Linux

BIND9 在 Ubuntu 上拒絕來自 IP 外部 localnet(外部 IP)的查詢

  • September 27, 2015

BIND9 拒絕來自 Ubuntu 上 IP 外部 localnet(外部 IP)的查詢。

options {
       listen-on port 53       { any; };
       directory               "/var/bind";
       allow-query             { any; };
       allow-query-cache       { any; };
       allow-transfer          { none; };
       recursion               no;
       dnssec-validation       auto;
       auth-nxdomain           no;
};

include "/etc/bind/zones.conf";
include "/etc/bind/reverse-zones.conf";
include "/etc/bind/named.conf.default-zones";

zone.conf 範例

zone "test.test" IN {
   type slave;
   file "zones/test.test.zone";
   masters { 1.1.1.1; };
};

另外,我在我的日誌中看到了一個拒絕,所以添加了allow-query-cache { any; };但是這沒有任何區別。

日誌:client 192.168.3.100#64088 (test.test.SUB.DOMAIN.INTERN): query (cache) 'test.test.SUB.DOMAIN.INTERN/A/IN' denied

執行“ nslookup test.test 172.1.1.5”後(DNS 超時)

現在系統日誌中沒有任何異常顯示。這是 BIND 在載入區域之前顯示的內容(沒有錯誤):

adjusted limit on open files from 4096 to 1048576
found 18 CPUs, using 18 worker threads
using 18 UDP listeners per interface
using up to 18432 sockets
loading configuration from '/etc/bind/named.conf'
reading built-in trusted keys from file '/etc/bind/bind.keys'
using default UDP/IPv4 port range: [1024, 65535]
using default UDP/IPv6 port range: [1024, 65535]
no IPv6 interfaces found
listening on IPv4 interface lo, 127.0.0.1#53
listening on IPv4 interface eth0, 172.1.1.5#53
generating session key for dynamic DNS
sizing zone task pool based on 162 zones
using built-in root key for view _default
set up managed keys zone for view _default, file 'managed-keys.bind'
command channel listening on 127.0.0.1#953
managed-keys-zone: loaded serial 2
zone 0.in-addr.arpa/IN: loaded serial 1

Var/Bind 位於非標準位置,但我在編輯 apparmor 配置文件後檢查了日誌,沒有發現任何問題。

我可以從同一個子網成功查詢綁定。

/etc/default/bind9:

# run resolvconf?
RESOLVCONF=no

# startup options for the server
# OPTIONS="-u bind"
OPTIONS="-4 -u bind"

此更改是禁用 ipv6

我是一個 RHEL 人 - 在 Centos7(1503) 上成功設置了伺服器,並發現海外有奴隸的人想要執行 Ubuntu。所以這很酷是我的作業系統配置錯誤。

你檢查過你的防火牆嗎?日誌表明 BIND 正在偵聽 172.1.1.5,因此您應該在日誌中看到一些查詢,即使這些查詢實際上並沒有解決。

此日誌消息是否正確?test.test.SUB.DOMAIN.INTERN未定義為您的區域的客戶端查詢。

client 192.168.3.100#64088 (test.test.SUB.DOMAIN.INTERN): query (cache) 'test.test.SUB.DOMAIN.INTERN/A/IN' denied

您可以刪除recursion no並放置以下行以允許客戶端進行遞歸查詢:

allow-recursion {
   ::1;
   127.0.0.1;
   172.1.1.0/24;
   192.168.3.0/24;
};

此外,您確定主名稱伺服器(1.1.1.1 作為您的範例)允許您的伺服器充當從屬伺服器並進行區域傳輸嗎?

引用自:https://serverfault.com/questions/721238