Servidor syslog generando consultas DNS
Estimados, tengo corriendo un servidor de syslog el cual recibe los logs
de numerosos hosts de mi red privada, entre ellos los logs de mis
servidores DNS.
Hoy justamente revisando los logs de bind encuentro varios mensajes del
siguiente tipo:
2015-06-22 09:28 Copernico named[9822]: security: warning: client
172.30.7.121#48951: RFC 1918 response from Internet for
110.24.16.172.in-addr.arpa
En donde tenemos que:
- Copernico: Es mi servidor DNS
- 172.30.7.121: Es justamente mi servidor de syslog
- 172.16.24.110: Uno de mis hosts con IP privada en la red 172.16.0.0/16
y que envía sus logs justamente a 172.30.7.121. Para este y varios hosts
más de la misma red es que se generan estos mensajes de syslog
Investigando un poco encuentro que lo que está pasando es que se están
enviando consultas a los Root Name Servers consultando por IPs privadas,
lo cual no debería pasar claro está. Dejando por un momento la
configuración de Bind (la cual estoy revisando) me pregunto por qué mi
servidor de syslog está haciendo consultas DNS por un host del cual
recibe logs? Alguien me podría dar una mano como para entender que es lo
que está pasando?
Resumiendo: Tengo un servidor de syslog el cual recibe logs de
determinados hosts remotos con IP privada y genera consultas DNS para
las IPs de dichos hosts. Lo que me interesa saber es porque pasa esto.
Es normal? Es un error en la configuración de syslog???
Cualquier ayuda es bienvenida. Saludos y muchas gracias,
Mauro.
Reply to: