, чтобы разрешить клиентам делать рекурсивные запросы:

allow-recursion {
    ::1;
    127.0.0.1;
    172.1.1.0/24;
    192.168.3.0/24;
};

Кроме того, уверены ли вы, что главный сервер имен (1.1.1.1 в качестве примера) позволяет вашему серверу действовать как подчиненный и выполнять передачу зоны?