Tak jen pro info, kdyby to nekde chtel zkoumat, prisel jsem na to.

Stupidni firewall, nastaveny tak ze propousti port 53, ale jen pres UDP, ne pres TCP. Takze zonovy transfer, ktery pouziva TCP, je okamzite odmitnuty...

Akorat ze v nftables to neni moc dobre videt... :/

Petr

Ahoj,

  mam stupidni problem, ktery se mi ale z nejakeho duvodu nedari vyresit.

- mam nekolik soukromych domen, u kterych chci primar na VPS serveru

- server ma nainstalovany bind9 (1:9.18.19-1~deb12u1)

- zona je korektne nadefinovana

- firewall neblokuje zadny provoz na/z portu 53, ani pro UD, ani pro TCP

- normalni dotazy (NS/A/AAA/SOA/MX) bez problemu funguji

- axfr transfer zony z localhostu funguje, at pouziju "localhost" nebo jmeno sever jako cil dotazu

- definice zony povoluje zone transfer odkudkoliv:

zone "black-sky.cz." { type master; file "/var/cache/bind/PRIM/black-sky.cz."; allow-transfer { any; }; };

- Pri pokusu o zone transfer ($ dig -4 @essi.netas.cz black-sky.cz. axfr) odkukoliv jinde nez je server sam dostavam na TCP urovni okamzity TCP reset jako odpoved na SYN packet, ani 3-way handshake neprojde.

$ tshark -r /tmp/dns.capture.pcap
    1   0.000000 193.165.110.226 → 185.8.165.100 TCP 80 52 45609 → 53 [SYN] Seq=0 Win=64660 Len=0 MSS=1220 SACK_PERM TSval=3039304980 TSecr=0 WS=128
    2   0.000029 185.8.165.100 → 193.165.110.226 TCP 60 64 53 → 45609 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0

    3   0.025302 193.165.110.226 → 185.8.165.100 TCP 80 52 39449 → 53 [SYN] Seq=0 Win=64660 Len=0 MSS=1220 SACK_PERM TSval=3039305002 TSecr=0 WS=128
    4   0.025334 185.8.165.100 → 193.165.110.226 TCP 60 64 53 → 39449 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0

    5   0.050245 193.165.110.226 → 185.8.165.100 TCP 80 52 38693 → 53 [SYN] Seq=0 Win=64660 Len=0 MSS=1220 SACK_PERM TSval=3039305027 TSecr=0 WS=128
    6   0.050278 185.8.165.100 → 193.165.110.226 TCP 60 64 53 → 38693 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0

  Nema nekdo predstavu jakou (asi naprosto blbou) chybu delam?

Prede diky za tipy...

Petr