我正在testing我们的实验室DNS服务器上的BIND响应策略区function。 我们使用BIND 9.8.2运行RHEL 6服务器。 我已经按照这里的指示,但我不能得到它的工作。 这是我所知道的:
1)DNS服务器响应在其他区域中find的主机的查询
2)我的RPZ区域加载成功,可以在这里看到:
Jan 28 12:00:13 labdns named[26564]: zone rpz/IN: loaded serial 2015012816 但是当我查询在RPZ区域中find的域时,这里是我在/ var / log / messages中看到的内容:
Jan 28 11:52:54 labdns named[26060]: client 192.168.254.202#38524: query (cache) 'x99moyu.net/A/IN' denied
我之前已经看到过这种行为,但是只有当您recursionclosures并且查询在区域文件中找不到的主机时才会看到此行为。 这是我的RPZ区域db文件:
$TTL 86400 @ IN SOA localhost. root.localhost. ( 2015012816 ; serial 3600 ; refresh 1800 ; retry 604800 ; expire 86400 ; minimum ) @ IN NS lab.testdns.net. ; Response Policy for x99moyu.net x99moyu.net IN A 127.0.0.1 IN AAAA ::1 ; Response Policy for ix99moyu.net ix99moyu.net IN A 127.0.0.1 IN AAAA ::1 ; Response Policy for duobao369.com duobao369.com IN A 127.0.0.1 IN AAAA ::1
我曾尝试在域名前面和后面加点,但这并没有帮助,指示说不要使用点。
这是我的/etc/named.conf文件:
// // named.conf // // Provided by Red Hat bind package to configure the ISC BIND named(8) DNS // server as a caching only nameserver (as a localhost DNS resolver only). // // See /usr/share/doc/bind*/sample/ for example named configuration files. // options { listen-on port 53 { 192.168.155.128; }; #Master DNS Servers IP listen-on-v6 port 53 { ::1; }; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named.stats"; memstatistics-file "/var/named/data/named_mem_stats.txt"; allow-query { localhost; 192.168.155.0/24; 192.168.254.0/23; 192.168.160.0/24; }; # IP range of hosts allow-transfer { localhost; 192.168.254.202; }; # Slave DNS server recursion no; dnssec-enable yes; dnssec-validation yes; dnssec-lookaside auto; zone-statistics yes; /* Path to ISC DLV key */ bindkeys-file "/etc/named.iscdlv.key"; managed-keys-directory "/var/named/dynamic"; response-policy { zone "rpz"; }; }; logging { channel default_debug { file "data/named.run"; severity dynamic; }; channel rpz-queries { file "/var/log/bind/rpz.log" versions 10 size 50m; severity info; }; category rpz { rpz-queries; }; }; zone"rpz" IN { type master; file "/var/named/db.rpz"; notify yes; allow-update { none; }; }; include "/etc/named.rfc1912.zones"; include "/etc/named.root.key";
我不知道如何前进或如何进一步debugging。 任何帮助表示赞赏。
编辑 – 这是一个挖掘命令的输出。 这是我看到“拒绝”的信息
dig @192.168.155.128 x99moyu.net ; <<>> DiG 9.10.3-P2-RedHat-9.10.3-7.P2.fc22 <<>> @192.168.155.128 x99moyu.net ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 51880 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; WARNING: recursion requested but not available ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;x99moyu.net. IN A ;; Query time: 1 msec ;; SERVER: 192.168.155.128#53(192.168.155.128) ;; WHEN: Thu Jan 28 12:30:08 CST 2016 ;; MSG SIZE rcvd: 40
从我可以告诉这个问题似乎并没有真正涉及到RPZ,而只是归结为你有一个依赖于recursion的设置(即,你似乎希望处理不属于任何你自己的区域?),但是你的configurationclosures了recursion。
recursion no;
现在,在技术上,查询中的特定名称的查找已被RPZconfiguration覆盖,但在recursionclosures之前查询被拒绝,并且查询其中一个区域的名称部分。