Il te manque un “allow-transfert”.
A placer sur ton serveur maître.
Hmm, ce ne serait pas en fait un problème de permission de création ou d’écriture du fichier de zone sur le secondaire ? named est exécuté en tant qu’utilisateur ‘bind’ qui doit pouvoir créer ou modifier les fichiers de zones secondaires.
Avec ou sans, ça ne change rien, j’ai toujours
Dec 30 13:49:01 serveur2 named[15380]: zone mondomain.com/IN: Transfer started.
Dec 30 13:49:01 serveur2 named[15380]: transfer of 'mondomain.com/IN' from 83.1.2.2#53: connected using 192.168.1.15#2513
Dec 30 13:49:01 serveur2 named[15380]: transfer of 'mondomain.com/IN' from 83.1.2.2#53: failed while receiving responses: permission denied
Dec 30 13:49:01 serveur2 named[15380]: transfer of 'mondomain.com/IN' from 83.1.2.2#53: end of transfer
et sur le maître :
Dec 30 14:07:59 serveur1 named[7724]: client 192.168.1.15#1995: zone transfer ‘mondomain.com/AXFR/IN’ denied
Comme le dit PascalHambourg, ça pourrait-être un problème de droits.
goldyfruit, ton option allow-transfer n’autorise les demandes de transfert que depuis l’adresse du primaire lui-même, ce qui n’a aucun sens. Il faut les autoriser depuis 192.168.1.15.
heueueu j’ai trouvé 
j’ai du mettre le dossier bind qui est dans /etc en 777 au lieu de 755.
J’y croie pas…
Maintenant, j’ai une question, comment le second serveur DNS va ce mettre à jour quand je vais modifier un fichier de zone ?
Quand tu effectues une modification, le serveur DNS va envoyer une notification.
De plus à chaque modification de zone, tu dois mettre le “serial” à jour.
oui, j’incrémente toujours le serial
Donc c’était bien un problème de permission de fichier. Mais 777 c’est mal, ça veut dire que tout le monde peut faire n’importe quoi. Il faut restreindre l’écriture, par exemple au groupe ‘bind’.
Un NS secondaire peut être mis à jour automatiquement de deux façons :
- périodiquement en fonction de la valeur ‘refresh’ définie dans le SOA de la zone,
- ou lorsqu’il reçoit une notification du primaire
il vérifie si le numéro de série du SOA de la zone sur le primaire a augmenté, et dans ce cas demande un transfert de zone.
Par défaut un secondaire n’accepte que les notifications ayant pour source l’adresse d’un primaire défini dans l’option ‘masters’, et un primaire n’envoie des notifications qu’aux adresses des serveurs ayant un enregistrement NS dans la zone. Or ici la notification doit être envoyée à l’adresse privée du secondaire, donc il faudra la spécifier dans une option ‘also-notify’ sur le primaire. Comme le primaire risque d’envoyer la notification avec son adresse privée puisqu’il parle à une adresse privée, il peut être nécessaire de forcer l’adresse publique avec une option ‘transfer-source’ sur le primaire ou d’accepter la notification provenant de son adresse privée avec une option ‘allow-notify’ sur le secondaire, ou, le plus simple, de spécifier l’adresse privée du primaire dans l’option ‘masters’.
hmmm, complex à la longe 
par contre de l’extérieur je n’ai pas de bon résulta, mes 4 règles iptables son bonne pour utiliser le DNS secondaire ?
/sbin/iptables -t nat -A PREROUTING -i $ext -p tcp -d 83.1.2.3 --dport 53 -j DNAT --to-destination 192.168.1.15:53
/sbin/iptables -t nat -A PREROUTING -i $int -p tcp -d 83.1.2.3 --dport 53 -j DNAT --to-destination 192.168.1.15:53
/sbin/iptables -t nat -A PREROUTING -i $ext -p udp -d 83.1.2.3 --dport 53 -j DNAT --to-destination 192.168.1.15:53
/sbin/iptables -t nat -A PREROUTING -i $int -p udp -d 83.1.2.3 --dport 53 -j DNAT --to-destination 192.168.1.15:53
Je regarde plus en profondeur pour le dossier puis pour la mise à jour.
C’est à dire ?
Il y a un délai de propagation à prendre en compte (de quelques minutes à 72 heures parfois).
C’est complexe à cause du NAT qui fout la merde comme d’habitude. Sinon ce serait simple, ça marcherait avec les options par défaut.
Concernant les règles iptables, ça dépend du reste des règles. Si tu filtres dans FORWARD, il faut accepter le trafic DNS provenant de l’extérieur.
Mais franchement, tu t’es fait suer pour rien à mettre un secondaire en place juste pour gruger le registrar, alors qu’il aurait suffi d’une redirection de la seconde adresse vers la première.
/sbin/iptables -t nat -A PREROUTING -i $ext -p tcp -d 83.1.2.3 --dport 53 -j DNAT --to-destination 83.1.2.2
(etc.)Lol oui, mais d’un autre coté j’apprends aussi ce qui est le but chez moi 
Pour ta règle, je la comprend pas. 
Ma règle redirige les requêtes DNS en TCP (il faut aussi la même en UDP) envoyées à la seconde adresse vers la première. Du coup les deux adresses donnent accès au même serveur, mais ça ne se voit pas de l’extérieur. Tu peux les faire passer pour deux serveurs différents.
haaa oui ok, j’avais capté dans ce cens la, mais la je souhaite aller jusque au bout et utiliser mon serveur secondaire de l’extérieur…
Super mon serveur secondaire ce mes à jour, et il fonctionne de l’extérieur.
Merci à vous pour votre aide.