Re: странные DNS запросы с UDP порта 2

[Kondrashov Nickolay <knu@avtsev.spb.ru>]

Kondrashov Nickolay wrote:
> Kondrashov Nickolay wrote:
>
> >     Здравствуйте All
> >
> >     Такая проблема:
> >
> >     Машина: Debian GNU/Linux 2.4.18 - маскирующий роутер/firewall, 
> > bind9, exim, squid, frox, xinetd.
> >
> >     Во-первых, после запуска в полную нагрузку squid стал сообщать о 
> > "Reply from unknown nameserver", при этом указывая сервер провайдера, 
> > который известен только bind9. Bind9 работает для внутренней сети как 
> > slave для двух зон и forward-only (ключевое слово?) на сервера 
> > провайдера. В resolv.conf nameserver 127.0.0.1, nameserver 
> > 192.168.0.66 (мастер).
> >
> >     Bind9'у прописал "query-source address * port 53" - помогло, но 
> > тогда стали появлятся редкие, нерегулярные DNS запросы с UDP порта 2 
> > на сервер провайдера, которые успешно останавливал netfilter. Кроме 
> > этого, было отловлено несколько пакетов с сервера провайдера на этот 
> > самый порт 2(!).
> >
> >     Поиск в Гугле и bind9-users ничего не дал. Постинг в bind9-users 
> > дал только заверения Bill'а Larson'а в том что порт 2 никакого 
> > отношения к bind9 не имеет.
> >
> >     Далее. После перезагрузки порт 2 изменился на порт 1, и в 
> > "ответах" провайдера тоже. Что-же будет когда я перезагружусь еще пару 
> > раз?
> >
> >     Я подозреваю DNS-resolver squid'а, "но обосновать не могу" ((c) 
> > Леонид Каганов).
> >     Возможно, мне стоило бы повнимательнее смотреть логи, влючить 
> > debug и RTFS, но может кто-нибудь здесь сталкивался с таким, и сможет 
> > хотя бы подсказать в каком направлении двигаться или может я вообще 
> > какую-то глупость сморозил?
> >
> >     Вопрос такой: кто может слать такие пакеты и как это остановить? 
> > Или: может ли bind9 каким-либо образом передать клиентам адреса 
> > серверов на которых он forward?
> >
> >     Или может я просто чего с конфигурацией перемудрил?
> >
> >     Да, и каким образом squid мог получать ответы на запросы bind9'а 
> > (я думаю это то, что происходило вначале)? Я знаю что squid слушает 
> > DNS на UDP порту >=1024 на всех интерфейсах, но разве bind9 мог в то 
> > же время отправлять запросы с этого порта?
> >
> >
> >     Извините за длинный/туманный постинг.
> >     Спасибо большое заранее.
>
>     Здравствуйте All, и с началом лета:)
>
>     Продолжение истории:
>
>     Сегодня поставил правила iptables для отлова по [pu]id (модуль 
> owner) - оказалось эти пакеты шлет bind9.
>
>     Есть какие-нибудь предположения?
>
>     Спасибо заранее

	Здравствуйте, опять :)

	Извините, за повтор, но правда никто не знает?
	Может я чего-то глобально не понимаю?
	bind9-users, debian-security, а теперь и debian-russian молчат - стоит еще где-то спрашивать, если да то где?
	Может и вправду я чего перемудрил просто?

	Спасибо большое заранее.

--


  С уважением,
  Кондрашов Николай,
  ИТ-менеджер
  ЗАО "Автоматика-Север"
  +7(812) 1183238, 3039648
  http://www.avt.com.ru/
  mailto:knu@avtsev.spb.ru