Ich habe vor Kurzem meine autoritativen BIND-Server von CentOS 5 durch CentOS 7 ersetzt. Alles funktioniert einwandfrei, aber meine Protokolle zeigen einige Merkwürdigkeiten. Ich verwende einen versteckten Master und meine primären und sekundären Nameserver sind Slaves des versteckten Masters.
Mein primärer Nameserver weist in der Protokolldatei named.run eine große Anzahl von Einträgen wie diesen auf:
08-Apr-2017 08:39:05.785 update-security: error: client 117.239.55.98#50131: update forwarding 'ABC.COM/IN' denied
08-Apr-2017 08:39:08.500 update-security: error: client 166.171.122.223#38067: update forwarding 'XXY.org/IN' denied
08-Apr-2017 08:39:20.855 update-security: error: client 69.43.159.190#51671: update forwarding 'yyz.com/IN' denied
08-Apr-2017 08:40:01.163 update-security: error: client 117.239.55.98#54976: update forwarding 'ABC.COM/IN' denied
08-Apr-2017 08:40:06.379 update-security: error: client 117.239.55.98#65535: update forwarding 'ABC.COM/IN' denied
08-Apr-2017 08:40:23.952 update-security: error: client 117.239.55.98#59592: update forwarding 'ABC.COM/IN' denied
Ich bin ziemlich sicher, dass dies ein harmloses und zu erwartendes Verhalten ist, weil:
- meine SOA-Einträge listen meinen primären Nameserver auf (nicht den versteckten Master). Das erklärt, warum ns1 alle diese Fehler protokolliert, während ns2 solche Fehler nie protokolliert.
- Ich erlaube und möchte keine Client-Updates zulassen und named.conf ist entsprechend konfiguriert.
Was zu meinen Fragen führt:
- Ist es wirklich sicher, diese Fehler zu ignorieren?
- Wenn ja, gibt es eine Möglichkeit, mein benanntes Protokoll so zu konfigurieren, dass diese Fehler unterdrückt werden, aber trotzdem alle anderen legitimen Fehler protokolliert werden? Der relevante Teil von named.conf sieht folgendermaßen aus:
Protokollierung {
Kanal Standarddebug {
Datei „data/named.run“, Versionen 3, Größe 5 m;
Schweregradhinweis;
Druckzeit ja;
Druckschweregrad: ja;
Druckkategorie ja;
}; };