Пытаюсь скачать dns зону, но при етом tcpdump говорить мне такое:12:26:29.188824 IP (tos 0x0, ttl 57, id 36059, offset 0, flags [none], proto UDP (17), length 68) 89.136.14.119.63749 > 213.170.115.194.53: [udp sum ok] 35836 [1au] SOA? terys.spb.ru. ar: . OPT UDPsize=2048 (40)
12:26:29.188972 IP (tos 0x0, ttl 64, id 7561, offset 0, flags [none], proto UDP (17), length 196) 213.170.115.194.53 > 89.136.14.119
4.63749: 35836* q: SOA? terys.spb.ru. 1/2/3 terys.spb.ru. SOA[|domain], что типа SOA некоректная? Но при етом проверка по named-checkzone... возвращает удачу, как тогда понять написаного? В конечном итоге зона не скачивается, в главном конфиге named убрал все запрещающего. Что посоветуете?
(проблемная SOA)
terys.spb.ru. IN SOA mach.terys.spb.ru. machmail.gmail.com. (
2008041201 6h 59m 2w 1d )IN NS mach.terys.spb.ru.
IN NS ns1.rotty.ru.
IN A 213.170.115.194
IN MX 10 mach.terys.spb.ru.
Не очень понятно откуда Вы пытаете скачать зону. Если от себя к себе, то не могли бы Вы выложить named.conf с обоих серверов (primary и slave)?
Зону пытаюсь скачать с домашнего на рабочийnamed.conf (master)
===================key "terys.spb.ru" {
algorithm hmac-md5;
secret "A8nfsdf7azOXMLMn8ihbbhgY8r5MuQldkokdgfffGddai7QSb8lm5l3HdAtYJZhXF/2WFCIpZ0VSGCT6GG0cw==";
};controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { "terys.spb.ru"; };
};options {
directory "/etc/namedb";
pid-file "/var/run/named/pid";
dump-file "/var/dump/named_dump.db";
statistics-file "/var/stats/named.stats";zone "terys.spb.ru" {
type master;
file "master/terys.spb.ru";
notify yes;
};
....named.conf(slave ), аналогичен только имен соответсвенно другие, ну и само сабой описание требуемой зоны подобно slave описание.
Кстати на заметку, вот тут вспомнил что питался накручивать bind под ldap, и ставил соответственно другую версию, которой уже не использую, хотя в rc.conf прописано что bind должен запускаться по умолчанию (без поддержки ldap), может чего-то где-то осталось или перезаписалось от bind-sdb-ldap, и стары bind его не понимает, поетому и такие проблемы??
>Зону пытаюсь скачать с домашнего на рабочий
>Во-превых: трансфер идет по tcp, а не по udp (см дамп)
Во-вторых: tcpdump'ом отслеживать процесс трансфера зоны???? это "%№;:%!"№;
В-третих: для вышасказанного есть лог файл.
В-четвертых: для начала попробуй на мастер-сервере локально протестиь трансфер зоны с помощью dig, если заработает - тогда уже пробуй между серваками.
В-пятых: проверяй фтльтрацию на уровне бинда (неплохо также выставить axfr source port) + фильтрацию на уровне сервака.
В-шестых:>key "terys.spb.ru" {
> algorithm hmac-md5;а можно еще ip сервака и рутовый пароль глянуть? ))
1ight_apprentice, всего лишь попросил меня показать содержимое named.conf, я и показал, но после етого почувствовал себя обманутым и мне как-то больше не хочется общатся в форуме!! Спасибо кенечно за ответы, Pahanivo, было бы все круто если небыли последние 3 ваши строки.
>1ight_apprentice, всего лишь попросил меня показать содержимое named.conf, я и показал, но
>после етого почувствовал себя обманутым и мне как-то больше не хочется
>общатся в форуме!! Спасибо кенечно за ответы, Pahanivo, было бы все
>круто если небыли последние 3 ваши строки.Че ты плачешь как девачко? )))
the пошел ты!!!!
>the пошел ты!!!!Мда. Попахивает критинизмом.
>the пошел ты!!!!товарищ лишь прозрачно намекнул тебе, что ты не подумавши светишь в форуме ключ управления named'ом, а ты сразу в грубости. нехорошо!
Вопрос: как тогда надо было ответит на просбе показать named.conf??? вопрос на шестерку!
Ну Неужели вы думаете, что высвечу правдивые данны...все соответсвует реальным, для того чтобы с проблему разобратся, токо данны для таких как "девочко..", выдуманые, и вообще-то по моей позиции можно понять, кто ето начал хитро грубить!
Теперь о проблеме: вы можете что-то подсказатьtransfer of 'terys.spb.ru/IN' from 213.170.115.194#53: failed to connect: timed out
>Вопрос: как тогда надо было ответит на просбе показать named.conf??? вопрос на
>шестерку!
>Ну Неужели вы думаете, что высвечу правдивые данны...все соответсвует реальным, для того
>чтобы с проблему разобратся, токо данны для таких как "девочко..", выдуманые,
>и вообще-то по моей позиции можно понять, кто ето начал хитро
>грубить!Слухай ShyLion, он дело говорит.
>Теперь о проблеме: вы можете что-то подсказать
>
>transfer of 'terys.spb.ru/IN' from 213.170.115.194#53: failed to connect: timed outДа, трансфер отвалился по таймауту. Тебе же пишут - для начала пробуй сделать ЛОКАЛЬНО трансфер на мастере! man dig
Ну посмотрел локально, все круто, все есть, все на месте, все корректно. Какой man дальше читат?...
>Ну посмотрел локально, все круто, все есть, все на месте, все корректно.
>Какой man дальше читат?...Что именно посмотрел?
Дальше что делать - смотри предыдущие посты.
>Ну посмотрел локально, все круто, все есть, все на месте, все корректно.
>Какой man дальше читат?...Посмотри логи фаервола, попробуй его временно отключить. многие разрешая доступ к ДНС открывают только UDP/53, хотя трансфер обычно идет по TCP/53. Смотри tcpdump не только по udp но и по tcp, видно будет состоялось соединение или нет. Проверь фаервол не только на мастере, но и есть ли доступ наружу у слейва.
я даже специально ядро пересобирал чтобы отключить его, думаю ему хватить :) на обоих компах нету ничего запрещающего, т.е как, есть, только не могу его найти, соединения видны на обоих компьютеров, наподобие логов выложены при создание темой. У меня руки завязаны! На лету поднимаю dns, за секунды скачиваю зоны, не раз и не два, а тут вот такая батва. даже сборку мира не помогла, из за того что усомнился что bind-sdb-ldap переписал кое какие библиотеки. ..Тоже ничего! ....А как можно посмотрет более детайльно и понятливо содержание того покета при ответе на slave о передаче зоны, или что там должно быть кроме всей абракадаброй, чтоб действительно знать что зона переносится, а провайдер меня ...бац и режет?!
Пришла тут мысль: а если попробовать dig на slave'е?По поводу tcpdump'а тоже man лучше почитать. Есть у него опции, увеличивающие детализацию (кажется -v и -vv, но лучше всё-таки уточните).
да ключики tcpdump'a я знаю позже буду логи анализировать, но если дело дошло до tcpdump, то дело плохо, я так считаю :). Насчет slave, мы думаем почти одновременно :), до того как вы отписались, мне уже пришла мысл, и скачал зону стороннего провайдера, значить проблема на стороне master, ето уже однозначно!
Ответы обоим сразу.Для Pahanivo.
Какая разница, что хэш ключа засветился, если в конфиге чётко написано, что управление разрешено ТОЛЬКО для адреса 127.0.0.1 ?Для raba.
Все пункты, перечисленные Pahanivo, кроме во-вторых и в-шестых (ИМХО оба несущественные) правильные.Всем сразу.
Поскольку на master'е строчки allow-transfer нет, то передача зон разрешена ДЛЯ ВСЕХ. Так что налегаем на пункт "в-четвёртых".
>[оверквотинг удален]
>Для Pahanivo.
>Какая разница, что хэш ключа засветился, если в конфиге чётко написано, что
>управление разрешено ТОЛЬКО для адреса 127.0.0.1 ?
>
>Для raba.
>Все пункты, перечисленные Pahanivo, кроме во-вторых и в-шестых (ИМХО оба несущественные) правильные.
>
>
>Всем сразу.
>Так что налегаем на пункт "в-четвёртых".действительно автор по чему бы для начала не выложить вывод команды dig c мастера
dig @your_name_server your_zone Aпо поводу
>Поскольку на master'е строчки allow-transfer нет, то передача зон разрешена ДЛЯ ВСЕХ.allow-query { any; };
allow-transfer { почему бы не прописать сдесь слайв найм сервер localhost; };вс общем пропишите сервера которые могут транспортировать зонуда я сейчас посмотрел ваш сервер был найдет соответственно непосредственно он не отдал зону allow-query { any; }; вот этот поставьте