iT邦幫忙

0

webmin BIND 8 DNS Slaves路逕設定問題

最近換新的DNS Slave 用cenotes 8 裝Webmin1.953遇到了同步的問題
原本一直沒成功同步,但發現其實有同步成功 /var/named/slaves裡確認有同步到
但bind好像套用的設定不是這個路徑
該怎麼修改呢?
在麻煩大家解答了,感謝。

BIND version 9.11
補充
另外有註解dnssec-lookaside 'auto' 查文章說centos8不支援
基本上named.conf的內容是從正常的其他台slave複製內容貼上
原本就有加入masterfile-format text

原本的slave都測過目前正常同步中

slave的設定檔

options {
	listen-on port 53 { any; };
	listen-on-v6 port 53 { any; };
	directory 	"/var/named";
	dump-file 	"/var/named/data/cache_dump.db";
	statistics-file "/var/named/data/named_stats.txt";
	memstatistics-file "/var/named/data/named_mem_stats.txt";
	allow-query     { any; };
	masterfile-format text;

	recursion yes;

	dnssec-enable yes;
	dnssec-validation yes;

	/* Path to ISC DLV key */
	bindkeys-file "/etc/named.iscdlv.key";

	managed-keys-directory "/var/named/dynamic";

	pid-file "/run/named/named.pid";
	session-keyfile "/run/named/session.key";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "." IN {
	type hint;
	file "named.ca";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

zone "domain" {
	type slave;
masters{mastetr主機IP;};
	file "/var/named/slaves/domain.hosts";
	};

7/20更新 發現其實設定有執行,但是webmin卻沒正常顯示出被同步的圖形介面。

看更多先前的討論...收起先前的討論...
能不能貼一下設定來看呢?
c5488 iT邦新手 5 級 ‧ 2020-07-17 09:39:45 檢舉
/etc/named.conf裡面file "/var/named/slaves/domain":
這部分有接收到資料有同步到,但問題是bind卻不是吃這裡面的資料或者讀不到
c5488 iT邦新手 5 級 ‧ 2020-07-17 10:29:16 檢舉
有做補充了
ayu iT邦好手 2 級 ‧ 2020-07-17 20:14:13 檢舉
dnssec-lookaside , 自9.12起已捨棄不用
dnssec-enable , 也會自9.15起捨棄不用(=強制enable)
masterfile-format text 自9.9以後預設同步下來的zone DB file是RAW格式, 該設定改以文字模式
allow-query { any; };
recursion yes;
這兩行設定合起來放公網上等於自尋死路
c5488 iT邦新手 5 級 ‧ 2020-07-20 08:40:28 檢舉
感謝回覆,那我DNS是架在外部線入,沒有連到內網,這兩行要怎麼修改比較好呢?
ayu iT邦好手 2 級 ‧ 2020-07-21 15:59:33 檢舉
詳解見回答區喔.

1 個回答

0
ayu
iT邦好手 2 級 ‧ 2020-07-21 16:03:47
最佳解答

如果是做為外部解析用的權威伺服器(authoritative server), 必須注意幾個要點:

  • 不限來源, 任何人都可查詢
    allow-query { any; };
  • 禁止或限制遞迴查詢
    禁止可用 recursive no;
    或是限制可遞迴查詢的範圍
    recursive yes;
    allow-recursion { myip; };
  • 禁止或限制 zone data 傳送
    allow-transfer { none; };
    或 allow-transfer { myip; };
  • 善用 Bind-9.11起的功能
    minimal-any yes ; //有效降低ANY回應對付floods但限UDP,遇TCP破功
    minimal-responses yes ; //降低查詢回應量
    minimal-any 個人認為很重要但這幾年幾乎無華人提及, 這是對治洪水攻擊floods的有效辦法之一, 但只限UDP, 若改用TCP就沒效了.
    而同樣的功能在 NSD-4.1.27 以後版本, refuse-any 對 UDP/TCP 皆有效!

PS.

  • root-servers 有三組是使用 NSD
  • myip 可以是多組IP或netblock, 也可以用ACL定義

我要發表回答

立即登入回答