LINUX.ORG.RU
ФорумAdmin

Ошибка при перезапуске Bind9

 , , ,


0

1

Здравствуйте! Стоит Ubuntu 16.04. При перезапуске Bind9 выскакивает среди других вот такое сообщение: couldn't add command channel ::1#953: address not available

Подскажите, пожалуйста, как устранить эту ошибку?

IPTables прикладываю:

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 124.12.164.0/24 -j MASQUERADE -o ens3
-A POSTROUTING -o eth0 -s 124.12.164.0/24 -j MASQUERADE
COMMIT

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]


# ХАК
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol none -j DROP
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m multiport --dports 500,4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol ipsec -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -j DROP
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -i eth0 -o ppp+ -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp+ -o eth0 -j ACCEPT
-A FORWARD -s 124.12.164.0/24 -d 124.12.164.0/24 -i ppp+ -o ppp+ -j ACCEPT
-A FORWARD -j DROP


# Разрешаем весь трафик на петлевом интерфейсе
-A INPUT -i lo -j ACCEPT

# Запретить внешним пакетам использовать петлевой адрес
-A INPUT -i eth0 -s 127.0.0.1 -j DROP
-A FORWARD -i eth0 -s 127.0.0.1 -j DROP
-A INPUT -i eth0 -d 127.0.0.1 -j DROP
-A FORWARD -i eth0 -d 127.0.0.1 -j DROP

# Все, что приходит из Интернета, должно иметь настоящий интернет-адрес
-A FORWARD -i eth0 -s 124.12.0.0/16 -j DROP
-A FORWARD -i eth0 -s 172.16.0.0/12 -j DROP
-A FORWARD -i eth0 -s 10.0.0.0/8 -j DROP
-A INPUT -i eth0 -s 124.12.0.0/16 -j DROP
-A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
-A INPUT -i eth0 -s 10.0.0.0/8 -j DROP

# Разрешаем всё для ВПН-клиентов
-A INPUT -i ppp+ -s 124.12.164.0/24 -j ACCEPT


# Разрешаем входящие соединения к L2TP, но только с шифрованием!
-A INPUT -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT

# Разрешаем IPSec
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -p udp --dport 500 -j ACCEPT
-A INPUT -p udp --dport 4500 -j ACCEPT

# Разрешаем доступ к серверу по SSH
-A INPUT -m tcp -p tcp --dport 2002 -j ACCEPT


# Разрешаем входящие ответы на исходящие соединения
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# NAT для локальной сети (ВПН-клиентов)
-A FORWARD -i ppp+ -o ens3 -s 124.12.164.0/24 -j ACCEPT
-A FORWARD -i ens3 -o ppp+ -d 124.12.164.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Блокировать исходящие NetBios (если у вас запущены машины с Windows в частной подсети). Это не повлияет на NetBios трафик, который проходит через VPN-туннель, но он остановится локальные машины Windows от вещания себя интернет.
-A FORWARD -p tcp --sport 137:139 -o eth0 -j DROP
-A FORWARD -p udp --sport 137:139 -o eth0 -j DROP
-A OUTPUT -p tcp --sport 137:139 -o eth0 -j DROP
-A OUTPUT -p udp --sport 137:139 -o eth0 -j DROP

# Проверка правильности адреса источника на пакетах, выходящих в интернет
-A FORWARD ! -s 124.12.164.0/24 -i eth1 -j DROP

# Разрешить локальную петлю
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -d 127.0.0.1 -j ACCEPT

# Drop входящих эхо-запросов
-A INPUT -p icmp --icmp-type echo-request -j DROP

# Drop пакетов из частных подсетей
-A INPUT -i eth1 -j DROP
-A FORWARD -i eth1 -j DROP

# Сохранять состояние соединений из локальной машины и частных подсетей
-A OUTPUT -m state --state NEW -o eth0 -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -m state --state NEW -o eth0 -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Включаем Самбу
-A INPUT -p tcp -m tcp --dport 445 --source 124.12.164.0/24 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 139 --source 124.12.164.0/24 -j ACCEPT
-A INPUT -p udp -m udp --dport 137 --source 124.12.164.0/24 -j ACCEPT
-A INPUT -p udp -m udp --dport 138 --source 124.12.164.0/24 -j ACCEPT

-A INPUT -i eth0 -s 124.12.164.0/24 -p udp --dport 137:138 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -d 124.12.164.0/24 -p udp --sport 137:138 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -s 124.12.164.0/24 -p tcp --dport 139 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -d 124.12.164.0/24 -p tcp --sport 139 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -d 124.12.164.0/24 -p udp --sport 445 -m state --state ESTABLISHED -j ACCEPT

-I INPUT -i eth0 -p tcp --dport 135 -j DROP
-I INPUT -i eth0 -p tcp --dport 136 -j DROP
-I INPUT -i eth0 -p tcp --dport 137 -j DROP
-I INPUT -i eth0 -p tcp --dport 138 -j DROP
-I INPUT -i eth0 -p tcp --dport 139 -j DROP
-I INPUT -i eth0 -p tcp --dport 445 -j DROP
-I INPUT -i eth0 -p tcp --dport 1701 -j DROP
COMMIT

IPTables прикладываю

Зачем? Можно ещё df приложить с тем же успехом, или lspci...

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от saliery

ничего не выдала
tcp LISTEN 0 128 127.0.0.1:953 : users:((«named»,pid=2064,fd=23))

Ну значит IPv6 нет, на него и ругается. Но в принципе запустился и слушает на IPv4.

AS ★★★★★
()
Ответ на: комментарий от AS

всё, понятно, я специально v6 отключил, т. к. у меня 4, зачем лишние интерфейсы задействовать тогда не страшно спасибо большое!

saliery
() автор топика
Ответ на: комментарий от saliery

как устранить это ?

Видимо поубирать лишнее из конфига, если не используешь. Я что-то и не видел, где там у него и зачем GeoIP. Ну или наоборот, дать ему эту базу.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от AS

named.conf.options:

options {
	directory "/var/cache/bind";

	auth-nxdomain no;    # conform to RFC1035
	allow-query { any; };
	dnssec-enable no;
        dnssec-validation no;
        dnssec-lookaside no;
	recursion no;
	listen-on-v6 { none; };
	allow-notify { none; };

    listen-on {
      127.0.0.1;
      144.218.57.236;
    };

};

а где тут надо убрать его ?

saliery
() автор топика
Ответ на: комментарий от saliery

В конфиге ты его не уберёшь. В убунте (в 16.04 точно) Bind9 собран с ключом --with-geoip=/usr.

Т.о. тебе нужен либо Bind9 собранный без GeoIP, либо установить эту БД про которую он пишет (судя по всему, GeoIP у тебя установлен и остальные БД у тебя в системе есть).

shrub ★★★★★
()
Ответ на: комментарий от shrub

честно говоря, не понял если уже установлен GeoIP, так что в таком случае надо ещё делать?

saliery
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.