Dig restituisce "status: REFUSED" per query esterne?


14

Non riesco a capire perché il mio DNS non funzioni correttamente, se eseguo scav dal nameserver funziona correttamente:

# dig ungl.org

; <<>> DiG 9.5.1-P2.1 <<>> ungl.org
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24585
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 1

;; QUESTION SECTION:
;ungl.org.                      IN      A

;; ANSWER SECTION:
ungl.org.               38400   IN      A       188.165.34.72

;; AUTHORITY SECTION:
ungl.org.               38400   IN      NS      ns.kimsufi.com.
ungl.org.               38400   IN      NS      r29901.ovh.net.

;; ADDITIONAL SECTION:
ns.kimsufi.com.         85529   IN      A       213.186.33.199

;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sat Mar 13 01:04:06 2010
;; MSG SIZE  rcvd: 114

ma quando lo eseguo da un altro server nello stesso datacenter ricevo:

# dig @87.98.167.208 ungl.org

; <<>> DiG 9.5.1-P2.1 <<>> @87.98.167.208 ungl.org
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 18787
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;ungl.org.                      IN      A

;; Query time: 1 msec
;; SERVER: 87.98.167.208#53(87.98.167.208)
;; WHEN: Sat Mar 13 01:01:35 2010
;; MSG SIZE  rcvd: 26

il mio file di zona per questo dominio è

$ttl 38400
ungl.org.       IN  SOA r29901.ovh.net. mikey.aol.com. (
                201003121
                10800
                3600
                604800
                38400 )
ungl.org.       IN  NS  r29901.ovh.net.
ungl.org.       IN  NS  ns.kimsufi.com.
ungl.org.       IN  A   188.165.34.72
localhost.      IN  A   127.0.0.1
www             IN  A   188.165.34.72

e named.conf.options è predefinito:

options {
    directory "/var/cache/bind";

    // If there is a firewall between you and nameservers you want
    // to talk to, you may need to fix the firewall to allow multiple
    // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

    // If your ISP provided one or more IP addresses for stable 
    // nameservers, you probably want to use them as forwarders.  
    // Uncomment the following block, and insert the addresses replacing 
    // the all-0's placeholder.

    // forwarders {
    //  0.0.0.0;
    // };

    auth-nxdomain no;    # conform to RFC1035
    listen-on-v6 { ::1; };
    listen-on { 127.0.0.1; };
    allow-recursion { 127.0.0.1; };
};

named.conf.local:

//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
// include "/etc/bind/zones.rfc1918";

zone "eugl.eu" {
         type master;
         file "/etc/bind/eugl.eu";
         notify no;
};


zone "ungl.org" {
         type master;
         file "/etc/bind/ungl.org";
         notify no;
};

Il server esegue Ubuntu 9.10 e Bind 9, se qualcuno può far luce su questo per me, mi renderebbe molto felice!

Grazie


Come si presenta la tua sezione "opzioni" della configurazione del bind sul server che non si sta comportando? Di default su Ubuntu credo che sia tutto in /etc/bind/named.conf.options
Cory J

Ho aggiornato la domanda, non ho ancora cambiato nulla nelle opzioni

1
Che ne dici della definizione della zona in named.conf.local?
ktower,

Aggiunto al post principale

Risposte:


18

anche se forse sto scavando un vecchio thread, lo sto facendo perché questo è uno dei risultati più rilevanti mentre faccio una ricerca su Google per "stato della query rifiutato".

Nel mio caso particolare, ho scoperto che dovevo includere allow-query { any; };in ogni definizione di zona in named.conf.


Sei il mio angelo salvatore! Grazie mille
codezombie

5

A colpo d'occhio mi sembra che non sia configurato per ascoltare il resto del mondo a causa di listen-on { 127.0.0.1; };. Dovrai aggiungere l'indirizzo IP appropriato lì dentro.


Ho cambiato questo con l'indirizzo IP Internet del server (188.165.34.72) e ricaricato il bind ma sto ancora ricevendo lo stesso messaggio rifiutato

1
Esiste un firewall locale su quella macchina? Potrebbe essere necessario aprire le porte (53 TCP e UDP).
John Gardeniers,

L'URL sembra funzionare ora, ma mostra ancora lo stesso stato rifiutato dall'altro mio server

4

Faccio il samething ma inserisco l'opzione allow-query in named.conf.options


1

NOERROR quando non è accompagnato da un record di risorse (RR) significa che non esiste tale record, quindi quando si ottiene una risposta NOERROR e nessun 'record' quando si imposta "versione" su "none", funziona come previsto.

Esiste anche un'istruzione di allow-queryconfigurazione con BIND9, tuttavia penso che l'impostazione predefinita sia consentire query da qualsiasi luogo.


1

Ho avuto esattamente lo stesso problema (scavare lo stato NOERROR localmente, scavare lo stato RIFIUTATO dall'esterno) e la soluzione stava cambiando i client di corrispondenza da "localhost" (che è l'impostazione predefinita per l'installazione di bind) a "qualsiasi" (in seguito potrei scoprire qual è l'IP esatto del mio provider di nomi di dominio e limitarlo a quell'IP specifico per motivi di sicurezza). Inoltre, ho cambiato il nome della vista da local_something a quello predefinito. Il nome non ha davvero importanza.

view default {
        match-clients      { any; };
        match-destinations { any; };
        include "/etc/named.rfc1912.zones";
};

Questo è stato davvero il problema di questo business "scavare lo stato rifiutato". Subito dopo aver modificato il parametro match-client, le mie query dig @ 12.34.56.78 mydomain.com hanno iniziato a risolversi con lo stato NOERROR e il provider di nomi di dominio (godaddy) ha immediatamente memorizzato nella cache il record del nameserver. Poiché i miei file di zona erano già correttamente configurati, il nome di dominio divenne immediatamente visibile su Internet.

Per un po 'stavo sbattendo la testa contro il muro per risolvere questo.


1
Potresti chiarire quale file su quale computer hai modificato?
Alexey,

1

Ho dovuto inserire un riferimento esplicito per la rete che desideravo consentire la ricorsione. Specificare "qualsiasi" non ha aiutato. Per impostazione predefinita (Umbutu Server 15) non vi era alcuna voce per questo nel /etc/bind/named.conf.optionsfile.

recursion yes;  << needed to add this but did not resolve greater prob
allow-recursion { any; }; << this did not work
allow-recursion { 10.1.0.0/16; }; << this did the trick

0

Sei sicuro di inviare le query nel posto giusto?

Il tuo server su 188.165.34.72 ( r29901.ovh.net) esegue BIND 9.5.1-P2.1 - risponde a una domanda perdig @ip version.bind ch txt come previsto con quella stringa di risposta.

Tuttavia l'indirizzo IP che hai citato sopra restituisce un NOTIMPLerrore, anche se non c'è nulla nel tuo file di configurazione citato sugli *.bindpseudo-record e BIND richiede una configurazione esplicita per disabilitarli.


NOTIMPL non è implementato? Perché dovrebbe avere funzionalità non implementate abilitate per impostazione predefinita?

Se è BIND, c'è un'opzione chiamata "versione" che gli dice di inviare un valore specificato dall'utente a quella query, o "nessuno" per disabilitare la funzione. Se l'opzione non è specificata, restituisce il numero di versione effettivo. Non hai citato tale opzione, il che mi fa sospettare che non stai parlando con il server giusto. Vedi isc.org/software/bind/documentation/arm95
Alnitak

Ho controllato ulteriormente - sulla mia scatola MacOSX con bind 9.6.0, l'impostazione di "versione" su "nessuna" restituisce NOERRORe non l' NOTIMPLerrore che sto vedendo da quell'IP.
Alnitak,

0

Perché permetti la ricorsione solo dal tuo computer locale.

Se si desidera consentire aggiungere l'indirizzo IP appropriato e è necessario modificare l'ascolto sul valore di qualsiasi adattatore dal proprio computer locale o inserire l'indirizzo IP dell'interfaccia del computer locale:

listen-on { any;} or x.x.x.x;
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.