Digは外部クエリに対して「status:REFUSED」を返しますか?


14

DNSが正常に機能しない理由を解決できないようです。ネームサーバーからdigを実行すると、正しく機能します。

# dig ungl.org

; <<>> DiG 9.5.1-P2.1 <<>> ungl.org
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24585
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 1

;; QUESTION SECTION:
;ungl.org.                      IN      A

;; ANSWER SECTION:
ungl.org.               38400   IN      A       188.165.34.72

;; AUTHORITY SECTION:
ungl.org.               38400   IN      NS      ns.kimsufi.com.
ungl.org.               38400   IN      NS      r29901.ovh.net.

;; ADDITIONAL SECTION:
ns.kimsufi.com.         85529   IN      A       213.186.33.199

;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sat Mar 13 01:04:06 2010
;; MSG SIZE  rcvd: 114

しかし、同じデータセンター内の別のサーバーから実行すると、次のメッセージが表示されます。

# dig @87.98.167.208 ungl.org

; <<>> DiG 9.5.1-P2.1 <<>> @87.98.167.208 ungl.org
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 18787
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;ungl.org.                      IN      A

;; Query time: 1 msec
;; SERVER: 87.98.167.208#53(87.98.167.208)
;; WHEN: Sat Mar 13 01:01:35 2010
;; MSG SIZE  rcvd: 26

このドメインの私のゾーンファイルは

$ttl 38400
ungl.org.       IN  SOA r29901.ovh.net. mikey.aol.com. (
                201003121
                10800
                3600
                604800
                38400 )
ungl.org.       IN  NS  r29901.ovh.net.
ungl.org.       IN  NS  ns.kimsufi.com.
ungl.org.       IN  A   188.165.34.72
localhost.      IN  A   127.0.0.1
www             IN  A   188.165.34.72

named.conf.optionsはデフォルトです:

options {
    directory "/var/cache/bind";

    // If there is a firewall between you and nameservers you want
    // to talk to, you may need to fix the firewall to allow multiple
    // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

    // If your ISP provided one or more IP addresses for stable 
    // nameservers, you probably want to use them as forwarders.  
    // Uncomment the following block, and insert the addresses replacing 
    // the all-0's placeholder.

    // forwarders {
    //  0.0.0.0;
    // };

    auth-nxdomain no;    # conform to RFC1035
    listen-on-v6 { ::1; };
    listen-on { 127.0.0.1; };
    allow-recursion { 127.0.0.1; };
};

named.conf.local:

//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
// include "/etc/bind/zones.rfc1918";

zone "eugl.eu" {
         type master;
         file "/etc/bind/eugl.eu";
         notify no;
};


zone "ungl.org" {
         type master;
         file "/etc/bind/ungl.org";
         notify no;
};

サーバーはUbuntu 9.10とBind 9を実行しています。誰かがこれについて少しでも光を当てることができれば、とても嬉しいです!

ありがとう


バインド構成の「オプション」セクションは、動作していないサーバーでどのように見えますか?Ubuntuでデフォルトでは、私はそれがすべて/etc/bind/named.conf.optionsであると信じて
コーリーJ

質問を更新しました。オプションの変更はまだありません

1
named.conf.localのゾーン定義はどうですか?
ktower

メインの投稿に追加

回答:


17

古いスレッドを掘り下げているかもしれませんが、これは、「クエリステータスが拒否されました」というGoogle検索を実行しているときに最も関連性の高い結果の1つであるためです。

私の特定のケースではallow-query { any; };、named.confの各ゾーン定義に含める必要があることがわかりました。


あなたは私の救いの天使です!本当にありがとうございました
codezombie

5

ちょっと一目見ただけで、他の世界を聴くように設定されていないように見えますlisten-on { 127.0.0.1; };。そこに適切なIPアドレスを追加する必要があります。


私は、サーバーのインターネットIPアドレス(188.165.34.72)とリロードバインドにこれを変更しましたが、私はまだ同じ拒否したメッセージを取得しています

1
そのマシンにローカルファイアウォールはありますか?ポートを開く必要がある場合があります(53 TCPおよびUDP)。
ジョンガーデニアーズ

URLは現在動作しているようだが、それでも私の他のサーバーから同じ拒否した状態を示します

4

私は同じことをしますが、named.conf.optionsにallow-queryオプションを入れます


1

リソースレコード(RR)を伴わないNOERRORは、そのようなレコードがないことを意味するため、「バージョン」を「なし」に設定してNOERROR応答と「レコード」を取得しない場合、期待どおりに動作します。

allow-queryBIND9を使用した構成ステートメントもありますが、デフォルトではどこからでもクエリを許可することだと思います。


1

私はまったく同じ問題を抱えていました(ローカルでステータスNOERRORを掘り、外部からステータスREFUSEDを掘ります)解決策は、マッチクライアントを「localhost」(バインドインストールのデフォルト)から「any」(後でドメイン名プロバイダーの正確なIPを確認し、セキュリティ上の理由からその特定のIPに制限します)。また、ビュー名をlocal_somethingからdefaultに変更しました。名前は本当に重要ではありません。

view default {
        match-clients      { any; };
        match-destinations { any; };
        include "/etc/named.rfc1912.zones";
};

それが本当にこの「発掘拒否」ビジネスの問題でした。match-clientsパラメーターを変更した直後に、dig @ 12.34.56.78 mydomain.comクエリがNOERRORステータスで解決し始め、ドメイン名プロバイダー(godaddy)がすぐにネームサーバーレコードをキャッシュしました。ゾーンファイルは既に適切に構成されているため、ドメイン名はすぐにインターネット上で表示されるようになりました。

しかし、これを解決するためにかなり長い間頭を壁にぶつけていました。


1
どのコンピューター上のどのファイルを変更したのか、明確にできますか?
アレクセイ

1

再帰を許可したいネットワークの明示的な参照を入力する必要がありました。「any」を指定しても役に立ちませんでした。デフォルト(Umbutu Server 15)では、このエントリは/etc/bind/named.conf.optionsファイルにありませんでした。

recursion yes;  << needed to add this but did not resolve greater prob
allow-recursion { any; }; << this did not work
allow-recursion { 10.1.0.0/16; }; << this did the trick

0

クエリを正しい場所に送信していると確信していますか?

188.165.34.72(r29901.ovh.net)上のサーバーはBIND 9.5.1-P2.1を実行しています-のクエリに応答しますdig @ip version.bind ch txtて応答文字列で期待どおりに応答します。

ただし、上記で引用したIPアドレスNOTIMPLは、引用された構成ファイルに*.bind疑似レコードに関するものがなく、BINDがそれらを無効にするために明示的な構成を必要とする場合でも、エラーを返します。


NOTIMPLは実装されていませんか?実装されていない機能がデフォルトで有効になっているのはなぜですか?

BINDの場合、そのクエリにユーザー指定の値を送信するように指示する「バージョン」、または機能を無効にする場合は「なし」と呼ばれるオプションがあります。オプションが指定されていない場合、実際のバージョン番号を返します。そのようなオプションを引用していないので、適切なサーバーと通信していないと思われます。参照してくださいisc.org/software/bind/documentation/arm95
オリオン座ゼータ星

さらに確認しました-バインド9.6.0のMacOSXボックスで、「version」を「none」に設定するNOERRORNOTIMPL、そのIPから表示されるエラーは返されません。
アルニタック

0

ローカルマシンからのみ再帰を許可するためです。

適切なIPアドレスの追加を許可する場合、ローカルマシンから任意のアダプターへのリッスン値を変更するか、ローカルマシンのインターフェースのIPアドレスを入力する必要があります。

listen-on { any;} or x.x.x.x;
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.