Здравствуйте All
Такая проблема:
Машина: Debian GNU/Linux 2.4.18 - маскирующий роутер/firewall, bind9,
exim, squid, frox, xinetd.
Во-первых, после запуска в полную нагрузку squid стал сообщать о "Reply
from unknown nameserver", при этом указывая сервер провайдера, который
известен только bind9. Bind9 работает для внутренней сети как slave для
двух зон и forward-only (ключевое слово?) на сервера провайдера. В
resolv.conf nameserver 127.0.0.1, nameserver 192.168.0.66 (мастер).
Bind9'у прописал "query-source address * port 53" - помогло, но тогда
стали появлятся редкие, нерегулярные DNS запросы с UDP порта 2 на сервер
провайдера, которые успешно останавливал netfilter. Кроме этого, было
отловлено несколько пакетов с сервера провайдера на этот самый порт 2(!).
Поиск в Гугле и bind9-users ничего не дал. Постинг в bind9-users дал
только заверения Bill'а Larson'а в том что порт 2 никакого отношения к
bind9 не имеет.
Далее. После перезагрузки порт 2 изменился на порт 1, и в "ответах"
провайдера тоже. Что-же будет когда я перезагружусь еще пару раз?
Я подозреваю DNS-resolver squid'а, "но обосновать не могу" ((c) Леонид
Каганов).
Возможно, мне стоило бы повнимательнее смотреть логи, влючить debug и
RTFS, но может кто-нибудь здесь сталкивался с таким, и сможет хотя бы
подсказать в каком направлении двигаться или может я вообще какую-то
глупость сморозил?
Вопрос такой: кто может слать такие пакеты и как это остановить? Или:
может ли bind9 каким-либо образом передать клиентам адреса серверов на
которых он forward?
Или может я просто чего с конфигурацией перемудрил?
Да, и каким образом squid мог получать ответы на запросы bind9'а (я думаю
это то, что происходило вначале)? Я знаю что squid слушает DNS на UDP
порту >=1024 на всех интерфейсах, но разве bind9 мог в то же время
отправлять запросы с этого порта?
Извините за длинный/туманный постинг.
Спасибо большое заранее.
--
С уважением,
Кондрашов Николай,
ИТ-менеджер
ЗАО "Автоматика-Север"
+7(812) 1183238, 3039648
http://www.avt.com.ru/
mailto:[EMAIL PROTECTED]