Am trei servere DNS: x.y.z.10 care este configurat ca supermaster, x.y.z.11 și x.y.z.12 care ambele sunt configurate ca superslave. Pe toate cele trei mașini:
- dnsdist rulează pe portul 53 pentru disponibilitate ridicată (încă nu este făcută).
- pdns rulează pe portul 1054 ca server autorizat
- pdns-recursor rulează pe portul 1055 ca rezolutor recursiv
În ciuda sfatului dnsdist (https://dnsdist.org/advanced/axfr.html), A sudo pdns_control notify xxx.de pe master produce aceeași eroare pe toți slave: pdns_server[]: a primit NOTIFY pentru xxx.de de la 127.0.0.1:39562 care nu este un master (Refusat).
dnsdist este configurat să transmită cererile SOA, AXFR și IXFR care provin din rețea către pdns și orice altceva către pdns-recursor:
addAction(AndRule({OrRule({QTypeRule(DNSQType.AXFR), QTypeRule(DNSQType.IXFR)}), NotRule(makeRule("x.y.z.0/27"))}), RCodeAction(DNSRCode.REFUSED))
addAction(AndRule({OpcodeRule(DNSOpcode.Notify), NotRule(makeRule("x.y.z.0/24"))}), RCodeAction(DNSRCode.REFUSED))
addAction(OrRule({QTypeRule(DNSQType.SOA), QTypeRule(DNSQType.AXFR), QTypeRule(DNSQType.IXFR)}), PoolAction(„primar”))
addAction(AllRule(), PoolAction(„recursor”))
pdns este configurat ca (super)slave și să accepte AXFR/NOTIFY numai de la localhost:
maestru = nu
sclav = da
superslave = yes
allow-axfr-ips = 127.0.0.1
disable-axfr = nu
permit-notificare-de la = 127.0.0.1
Ce/unde am încurcat?
