bind: cliente X … transferencia de zona 'example.com/AXFR/IN' denegada, pero allow-transfer {X; }; está establecido

Tengo acceso negado al intentar iniciar la transferencia de zona.

Para un dig @ns.example.com example.com axfr estoy recibiendo

 client 71.252.219.43#58392: zone transfer 'balticovo.eu/AXFR/IN' denied 

Configuración:

  1. El server es NATed , detrás del firewall . Si fuera problema de los cortafuegos, no vería en mi computadora los files de logging que allí una tal petición se ha hecho.
  2. named se ejecuta como usuario de enlace que se chroot en /var/lib/named .
  3. named.conf:

     web:/var/lib/named/etc# cat named.conf options { directory "/etc"; pid-file "/var/run/named.pid"; statistics-file "/var/run/named.stats"; allow-transfer { 127.0.0.1; }; listen-on port 53 { any; }; listen-on-v6 port 53 { any; }; }; logging { category default { default_syslog; default_debug; }; category unmatched { null; }; channel default_syslog { syslog daemon; severity info; }; channel default_debug { file "named.run"; severity dynamic; }; channel default_stderr { stderr; severity info; }; channel null { null; }; }; zone "." { type hint; file "/etc/root.hints"; }; zone "localhost" { type master; file "/etc/localhost"; }; zone "0.0.127.in-addr.arpa" { type master; file "/etc/127.0.0"; }; zone "example.com" IN { type master; file "sites/example.com/forward.zone"; allow-transfer { 202.157.182.142; 71.252.219.43; }; allow-update { none; }; allow-query { any; }; zone-statistics yes; }; 
  4. Todos los files son propiedad de bind. Y el process nombrado funciona verdaderamente por el usuario chrooted.
  5. Excavar otros trabajos que no sean de axfr.
  6. named -v outputs BIND 9.6-ESV-R3

2 Solutions collect form web for “bind: cliente X … transferencia de zona 'example.com/AXFR/IN' denegada, pero allow-transfer {X; }; está establecido”

El problema ya ha sido resuelto. Realicé cambios bastante importantes:

  1. Apriete la security por algunos permissions para los files (esto probablemente no es el caso, porque estaban bien antes de esto también)
  2. No tenía configuration de rndc en su lugar. Generado key y configurar rndc.
  3. Y luego …. cuando estaba haciendo cambios en named.conf y reiniciado, parece que el process anterior no se ha matado, pero los nuevos generados y yo tenía tales líneas en mi logging:

     Jan 25 15:43:22 web named[18863]: listening on IPv6 interfaces, port 53 Jan 25 15:43:22 web named[18863]: binding TCP socket: address in use Jan 25 15:43:22 web named[18863]: listening on IPv4 interface lo, 127.0.0.1#53 Jan 25 15:43:22 web named[18863]: binding TCP socket: address in use Jan 25 15:43:22 web named[18863]: listening on IPv4 interface eth0, 10.3.0.10#53 Jan 25 15:43:22 web named[18863]: binding TCP socket: address in use ... Jan 25 15:43:22 web named[18863]: /etc/named.conf:12: couldn't add command channel 0.0.0.0#953: address in use 

    Ahora hice killall named y luego /etc/init.d/bind9 start y todo fue bien.

Probablemente el tercer punto resolvió el problema, porque cuando cambia named.conf, en realidad no estaba trabajando con el último file conf.

Su file de configuration sólo muestra una opción de transferencia de permissions para 127.0.0.1, que es probablemente la razón por la cual su cliente está siendo denegado. Tendrías que modificar tu configuration para include algo como:

 allow-transfer { 127.0.0.1; 71.252.219.43; }; 

(Asumiendo que 71.252.219.43 es la dirección del cliente del cual espera poder realizar transferencias de zona.)

  • "Permiso denegado" a un directory que tengo, permissions aparentemente correctos
  • NTFS: Denegar todos los permissions para todos los files, excepto cuando se agreguen explícitamente
  • Permiso denegado en el file propiedad
  • zfs-fuse permissions de files problemas en CentOS / RHEL 5
  • "Enviar como" Permiso y "No tiene permiso para enviar a este destinatario" Error
  • ¿Cuál es la mejor manera de arreglar los permissions de files NTFS para henetworkingar a los padres?
  • Intercambio 2013 - ¿Conceder delegación al grupo de security?
  • Mejores prácticas de delegación de Active Directory
  • ¿Cómo puedo dar permissions a un usuario para poder usar el monitor "Performance" en W2003?
  • Server 2012 - Permisos para compartir carpetas en casa
  • Escribir en Samba compartir como usuario diferente?
  • ¿Cómo se da acceso completo a chmod a varios grupos? ¿Necesita usar ACL?
  • Permisos de escritura de Apache fuera de la carpeta WWW
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.