bind: client X… передача зоны 'example.com/AXFR/IN' запрещена, но передача разрешена {X; }; установлено!

Я получаю отказ в доступе при попытке инициировать передачу зоны.

Для dig @ns.example.com example.com axfr я собираюсь

client 71.252.219.43#58392: zone transfer 'balticovo.eu/AXFR/IN' denied

Конфигурация:

Сервер NATed, за брандмауэром. Если бы это была проблема с брандмауэрами, я бы не увидел в файлах журнала своего компьютера, что был сделан такой запрос.
названный процесс запускается как пользователь привязки, который привязан к /var/lib/named.

named.conf:

web:/var/lib/named/etc# cat named.conf
options {
    directory "/etc";
    pid-file "/var/run/named.pid";
    statistics-file "/var/run/named.stats";
    allow-transfer { 127.0.0.1; };
    listen-on port 53 { any; };
    listen-on-v6 port 53 { any; };
};

logging {
    category default { default_syslog; default_debug; };
    category unmatched { null; };

    channel default_syslog {
        syslog daemon;
        severity info;
    };

    channel default_debug {
        file "named.run";
        severity dynamic;
    };

    channel default_stderr {
        stderr;
        severity info;
    };

    channel null {
        null;
    };
};

zone "." {
    type hint;
    file "/etc/root.hints";
};

zone "localhost" {
    type master;
    file "/etc/localhost";
};

zone "0.0.127.in-addr.arpa" {
    type master;
    file "/etc/127.0.0";
};

zone "example.com" IN {
        type master;
        file "sites/example.com/forward.zone";
        allow-transfer { 202.157.182.142; 71.252.219.43; };
        allow-update { none; };
        allow-query { any; };
        zone-statistics yes;
};

Все файлы принадлежат bind. И названный процесс действительно запускается пользователем с привилегированным доступом.
Копать кроме axfr record работает.
named -v выходы BIND 9.6-ESV-R3

Теперь проблема решена. Я сделал довольно серьезные изменения:

Усиление безопасности с помощью некоторых разрешений для файлов (это, вероятно, не так, потому что они были в порядке и до этого)
Не было конфигурации rndc. Сгенерировал ключ и настроил rndc.

А потом .... когда я вносил изменения в named.conf и перезапускался, казалось, что предыдущий процесс не был убит, но появились новые, и в моем журнале были такие строки:

Jan 25 15:43:22 web named[18863]: listening on IPv6 interfaces, port 53
Jan 25 15:43:22 web named[18863]: binding TCP socket: address in use
Jan 25 15:43:22 web named[18863]: listening on IPv4 interface lo, 127.0.0.1#53
Jan 25 15:43:22 web named[18863]: binding TCP socket: address in use
Jan 25 15:43:22 web named[18863]: listening on IPv4 interface eth0, 10.3.0.10#53
Jan 25 15:43:22 web named[18863]: binding TCP socket: address in use
...
Jan 25 15:43:22 web named[18863]: /etc/named.conf:12: couldn't add command channel 0.0.0.0#953: address in use

Теперь я сделал killall named а потом /etc/init.d/bind9 start и все прошло нормально.

Вероятно, третий пункт решил проблему, потому что, когда я менял named.conf, он фактически не работал с последним файлом conf.

Ваш конфигурационный файл показывает только параметр allow-transfer для 127.0.0.1, что, вероятно, является причиной отказа вашему клиенту. Вам нужно будет изменить свою конфигурацию, чтобы включить что-то вроде:

allow-transfer { 127.0.0.1; 71.252.219.43; };

(Предполагается, что 71.252.219.43 - это адрес клиента, от которого вы ожидаете выполнять перенос зоны.)