Linux
BIND9 在 Ubuntu 上拒絕來自 IP 外部 localnet(外部 IP)的查詢
BIND9 拒絕來自 Ubuntu 上 IP 外部 localnet(外部 IP)的查詢。
options { listen-on port 53 { any; }; directory "/var/bind"; allow-query { any; }; allow-query-cache { any; }; allow-transfer { none; }; recursion no; dnssec-validation auto; auth-nxdomain no; }; include "/etc/bind/zones.conf"; include "/etc/bind/reverse-zones.conf"; include "/etc/bind/named.conf.default-zones";
zone.conf 範例
zone "test.test" IN { type slave; file "zones/test.test.zone"; masters { 1.1.1.1; }; };
另外,我在我的日誌中看到了一個拒絕,所以添加了
allow-query-cache { any; };
但是這沒有任何區別。日誌:
client 192.168.3.100#64088 (test.test.SUB.DOMAIN.INTERN): query (cache) 'test.test.SUB.DOMAIN.INTERN/A/IN' denied
執行“
nslookup test.test 172.1.1.5
”後(DNS 超時)現在系統日誌中沒有任何異常顯示。這是 BIND 在載入區域之前顯示的內容(沒有錯誤):
adjusted limit on open files from 4096 to 1048576 found 18 CPUs, using 18 worker threads using 18 UDP listeners per interface using up to 18432 sockets loading configuration from '/etc/bind/named.conf' reading built-in trusted keys from file '/etc/bind/bind.keys' using default UDP/IPv4 port range: [1024, 65535] using default UDP/IPv6 port range: [1024, 65535] no IPv6 interfaces found listening on IPv4 interface lo, 127.0.0.1#53 listening on IPv4 interface eth0, 172.1.1.5#53 generating session key for dynamic DNS sizing zone task pool based on 162 zones using built-in root key for view _default set up managed keys zone for view _default, file 'managed-keys.bind' command channel listening on 127.0.0.1#953 managed-keys-zone: loaded serial 2 zone 0.in-addr.arpa/IN: loaded serial 1
Var/Bind 位於非標準位置,但我在編輯 apparmor 配置文件後檢查了日誌,沒有發現任何問題。
我可以從同一個子網成功查詢綁定。
/etc/default/bind9:
# run resolvconf? RESOLVCONF=no # startup options for the server # OPTIONS="-u bind" OPTIONS="-4 -u bind"
此更改是禁用 ipv6
我是一個 RHEL 人 - 在 Centos7(1503) 上成功設置了伺服器,並發現海外有奴隸的人想要執行 Ubuntu。所以這很酷是我的作業系統配置錯誤。
你檢查過你的防火牆嗎?日誌表明 BIND 正在偵聽 172.1.1.5,因此您應該在日誌中看到一些查詢,即使這些查詢實際上並沒有解決。
此日誌消息是否正確?
test.test.SUB.DOMAIN.INTERN
未定義為您的區域的客戶端查詢。client 192.168.3.100#64088 (test.test.SUB.DOMAIN.INTERN): query (cache) 'test.test.SUB.DOMAIN.INTERN/A/IN' denied
您可以刪除
recursion no
並放置以下行以允許客戶端進行遞歸查詢:allow-recursion { ::1; 127.0.0.1; 172.1.1.0/24; 192.168.3.0/24; };
此外,您確定主名稱伺服器(1.1.1.1 作為您的範例)允許您的伺服器充當從屬伺服器並進行區域傳輸嗎?