Re: странные DNS запросы с UDP порта 2
Kondrashov Nickolay wrote:
Kondrashov Nickolay wrote:
Здравствуйте All
Такая проблема:
Машина: Debian GNU/Linux 2.4.18 - маскирующий роутер/firewall,
bind9, exim, squid, frox, xinetd.
Во-первых, после запуска в полную нагрузку squid стал сообщать о
"Reply from unknown nameserver", при этом указывая сервер провайдера,
который известен только bind9. Bind9 работает для внутренней сети как
slave для двух зон и forward-only (ключевое слово?) на сервера
провайдера. В resolv.conf nameserver 127.0.0.1, nameserver
192.168.0.66 (мастер).
Bind9'у прописал "query-source address * port 53" - помогло, но
тогда стали появлятся редкие, нерегулярные DNS запросы с UDP порта 2
на сервер провайдера, которые успешно останавливал netfilter. Кроме
этого, было отловлено несколько пакетов с сервера провайдера на этот
самый порт 2(!).
Поиск в Гугле и bind9-users ничего не дал. Постинг в bind9-users
дал только заверения Bill'а Larson'а в том что порт 2 никакого
отношения к bind9 не имеет.
Далее. После перезагрузки порт 2 изменился на порт 1, и в
"ответах" провайдера тоже. Что-же будет когда я перезагружусь еще пару
раз?
Я подозреваю DNS-resolver squid'а, "но обосновать не могу" ((c)
Леонид Каганов).
Возможно, мне стоило бы повнимательнее смотреть логи, влючить
debug и RTFS, но может кто-нибудь здесь сталкивался с таким, и сможет
хотя бы подсказать в каком направлении двигаться или может я вообще
какую-то глупость сморозил?
Вопрос такой: кто может слать такие пакеты и как это остановить?
Или: может ли bind9 каким-либо образом передать клиентам адреса
серверов на которых он forward?
Или может я просто чего с конфигурацией перемудрил?
Да, и каким образом squid мог получать ответы на запросы bind9'а
(я думаю это то, что происходило вначале)? Я знаю что squid слушает
DNS на UDP порту >=1024 на всех интерфейсах, но разве bind9 мог в то
же время отправлять запросы с этого порта?
Извините за длинный/туманный постинг.
Спасибо большое заранее.
Здравствуйте All, и с началом лета:)
Продолжение истории:
Сегодня поставил правила iptables для отлова по [pu]id (модуль
owner) - оказалось эти пакеты шлет bind9.
Есть какие-нибудь предположения?
Спасибо заранее
Здравствуйте, опять :)
Извините, за повтор, но правда никто не знает?
Может я чего-то глобально не понимаю?
bind9-users, debian-security, а теперь и debian-russian молчат - стоит еще где-то спрашивать, если да то где?
Может и вправду я чего перемудрил просто?
Спасибо большое заранее.
--
С уважением,
Кондрашов Николай,
ИТ-менеджер
ЗАО "Автоматика-Север"
+7(812) 1183238, 3039648
http://www.avt.com.ru/
mailto:knu@avtsev.spb.ru
Reply to: