LINUX.ORG.RU
ФорумGeneral

Странное сообщение в логах bind

 ,


0

1

Есть два DNS, оба на debian 7. В логах slave сервера вижу такое: 

19-Aug-2013 08:54:24.282 general: error: dumping master file: /etc/bind/mydomain/in-addr.arpa.zone/tmp-PIt9WKYvrG: open: file not found
19-Aug-2013 08:58:54.372 general: error: dumping master file: /etc/bind/mydomain/in-addr.arpa.zone/tmp-721Ko4uR8Z: open: file not found
19-Aug-2013 09:02:13.472 general: error: dumping master file: /etc/bind/mydomain/tmp-FAKrg3biuo: open: file not found

Трансервинг зон проходит нормально, но, что за файлы «tmp-721Ko4uR8Z»? Права на папки стоят 640.

★★
Глюки с RTL8188CE. Необходимость в BLOB?
Непонятный репозиторий Debian Testing

С чем связаны ошибки не знаю, но про временные файлы написано в FAQ по bind:

Named writes the new cache file to a temporary file then renames it to the name specified in named.conf to ensure that the contents are always complete. This is to prevent named loading a partial zone in the event of power failure or similar interrupting the write of the master file.

Если зона нормально кешируется и складывается в указанный в конфиге файл, ИМХО, эти ошибки не критичны.

mky ★★★★★
()
Последнее исправление: mky (всего исправлений: 1)
Ответ на: комментарий от mky

Ага, вроде разобрался в чем дело. Нужны были права на папку с зонами 2755 (bind:bind) и на slave сервере так же необходимо было создать эту папку с зонами.

nixit ★★
() автор топика
Ответ на: комментарий от mky

Вот ещё что заметил в логах: 

19-Aug-2013 16:09:22.404 info: client хх.хх.хх.104#56377: query (cache) 'rp5.ru/A/IN' denied
19-Aug-2013 16:09:22.817 info: client хх.хх.хх.104#46977: query (cache) 'time.windows.com/A/IN' denied
19-Aug-2013 16:09:22.844 info: client хх.хх.хх.115#49589: query (cache) 'dnl-05.geo.kaspersky.com/A/IN' denied
19-Aug-2013 16:09:23.220 info: client хх.хх.хх.115#56558: query (cache) 'ping3.teamviewer.com/A/IN' denied
19-Aug-2013 16:09:23.470 info: client хх.хх.хх.104#49743: query (cache) 'dl2.htc.com/A/IN' denied
19-Aug-2013 16:09:23.703 info: client хх.хх.хх.104#33452: query (cache) 'swupmf.adobe.com/A/IN' denied
19-Aug-2013 16:09:23.768 info: client хх.хх.хх.104#46977: query (cache) 'time.windows.com/A/IN' denied
19-Aug-2013 16:09:24.226 info: client хх.хх.хх.115#49597: query (cache) 'ksn4-12.kaspersky-labs.com/A/IN' denied
19-Aug-2013 16:09:24.379 info: client хх.хх.хх.104#56377: query (cache) 'rp5.ru/A/IN' denied
19-Aug-2013 16:09:24.460 info: client хх.хх.хх.104#52740: query (cache) '41.23.168.192.in-addr.arpa/PTR/IN' denied
19-Aug-2013 16:09:24.840 info: client хх.хх.хх.115#49589: query (cache) 'dnl-05.geo.kaspersky.com/A/IN' denied
19-Aug-2013 16:09:24.840 info: client хх.хх.хх.115#51481: query (cache) 'dnl-15.geo.kaspersky.com/A/IN' denied
19-Aug-2013 16:09:25.197 info: client хх.хх.хх.115#56558: query (cache) 'ping3.teamviewer.com/A/IN' denied

Причем, хх.хх.хх.115 и хх.хх.хх.104 адреса из пула наших белых адресов. Это что, атака на кэш dns?..

Есть мысль добавить: 

allow-query { xx/20; };
allow-query-cache { xx/20; };

Где, xx/20 - пул белых адресов. Тоесть разрешить кэш для этих адресов. Но, разве он по умолчанию не включен. И не опасно ли это. В общем, прошу совета.

nixit ★★
() автор топика
Ответ на: комментарий от mky

И ещё, почему-то slave сервер не обрабатывает внешние зоны. Тоесть зоны mydomain.ru он отдает, а go.ru нет...

nixit ★★
() автор топика
Ответ на: комментарий от nixit

Если под «отдачей» зоны подразумевается трансфер (ответ на запрос): 

dig -t axfr go.ru
то сервер отдаёт только те зоны, за которые отвечает.

Если же подразумевалось, что он не отвечает на простой запрос go.ru, то это, скорее всего на нём выключена рекурсия.

Но, разве он по умолчанию не включен.

Раньше был включен. Теперь всем счастье с обновлением, пока конфиг не поправят.

Prior to the release of BIND 9.4.1-P1, the default action of «allow-recursion» and «allow-query-cache» was to permit the query. The P1 patch to BIND 9.4.1 caused two changes in this behavior:

1. If not explicitly set, the ACLs for «allow-query-cache» and «allow-recursion» were set to «localnets; localhost;».

2. If either «allow-query-cache» or «allow-recursion» was set, the other would be set the same value.

И не опасно ли это.

Для своих не опасно, а обычно нужно.

mky ★★★★★
()
Ответ на: комментарий от mky

Ага, вроде разобрался, спасибо. Попутно обнаружил китайцев, которые пытались переполнить кэш моих dns.

nixit ★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Глюки с RTL8188CE. Необходимость в BLOB?
General
Непонятный репозиторий Debian Testing