Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
-
oln
- Beiträge: 487
- Registriert: 05.01.2021 09:41:24
Beitrag
von oln » 19.12.2022 14:53:21
Hallo Forum,
meine DNS(Bind9) möchte nicht das ich die Abfrage mit AXFR bekomme.
Die Ausgabe ist dann wie folgt:
Code: Alles auswählen
# dig @localhost mydomain.com AXFR
; <<>> DiG 9.16.33-Debian <<>> @localhost mydomain.com AXFR
; (1 server found)
;; global options: +cmd
; Transfer failed.
Im syslog kommt folgender Eintrag:
Code: Alles auswählen
client @0x7f5574014720 127.0.0.1#56959 (mydomain.com): zone transfer 'mydomain.com/IN' denied
Dem Bind ist es aber eigentlich erlaubt. Hier die named.conf.options:
Code: Alles auswählen
acl internals { localhost;127.0.0.0/8;192.168.0/24;192.168.1/24;192.168.100/24; };
options {
directory "/var/cache/bind";
notify no;
empty-zones-enable no;
auth-nxdomain yes;
forwarders {9.9.9.9;149.112.112.112;}; //quad9
allow-transfer { internals; };
dnssec-validation no;
listen-on-v6 { none; };
minimal-responses yes;
allow-query { "internals"; };
allow-query-cache { "internals"; };
recursion yes;
allow-recursion { "internals"; };
tkey-gssapi-keytab "/var/lib/samba/bind-dns/dns.keytab";
};
Was habe ich übersehen?
Danke.
-
heisenberg
- Beiträge: 3542
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Beitrag
von heisenberg » 19.12.2022 17:20:05
Mir fällt auf, dass bei allow-transfer das internals ohne Anführungszeichen eingetragen sind, bei den übrigen Verwendungen aber mit.
Jede Rohheit hat ihren Ursprung in einer Schwäche.
-
oln
- Beiträge: 487
- Registriert: 05.01.2021 09:41:24
Beitrag
von oln » 19.12.2022 18:34:08
heisenberg hat geschrieben: 
19.12.2022 17:20:05
Mir fällt auf, dass bei
allow-transfer das
internals ohne Anführungszeichen eingetragen sind, bei den übrigen Verwendungen aber mit.
Das ist mir auch noch aufgefallen. Macht aber keinen Unterschied.
-
oln
- Beiträge: 487
- Registriert: 05.01.2021 09:41:24
Beitrag
von oln » 20.12.2022 07:46:22
Merkwürdig ist auch, dass es bei Buster geht und bei Bullseye nicht mit der selben Konfiguration.
-
MSfree
- Beiträge: 10752
- Registriert: 25.09.2007 19:59:30
Beitrag
von MSfree » 20.12.2022 08:56:52
oln hat geschrieben: 20.12.2022 07:46:22
Merkwürdig ist auch, dass es bei Buster geht und bei Bullseye nicht mit der selben Konfiguration.
Zwischen Buster und Bullseye hat sich einiges bezüglich apparmor in Kombination mit bind9 geändert. Konfigurationen, die unter Buster gingen, müssen also nicht zwangsläufig unter Bullseye funktionineren. Ich würde mal das Log nach "apparmor"-Meldungen durchsuchen.
-
oln
- Beiträge: 487
- Registriert: 05.01.2021 09:41:24
Beitrag
von oln » 20.12.2022 10:53:14
In den Logs finde ich nichts was appamor und bind9 betrifft.
-
MSfree
- Beiträge: 10752
- Registriert: 25.09.2007 19:59:30
Beitrag
von MSfree » 20.12.2022 11:08:24
oln hat geschrieben: 20.12.2022 10:53:14
In den Logs finde ich nichts was appamor und bind9 betrifft.
Ich hoffe, du hast mit
grep -i gesucht. Ich weiß nämlich gerade nicht, wie die Schreibweise von AppArmor im journal aussieht.
-
oln
- Beiträge: 487
- Registriert: 05.01.2021 09:41:24
Beitrag
von oln » 20.12.2022 11:48:20
MSfree hat geschrieben: 20.12.2022 11:08:24
Ich hoffe, du hast mit
grep -i gesucht. Ich weiß nämlich gerade nicht, wie die Schreibweise von AppArmor im journal aussieht.
Da hoffst du richtig.
