<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Hello!<div><br></div><div>I use CentOS latest version. I have two servers (below are not real used public IP, I don't want to share real ones):</div><div><br></div><div>Server 1 - public IP for example 193.91.200.10 - master</div><div>Server 2 - public IP for example 193.91.200.20 - slave</div><div><br></div><div>I have installed dnsdist, pdns and pdns-recursor latest versions. Below are my configs for dnsdist, pdns and pdns-recursor for both servers.</div><div><br></div><div>Server 1: dnsdist.conf</div><div>-------</div><div><div>setLocal('<a href="http://193.91.200.10:53">193.91.200.10:53</a>')</div><div>setACL({'<a href="http://0.0.0.0/0">0.0.0.0/0</a>', '::/0'})</div><div><br></div><div>newServer({address='<a href="http://127.0.0.1:5300">127.0.0.1:5300</a>', pool='auth'})</div><div>newServer({address='<a href="http://127.0.0.1:5301">127.0.0.1:5301</a>', pool='recursor'})</div><div><br></div><div>recursive_ips = newNMG()</div><div>recursive_ips:addMask('<a href="http://193.91.200.20/32">193.91.200.20/32</a>')</div><div><br></div><div><span style="line-height:1.5">addAction(OrRule({QTypeRule(dnsdist.SOA), QTypeRule(dnsdist.AXFR), QTypeRule(dnsdist.IXFR)}), PoolAction("auth"))</span><br></div><div><br></div><div>addAction(NetmaskGroupRule(recursive_ips), PoolAction('recursor'))</div><div>addAction(AllRule(), PoolAction('auth'))</div><div>-------</div><div><br></div><div>Server 1: pdns.conf</div><div>-------</div><div>allow-axfr-ips=<span style="line-height:1.5"><a href="http://193.91.200.10/32">193.91.200.10/32</a>,</span><span style="line-height:1.5"><a href="http://193.91.200.20/32">193.91.200.20/32</a></span></div><div>daemon=no<br></div><div>disable-axfr=no<br></div><div>disable-tcp=no<br></div><div>guardian=no<br></div><div><div>launch=bind</div><div>bind-config=/etc/pdns/named.conf</div><div>bind-check-interval=300</div></div><div>local-address=127.0.0.1<br></div><div>local-port=5300<br></div><div>master=yes<br></div><div>setgid=pdns<br></div><div>setuid=pdns<br></div><div>-------</div><div><br></div><div>Server 1: recursor.conf</div><div>-------</div><div>allow-from=<a href="http://127.0.0.0/8">127.0.0.0/8</a>, <a href="http://10.0.0.0/8">10.0.0.0/8</a>, <a href="http://193.91.200.10/32">193.91.200.10/32</a>, <a href="http://193.91.200.20/32">193.91.200.20/32</a><br></div><div>dont-query=<a href="http://127.0.0.0/8">127.0.0.0/8</a>, <a href="http://10.0.0.0/8">10.0.0.0/8</a><br></div><div>forward-zones=<a href="http://angelikarossos.com">angelikarossos.com</a>=<a href="http://127.0.0.1:5300">127.0.0.1:5300</a><br></div><div>local-address=127.0.0.1<br></div><div>local-port=5301<br></div><div>setgid=pdns-recursor<br></div><div>setuid=pdns-recursor<br></div><div>-------</div><div><br></div><div>Server 1: named.conf</div><div>-------</div><div><div>options {</div><div>        directory "/var/named";</div><div>        listen-on { <a href="http://127.0.0.1:5300">127.0.0.1:5300</a>; };</div><div><span style="line-height:1.5">        allow-transfer { <a href="http://193.91.200.10/32">193.91.200.10/32</a>; <a href="http://193.91.200.20/32">193.91.200.20/32</a>; };</span><br></div><div>};</div><div><br></div><div>zone "<a href="http://angelikarossos.com">angelikarossos.com</a>" {</div><div>        type master;</div><div>        file "<a href="http://angelikarossos.com">angelikarossos.com</a>";</div><div>};</div></div><div>-------</div><div><br></div><div>Server 2: dnsdist.conf</div><div><div>-------</div><div><div>setLocal('<a href="http://193.91.200.20:53">193.91.200.20:53</a>')</div><div>setACL({'<a href="http://0.0.0.0/0">0.0.0.0/0</a>', '::/0'})</div><div><br></div><div>newServer({address='<a href="http://127.0.0.1:5300">127.0.0.1:5300</a>', pool='auth'})</div><div>newServer({address='<a href="http://127.0.0.1:5301">127.0.0.1:5301</a>', pool='recursor'})</div><div><br></div><div>recursive_ips = newNMG()</div><div>recursive_ips:addMask('<a href="http://193.91.200.10/32">193.91.200.10/32</a>')</div><div><br></div><div><span style="line-height:1.5">addAction(NetmaskGroupRule(recursive_ips), PoolAction('recursor'))</span><br></div><div>addAction(AllRule(), PoolAction('auth'))</div><div>-------</div><div><br></div><div>Server 2: pdns.conf</div><div>-------</div><div>allow-axfr-ips=<span style="line-height:1.5"><a href="http://193.91.200.10/32">193.91.200.10/32</a>,</span><span style="line-height:1.5"><a href="http://193.91.200.20/32">193.91.200.20/32</a></span></div><div>daemon=no<br></div><div>disable-axfr=no<br></div><div>disable-tcp=no<br></div><div>guardian=no<br></div><div><div>launch=bind</div><div>bind-config=/etc/pdns/named.conf</div><div>bind-check-interval=300</div></div><div>local-address=127.0.0.1<br></div><div>local-port=5300</div><div>setgid=pdns<br></div><div>setuid=pdns<br></div><div>slave=yes</div><div>-------</div><div><br></div><div>Server 2: recursor.conf</div><div>-------</div><div>allow-from=<a href="http://127.0.0.0/8">127.0.0.0/8</a>, <a href="http://10.0.0.0/8">10.0.0.0/8</a>, <a href="http://193.91.200.10/32">193.91.200.10/32</a>, <a href="http://193.91.200.20/32">193.91.200.20/32</a><br></div><div>dont-query=<a href="http://127.0.0.0/8">127.0.0.0/8</a>, <a href="http://10.0.0.0/8">10.0.0.0/8</a><br></div><div>forward-zones=<a href="http://angelikarossos.com">angelikarossos.com</a>=<a href="http://127.0.0.1:5300">127.0.0.1:5300</a><br></div><div>local-address=127.0.0.1<br></div><div>local-port=5301<br></div><div>setgid=pdns-recursor<br></div><div>setuid=pdns-recursor<br></div><div>-------</div><div><br></div><div>Server 2: named.conf</div><div>-------</div><div><div>options {</div><div>        directory "/var/named";</div><div>        listen-on { <a href="http://127.0.0.1:5300">127.0.0.1:5300</a>; };</div><div><span style="line-height:1.5">        allow-transfer { <a href="http://193.91.200.10/32">193.91.200.10/32</a>; <a href="http://193.91.200.20/32">193.91.200.20/32</a>; };</span><br></div><div>};</div><div><br></div><div>zone "<a href="http://angelikarossos.com">angelikarossos.com</a>" {</div><div>        type slave;</div><div>        file "<a href="http://angelikarossos.com">angelikarossos.com</a>";</div><div>        masters { 193.91.200.10; };<br></div><div>};</div></div><div>-------</div></div></div><div><br></div><div>When I start services for dnsdist, pdns, pdns-recursor everything is working great instead AXFR zone transfer from master to slave. I have got such error information:</div><div><br></div><div>Server 2:</div><div><div>pdns_server[12447]: AXFR of domain '<a href="http://angelikarossos.com">angelikarossos.com</a>' initiated by 127.0.0.1</div><div>pdns_server[12447]: AXFR of domain '<a href="http://angelikarossos.com">angelikarossos.com</a>' denied: client IP 127.0.0.1 has no permission</div><div>pdns_server[12447]: AXFR of domain '<a href="http://angelikarossos.com">angelikarossos.com</a>' failed: 127.0.0.1 cannot request AXFR</div></div><div><br></div><div>When I add to:</div><div>Server 1: pdns.conf</div><div>-------</div><div>allow-axfr-ips=<a href="http://127.0.0.1/32">127.0.0.1/32</a>,<span style="line-height:1.5"><a href="http://193.91.200.10/32">193.91.200.10/32</a>,</span><span style="line-height:1.5"><a href="http://193.91.200.20/32">193.91.200.20/32</a></span><br></div><div><span style="line-height:1.5">-------</span></div><div><span style="line-height:1.5"><br></span></div><div><span style="line-height:1.5">AXFR transfer is completed:</span></div><div><div>pdns_server[12784]: Domain '<a href="http://angelikarossos.com">angelikarossos.com</a>' is stale, master serial 2019040302, our serial 2019040301</div><div>pdns_server[12784]: Initiating transfer of '<a href="http://angelikarossos.com">angelikarossos.com</a>' from remote '193.91.200.10'</div><div>pdns_server[12784]: Starting AXFR of '<a href="http://angelikarossos.com">angelikarossos.com</a>' from remote <a href="http://193.91.200.10:53">193.91.200.10:53</a></div><div>pdns_server[12784]: AXFR started for '<a href="http://angelikarossos.com">angelikarossos.com</a>'</div><div>pdns_server[12784]: AXFR of '<a href="http://angelikarossos.com">angelikarossos.com</a>' from remote <a href="http://193.91.200.10:53">193.91.200.10:53</a> done</div><div>pdns_server[12784]: Backend transaction started for '<a href="http://angelikarossos.com">angelikarossos.com</a>' storage</div><div>pdns_server[12784]: Zone '<a href="http://angelikarossos.com">angelikarossos.com</a>' (/var/named/<a href="http://angelikarossos.com">angelikarossos.com</a>) reloaded</div><div>pdns_server[12784]: AXFR done for '<a href="http://angelikarossos.com">angelikarossos.com</a>', zone committed with serial number 2019040302</div><div>pdns_server[12784]: Done launching threads, ready to distribute questions</div></div><div><br></div><div>But I have got information, when I test DNS on website <a href="https://mxtoolbox.com">https://mxtoolbox.com</a>:</div><div>"dns<span style="white-space:pre"> </span><a href="http://angelikarossos.com">angelikarossos.com</a><span style="white-space:pre"> </span>Open Zone Transfer Detected"<br></div><div>So this "<span style="line-height:1.5">Open Zone Transfer"</span><span style="line-height:1.5"> is related with <a href="http://127.0.0.1/32">127.0.0.1/32</a> in pdns.conf with line </span><span style="line-height:1.5">allow-axfr-ips=<a href="http://127.0.0.1/32">127.0.0.1/32</a>,</span><span style="line-height:1.5"><a href="http://193.91.200.10/32">193.91.200.10/32</a>,</span><span style="line-height:1.5"><a href="http://193.91.200.20/32">193.91.200.20/32</a></span></div><div><span style="line-height:1.5"><br></span></div><div><span style="line-height:1.5">My question is, how I am suppose to resolve this problem, when I have dnsdist with public IPs and pdns and pdns-recursor on local IPs on both servers?</span></div><div><span style="line-height:1.5"><br></span></div><div><span style="line-height:1.5">I would be glad for your help and support.</span></div><div><span style="line-height:1.5"><br></span></div><div><span style="line-height:1.5">Thank you in advance for your time and effort.</span></div><div><span style="line-height:1.5"><br></span></div><div>Best regards.</div><div><br></div><div>AR</div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>