Помогите ..не трансферятся зоны м праймери сервера. Файлы зон не создаются. Прамери настроен правильно, он на NIC.RU да и для проверки попоробовал secondary.net.ua - там все ок! зоны скачались!Так вот а на моем серваке зоны не копируются, а в логах named ругается:
...transfer of zone'xxx.ru' failed while receiving responses: REFUSED
что это за ерунда?!
А у твоего сервака есть права на создание зон в зонном каталоге?
Но скорее всего надо проверить настройки первичного ДНС. Установлено ли у него в конф.файле разрешение выдавать копию зоны твоему серверу? Какой-нибудь там allow-transfer в options?
Можно попробовать проверить путём nslookup ls с консоли вторичного сервака
>А у твоего сервака есть права на создание зон в зонном каталоге?
>
>Но скорее всего надо проверить настройки первичного ДНС. Установлено ли у него
>в конф.файле разрешение выдавать копию зоны твоему серверу? Какой-нибудь там allow-transfer
>в options?
>Можно попробовать проверить путём nslookup ls с консоли вторичного сервакада на первичном все ок...я попробовал создать на другом серваке вторичный и там зоны скачались..явно трабла у меня, но в чем дело не пойму...и что означает этот REFUSED (вроде как отказ?
А nslookup ls nic.ru или что-то типа того работает с проблемного сервака?
Как вариант можно забирать зоны с других вторичных серваков, пока не разберёшься. Или с них тоже не даёт?
>А nslookup ls nic.ru или что-то типа того работает с проблемного сервака?
>
>Как вариант можно забирать зоны с других вторичных серваков, пока не разберёшься.
>Или с них тоже не даёт?nslookup nic.ru работает а nslookup ls nic.ru
connection timed out
Может на первичном стоят опции max-transfer-per-ns или что-то типа того? То есть передаёт одновременно не больше n зон
>Может на первичном стоят опции max-transfer-per-ns или что-то типа того? То есть
>передаёт одновременно не больше n зон
да нет..на первичном все ок..там уже три вторичных добавленно и со всеми ок! а с моим трабла..хотя на нем еще 16 сайтов вертится и зон столько-же половина вторичных..и все ок...слушай как вторичную зону поднимать? я делал так в named.conf прописал зону
zone "site.ru" in{
ls это запросить передачу зоны. На других серваках должно отрабатывать в таком случае (раз они зоны получают)
А до этого работало? или ты его только начал настраивать? Может у тебя там файрволл какой пропускает udp 53, а tcp 53 не пропускает? В логах первичного сервака ничего не написано об отказах передачи зоны?
>ls это запросить передачу зоны. На других серваках должно отрабатывать в таком
>случае (раз они зоны получают)
>А до этого работало? или ты его только начал настраивать? Может у
>тебя там файрволл какой пропускает udp 53, а tcp 53 не
>пропускает? В логах первичного сервака ничего не написано об отказах передачи
>зоны?
да я на первичный доступ не имею - он на nic.ru платный...тока файл зоны могу редактировать...но админ местный сказал что у них все ок
>Может на первичном стоят опции max-transfer-per-ns или что-то типа того? То есть
>передаёт одновременно не больше n зон
да нет..на первичном все ок..там уже три вторичных добавленно и со всеми ок! а с моим трабла..хотя на нем еще 16 сайтов вертится и зон столько-же половина вторичных..и все ок...слушай как вторичную зону поднимать? я делал так в named.conf прописал зону
zone "site.ru" in{
type slave;
file "site.db";
masters { 111.111.111.111;};
};
111 - это айпи главного сервака...и после rndc reload файл zone.db не создается а named ругается: transfer of 'site.ru' filed while receiving responses: REFUSED
>да на первичном все ок...я попробовал создать на другом серваке вторичный и
>там зоны скачались..явно трабла у меня, но в чем дело не
>пойму...и что означает этот REFUSED (вроде как отказ?А в логе первичного сервера что? Скорее всего ошибка в конфигурации первичного сервера.
>>да на первичном все ок...я попробовал создать на другом серваке вторичный и
>>там зоны скачались..явно трабла у меня, но в чем дело не
>>пойму...и что означает этот REFUSED (вроде как отказ?
>
>А в логе первичного сервера что? Скорее всего ошибка в конфигурации первичного
>сервера.
в логе: transfer of 'site.ru' failed while receiving responses: REFUSED
Ну, то что REFUSED неудивительно, так как ты через nslookup тоже зону не можешь получить, первичный сервак не отвечает. А если первичный сервак не отвечает, то в нём причину и надо искать, если конечно, у тебя брандмауэр пропускает tcp соединения для передачи зоны
>Ну, то что REFUSED неудивительно, так как ты через nslookup тоже зону
>не можешь получить, первичный сервак не отвечает. А если первичный сервак
>не отвечает, то в нём причину и надо искать, если конечно,
>у тебя брандмауэр пропускает tcp соединения для передачи зоны
А дигом получает прекрасно!
пардон - это был лог вторичного! а первичного я не могу - доступа нет..Админ сказал что у них все ок! почитай сообщения выше я все описывал
Тогда идиотский вопрос: /etc/resolv.conf настроен на локальный сервер?
Потому что nslookup завязан на resolv.conf, а dig нет
>Тогда идиотский вопрос: /etc/resolv.conf настроен на локальный сервер?
>Потому что nslookup завязан на resolv.conf, а dig нет
понимаете все настроенно еще два года назад и работает и сейчас. 16 сайтов...все крутится великолепно..только вот вчера решил новые две зоны добавить и вот такая хрень...кстати первичная зона, я добавил ее позавчера для другого сайта работает и трансферится на вторичный на украине!
Ну, если ты два года сопровождал ДНС и всё работало, то уж, думаю, очередную вторичную зону ты смог правильно добавить. Тут возможны два варианта:
1) админ nic.ru. нагло врёт и всё не ок
2) я хрен знает
3) Ну и ещё возможен конфликт разных версий BIND, хотя как именно я затрудняюсь ответить
>3) Ну и ещё возможен конфликт разных версий BIND, хотя как именно
>я затрудняюсь ответить
а что означает эта ругня nameda;? REFUSED...??? отказанно кому или кем? я хрен пойму...отказанно nic.ru в скачке или же кемто другим?!
Файрвол отключи и попробуй.
>Файрвол отключи и попробуй.
Нет! Файрволл не отключай! Пробей в нём дыру для ДНС! :-)
REFUSED насколько я понял означает, что nic.ru. отказал тебе в передаче зоны
>>Файрвол отключи и попробуй.
>Нет! Файрволл не отключай! Пробей в нём дыру для ДНС! :-)
>REFUSED насколько я понял означает, что nic.ru. отказал тебе в передаче зоны
>
как это сделать в ipchains
Я в нём не силён, вот тебе решение для ipfw:
Только перед этим должны идти правила регулирующие соединения к тебе и от тебя, то есть нужно смотреть, куда их вставлять.
add allow tcp from me to any via ppp0 src-port 1024-65535 dst-port 53
add allow tcp from any to me via ppp0 src-port 53 dst-port 1024-65535А вот спёр из книжки Брандмауэры в Линукс:
ipchains -A output -i $external_interface -p tcp \
-s $IPADDR 1024-65535 -d $PRIMARY_DNS 53 -j ACCEPTipchains -A input -i $external_interface -p tcp ! -y \
-s $PRIMARY_DNS 53 -d $IPADDR 1024-65535 -j ACCEPTВ общем, разберёшься. Сразу не добавляй, сначала надо понять в какое место их вставлять. Файрволл спешки не любит :)
что народ подсказать нечего?! никто не знает как правило в файрволе созадть?!
Попробуй сделать следующую вещь:
Запусти tcpdump -i outX host master_dns
Останови намед и запусти его заного. Пакеты пошли к master_dns? Обратно что-нибудь идёт?
Если не идёт, то посмотри маршрут до master_dns. Если большой, то может ttl не хватает? По хорошему надо бы ещё взглянуть на обратный маршрут. Попроси админа ru-center это сделать. Однажды у меня проблема была именно в этом. Решалось разборками с провайдером.
Если пакеты от мастера идут, то:
1. Реверс днс для твоего slave есть?
2. У тебя в зоне прописаны адреса NS. Твой slave резольвится хоть по одному из них?
3. Ну файрвол ещё...
Типа так:
ipchains -I input -p tcp -d me/32 -s master_dns -j ACCEPT
ipchains -I output -p tcp -s me/32 -s master_dns -j ACCEPT
я постирал файлы зон для слейвовых зон...после перезагрузки они все обновились!!! а та, что я описывал у которой мастер ns3.nic,ru - хрен собачий!!! так причем тут файрвол?! получается дело вне машины...либр после моего сервака и до выхода во внешний мир из сети провайдера...либо у НИК.РУ
я замерил пингом:
ttl=248 time=23 msec !!! это с ns3.nic.ru (primary)
ttl=60 time=2 msec это с другим серваком примари!!! так может дело в этом? разница огого
Ну, вообще время ответа ДНС может доходить до 15 сек
Если в файрволле у тебя используется список адресов твоих ДНС-ов тогда он причём, а если нет, то тогда нет. Мы ж твою конфу не знаем.
Так что остаётся проблема тамошнего ДНС-сервака
Кстати, неплохо бы посмотреть логи файрволла, если он не пропускает пакеты, то должен наверное, это регистрировать где-то, тогда можно с уверенностью будет сказать, что дело именно в нём.
>Кстати, неплохо бы посмотреть логи файрволла, если он не пропускает пакеты, то
>должен наверное, это регистрировать где-то, тогда можно с уверенностью будет сказать,
>что дело именно в нём.спасибо! кстати а как применить новые правила? перезапуск системы?
Нет, думаю, достаточно будет перезапуска ipchains
>Нет, думаю, достаточно будет перезапуска ipchains
у меня redhat 7.2 где там логи ipchains? что-то не найду их..
>>Нет, думаю, достаточно будет перезапуска ipchains
>
>
>у меня redhat 7.2 где там логи ipchains? что-то не найду их..
>
обычно по умолчанию пишуться в /var/log/message, если в syslog.conf не переопределино
для трансфера зон на firewall кроме открытого порта 53 по UDP должен быть открыт 53 порт и по TCP, ну и само собой на mastere должно стоять разрешение
allow-transfer c указанием сетей или ip адресов кому можно отдавать зону. Если параметр не задан, то по дефолту кажется разрешает всем.