Re: странные DNS запрос ы с UDP порта 2
Kondrashov Nickolay wrote: Kondrashov Nickolay wrote: Здравствуйте All Такая проблема: Машина: Debian GNU/Linux 2.4.18 - маскирующий роутер/firewall, bind9, exim, squid, frox, xinetd. Во-первых, после запуска в полную нагрузку squid стал сообщать о Reply from unknown nameserver, при этом указывая сервер провайдера, который известен только bind9. Bind9 работает для внутренней сети как slave для двух зон и forward-only (ключевое слово?) на сервера провайдера. В resolv.conf nameserver 127.0.0.1, nameserver 192.168.0.66 (мастер). Bind9'у прописал query-source address * port 53 - помогло, но тогда стали появлятся редкие, нерегулярные DNS запросы с UDP порта 2 на сервер провайдера, которые успешно останавливал netfilter. Кроме этого, было отловлено несколько пакетов с сервера провайдера на этот самый порт 2(!). Поиск в Гугле и bind9-users ничего не дал. Постинг в bind9-users дал только заверения Bill'а Larson'а в том что порт 2 никакого отношения к bind9 не имеет. Далее. После перезагрузки порт 2 изменился на порт 1, и в ответах провайдера тоже. Что-же будет когда я перезагружусь еще пару раз? Я подозреваю DNS-resolver squid'а, но обосновать не могу ((c) Леонид Каганов). Возможно, мне стоило бы повнимательнее смотреть логи, влючить debug и RTFS, но может кто-нибудь здесь сталкивался с таким, и сможет хотя бы подсказать в каком направлении двигаться или может я вообще какую-то глупость сморозил? Вопрос такой: кто может слать такие пакеты и как это остановить? Или: может ли bind9 каким-либо образом передать клиентам адреса серверов на которых он forward? Или может я просто чего с конфигурацией перемудрил? Да, и каким образом squid мог получать ответы на запросы bind9'а (я думаю это то, что происходило вначале)? Я знаю что squid слушает DNS на UDP порту =1024 на всех интерфейсах, но разве bind9 мог в то же время отправлять запросы с этого порта? Извините за длинный/туманный постинг. Спасибо большое заранее. Здравствуйте All, и с началом лета:) Продолжение истории: Сегодня поставил правила iptables для отлова по [pu]id (модуль owner) - оказалось эти пакеты шлет bind9. Есть какие-нибудь предположения? Спасибо заранее Здравствуйте, опять :) Извините, за повтор, но правда никто не знает? Может я чего-то глобально не понимаю? bind9-users, debian-security, а теперь и debian-russian молчат - стоит еще где-то спрашивать, если да то где? Может и вправду я чего перемудрил просто? Спасибо большое заранее. -- С уважением, Кондрашов Николай, ИТ-менеджер ЗАО Автоматика-Север +7(812) 1183238, 3039648 http://www.avt.com.ru/ mailto:[EMAIL PROTECTED]
Re: странные DNS запрос ы с UDP порта 2
Vladimir N.Velychko wrote: On Thu, 29 May 2003 13:43:47 +0400 Kondrashov Nickolay [EMAIL PROTECTED] wrote: Bind9'у прописал query-source address * port 53 - помогло, но тогда стали появлятся редкие, нерегулярные DNS запросы с UDP порта 2 на сервер провайдера, которые успешно останавливал netfilter. Кроме этого, было отловлено несколько пакетов с сервера провайдера на этот самый порт 2(!). ... Далее. После перезагрузки порт 2 изменился на порт 1, и в ответах провайдера тоже. Что-же будет когда я перезагружусь еще пару раз? ... Извините, за повтор, но правда никто не знает? Может я чего-то глобально не понимаю? bind9-users, debian-security, а теперь и debian-russian молчат - стоит еще где-то спрашивать, если да то где? А google? :- Давно пройденый этап, хотя можно и повторить :) Может и вправду я чего перемудрил просто? Я думаю, что если действительно так хочется разобраться с этим вопросом, то стоит взять свежие RFC на DNS и почитать. Это лучше, чем устраивать mail bombing :-D Спасибо :) -- С уважением, Кондрашов Николай, ИТ-менеджер ЗАО Автоматика-Север +7(812) 1183238, 3039648 http://www.avt.com.ru/ mailto:[EMAIL PROTECTED]
Re: странные DNS запрос ы с UDP порта 2
Kondrashov Nickolay wrote: Здравствуйте All Такая проблема: Машина: Debian GNU/Linux 2.4.18 - маскирующий роутер/firewall, bind9, exim, squid, frox, xinetd. Во-первых, после запуска в полную нагрузку squid стал сообщать о Reply from unknown nameserver, при этом указывая сервер провайдера, который известен только bind9. Bind9 работает для внутренней сети как slave для двух зон и forward-only (ключевое слово?) на сервера провайдера. В resolv.conf nameserver 127.0.0.1, nameserver 192.168.0.66 (мастер). Bind9'у прописал query-source address * port 53 - помогло, но тогда стали появлятся редкие, нерегулярные DNS запросы с UDP порта 2 на сервер провайдера, которые успешно останавливал netfilter. Кроме этого, было отловлено несколько пакетов с сервера провайдера на этот самый порт 2(!). Поиск в Гугле и bind9-users ничего не дал. Постинг в bind9-users дал только заверения Bill'а Larson'а в том что порт 2 никакого отношения к bind9 не имеет. Далее. После перезагрузки порт 2 изменился на порт 1, и в ответах провайдера тоже. Что-же будет когда я перезагружусь еще пару раз? Я подозреваю DNS-resolver squid'а, но обосновать не могу ((c) Леонид Каганов). Возможно, мне стоило бы повнимательнее смотреть логи, влючить debug и RTFS, но может кто-нибудь здесь сталкивался с таким, и сможет хотя бы подсказать в каком направлении двигаться или может я вообще какую-то глупость сморозил? Вопрос такой: кто может слать такие пакеты и как это остановить? Или: может ли bind9 каким-либо образом передать клиентам адреса серверов на которых он forward? Или может я просто чего с конфигурацией перемудрил? Да, и каким образом squid мог получать ответы на запросы bind9'а (я думаю это то, что происходило вначале)? Я знаю что squid слушает DNS на UDP порту =1024 на всех интерфейсах, но разве bind9 мог в то же время отправлять запросы с этого порта? Извините за длинный/туманный постинг. Спасибо большое заранее. Здравствуйте All, и с началом лета:) Продолжение истории: Сегодня поставил правила iptables для отлова по [pu]id (модуль owner) - оказалось эти пакеты шлет bind9. Есть какие-нибудь предположения? Спасибо заранее -- С уважением, Кондрашов Николай, ИТ-менеджер ЗАО Автоматика-Север +7(812) 1183238, 3039648 http://www.avt.com.ru/ mailto:[EMAIL PROTECTED]
