Bind9 transfer Zone

[garciam]

Hallo

Ich habe Probleme mit dem transfer der Zonen. Auch wenn ich Bind restarte werden die Zonen nicht auf den Sekundaeren DNS uebertragen. Auf beiden DNS habe ich das named.conf angepasst und die Zonen im /var/named erstellt. Der Primare DNS funktioniert auch soweit. Der sekundaere DNS sollte doch nach der abgelaufenen Zeit nachschauen ob es neue Eitraege hat, da muss ja nicht noch ein Chronjob, oder etwas aehnliches konfiguriert werden?

Wo gibt es ein Log in dem der DN,S Fehler eintraegt. Ich habe gelesen, dass er ins Syslog schreibt, dem ist aber nicht so.

Fuer Hilfe waer ich sehr dankbar, da der Server heute Abend laufen muss.

Gruss

[tcs]

...da der Server heute Abend laufen muss.

Ui...
na gut, dann krempeln wir mal die Ärmel hoch

Poste bitte mal die Configs, von Master UND Slave.

Und das da probieren:
tail -f /var/log/syslog
auf einer Konsole, auf einer zweiten
/etc/init.d/bind9 restart

-gucken was syslog sagt und posten.

Das sind die grundsätzlichen Infos die man zum starten braucht.
Insgesamt sollte in diesem Forum genügend Wissen konzentriert sein um einen DNS zum laufen/schicken zu bringen

Cheers

tcs

[garciam]

Hallo

named.conf vom Slave-DNS:

options {
directory "/var/named";
listen-on port 53 { 10.10.3.248; };
forwarders { 62.x.xx.xx; 62.x.xx.xxx; };
};

zone "." IN {
type hint;
file "named.ca";
};

zone "0.0.127.in-addr.arpa" {
file "127.0.0.zone";
type master;
};

zone "3.10.10.in-addr.arpa" {
file "bak.10.10.3.zone";
type slave;
masters { 10.10.3.249; };
};

zone "xx.x.62.in-addr.arpa" {
file "bak.62.x.xx.zone";
type slave;
masters { 10.10.3.249; };
};

zone "dns.local" IN {
type slave;
file "bak.dns.local.zone";
masters { 10.10.3.249; };
};

zone "dns.ch" IN {
type slave;
file "bak.dns.ch.zone";
masters { 10.10.3.249; };
};

named.conf vom Master-DNS

options {
directory "/var/named";
listen-on port 53 { 10.10.3.249; };
forwarders { 62.x.xx.xx; 62.x.xx.xxx; };
};

zone "." IN {
type hint;
file "named.ca";
};

zone "dns.local" IN {
type master;
file "dns.local.zone";
};

zone "3.10.10.in-addr.arpa" IN {
type master;
file "10.10.3.zone";
};

zone "0.0.127.in-addr.arpa" IN {
type master;
file "127.0.0.zone";
};

zone "dns.ch" IN {
type master;
file "dns.ch.zone";
};

zone "xx.x.62.in-addr.arpa" IN {
type master;
file "62.x.xx.zone";
};

Bei mir gibt es kein syslog unter /var/log. Der DNS laeuft aber auf einem Redhat... Ein syslog gibt es bei mir unter /etc/sysconfig/syslog jedoch wird dort nichts geloggt.

# -r enables logging from remote machines
# -x disables DNS lookups on messages recieved with -r
# See syslogd(8) for more details
SYSLOGD_OPTIONS="-m 0"
# Options to klogd
# -2 prints all kernel oops messages twice; once for klogd to decode, and
# once for processing with 'ksymoops'
# -x disables all klogd processing of oops messages entirely
# See klogd(8) for more details
KLOGD_OPTIONS="-x"

Ich habe bereits etliches im Internet durchgeschaut und auch das Bind Buch liegt vor meiner Nase... aber irgendwie sehe ich nicht was ich falsch mache.

Danke!

[tcs]

Beim Master fehlen die "notify yes" und "allow-transfer" Direktiven.
Bitte mit ps aux | grep named prüfen ob bind überhaupt läuft.

Cheers

tcs

[garciam]

named.conf vom Master ergaenzt.

options {
allow-transfer { none ; };
notify yes;
};

Das notify ist aber nicht unbedingt notwendig, oder?

Der DNS laeuft schon, nslookup kann ich ausfuehren.

ps aux:
named 7975 0.0 0.2 47372 2968 ? S 14:18 0:00 /usr/sbin/named

nslookup:
Server: 10.10.3.249
Address: 10.10.3.249#53

Name: dns1.dns.local
Address: 10.10.3.249

Sollte bei "Server:" nicht der Name stehen?

[tcs]

options {
allow-transfer { none ; };
notify yes;
};

In allow-transfer sollte der Slave stehen.

Das notify ist aber nicht unbedingt notwendig, oder?

Doch, der Master schickt einen Notify sobald Änderungen auftreten.

Hab vorhin den Link nicht gefunden, hier gibt's weitere hilfreiche Infos zum Thema bind9 Master/Slave.

Cheers

tcs

[tcs]

Masterconfigs:

named.conf.options

Code: Alles auswählen

options {
        directory "/var/cache/bind";

        forwarders {
            129.187.10.25;      #Uni Muenchen
            131.188.3.2;        #Uni Erlangen
            195.3.97.4;         #ns1.telekom.at
            195.58.160.2;       #ns1.inode.at
        };

        auth-nxdomain no;    # conform to RFC1035

        listen-on {
            127.0.0.1;
            192.168.0.1;
        };

        version "my version is so secret that I don't even know what I'm running...";
        allow-transfer { 192.168.0.2; };
        notify yes;
        also-notify {  192.168.0.2; };

};

named.conf.local

Code: Alles auswählen

//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

# domain.tld:
zone "domain.tld" IN {
    type master;
    file "/etc/bind/db.domain.tld";
    allow-update { 127.0.0.1; 192.168.0.2; };
};

zone "0.168.192.in-addr.arpa" {
    type master;
    file "/etc/bind/db.192.168.0";
    allow-update { 127.0.0.1; 192.168.0.2; };
};

So hatte ich das bei mir im lokalen Netz mal am laufen.

Cheers

tcs

[garciam]

Hallo tcs

So, entlich laufen die NS, nachdem meine Nerven stark in anspruch genommen wurden und einem HW Crash beim Server passierte. Das war schoen, als der Server keinen Wank mehr machte und ich natuerlich keine Ersatzteile hatte... nochmals von vorne.

Nun habe ich noch ein Problem mit iptables, das war scheinbar auch das Problem wieso die Zonen nicht abgeglichen wurden. Habe Port 53 zwar freigegeben jedoch funktioniert der Abgleich nicht wenn iptables aktiv ist, kennst du dich evtl. damit aus?

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

....und ansonsten, danke fuer die Bind-Hilfe!

Gruss

[garciam]

Habe nun noch ein paar kleine Aenderungen gemacht und noch tcp53 geoeffnet, nun funktioniert es.

Wiso das tcp auch offen sein muss ist mir zwar nicht ganz klar.

[tcs]

Server? Firewall? Braucht man nicht.

Firewall:
Schützt Netzwerk A vor Netzwerk B.
Oder einen Windowsrechner, nennt man dann "personal Firewall", die kann aber für *NIX ruhig irgendwo unbenutzt verrotten.

Cheers

tcs

[linuxOS]

Für die DNS-Anfragen benutzt Bind UDP und für den Zonen-Transfer TCP


----------------------------------------------------
6c48bb17872c696ef5dbb24a60f4fbf3
http://lin-x.de