transferencia de zona denegada

tag-icon tag-icon dns bind
transferencia de zona denegada

Pasé muchas horas para solucionar mi problema, pero no logré hacer lo que necesitaba para solucionar este problema. Supongo que puede haber algún problema con el permiso del archivo. Cambié y quería verificar la transferencia de zona desde el servidor maestro usando este comando:

dig ns.insec -t axfr

Aquí hay un mensaje de error del servidor maestro.

Mar 16 03:49:30 ip-172-31-22-11 named[5395]: client        127.0.0.1#37251    
    (ns.insec): zone transfer 'ns.insec/AXFR/IN' denied

Aquí está el named.conf.optionsarchivo:

acl "trusted" {
    localhost;
    172.31.0.0/20;
    localnets;
};

options {
    directory "/var/cache/bind";

    // If there is a firewall between you and nameservers you want
    // to talk to, you may need to fix the firewall to allow multiple
    // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

    // If your ISP provided one or more IP addresses for stable 
    // nameservers, you probably want to use them as forwarders.  
    // Uncomment the following block, and insert the addresses replacing 
    // the all-0's placeholder.

     forwarders {
        8.8.8.8;
     };

    //========================================================================
    // If BIND logs error messages about the root key being expired,
    // you will need to update your keys.  See https://www.isc.org/bind-keys
    //========================================================================
    dnssec-validation auto;

    auth-nxdomain no;    # conform to RFC1035
    listen-on-v6 { any; };
    forward only;
    allow-query-cache { trusted; };
    allow-query { trusted; };
    allow-recursion { trusted; };
    recursion yes;
    allow-transfer { 172.31.31.48; 127.0.0.1; };
    //also-notify { trusted; };
};

Aquí está mi named.conf.localarchivo:

//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

zone "ns.insec" {
    type master;
    file "/etc/bind/zones/db.ns.insec";
    allow-transfer { 172.31.31.48; };
    also-notify { 172.31.31.48; };
};

// 172.31.31.48 is the IP for slave 
// 172.31.22.11 is the IP for the master
zone "22.31.172.in-addr.arpa" {
    type master;
    file "/etc/bind/zones/db.172.31.22";
    allow-transfer { 172.31.31.48; };
    also-notify { 172.31.31.48; };

};

Aquí hay una instantánea del permiso de archivo del servidor maestro y también es la misma para el servidor esclavo:

ingrese la descripción de la imagen aquí

N: BI puede dig ns.insec -t axfrdesde el esclavo y funciona pero no desde el servidor maestro

Respuesta1

La declaración global de cualquier opción (en options) se puede sobrescribir con una declaración local (por ejemplo, en zone, view) de la misma opción.

En tu caso también ocurre lo mismo.

Tiene una opción global allow-transfer { 172.31.31.48; 127.0.0.1; };que se sobrescribe con la declaración en la definición de zona zone "ns.insec"como allow-transfer { 172.31.31.48; };. Entonces no podrás transferir la zona a localhost.

Para solucionar esto haga la declaración en zone "ns.insec"como

allow-transfer { 172.31.31.48; 127.0.0.1; };

O si desea utilizar la directiva global (lo cual no siempre es una buena idea), elimine la allow-transferdirectiva de zone "ns.insec"la definición.

información relacionada