У меня есть несколько DNS-серверов, все из которых работают с bind9 (точнее, 9.5.1) в Fedora. 4 из них - подчиненные, обслуживаемые общим мастером для нашего общедоступного DNS. Все они расположены на открытых дверях наших офисов. Один из них имеет множество сообщений в файлах журнала, подобных этим:
Jul 21 17:26:18 gateway named[3487]: client 10.171.3.8#52500: view internal: error sending response: host unreachable
Интересно, откуда это взялось. Брандмауэр открыт на порте 53 между двумя компьютерами (10.171.3.8 - это внутренний DNS-сервер, расположенный на контроллере домена Windows). Внутренние домены НЕ указывают шлюз как сервер имен (поэтому не должно быть никаких попыток репликации доменов), и шлюз не обрабатывает какие-либо внутренние DNS. Клиенты в этих сообщениях различаются между двумя контроллерами домена во внутренней сети и третьим внутренним сервером имен (выполняющим bind9 на debian в другом сегменте сети). Любые указатели приветствуются.
В ответ на первый ответ:
Проблема в том, что tcpdump не показывает никаких проблем. Вот отрывок из "tcpdump -i any port 53"
09:13:38.283308 IP valine.aminocom.com.61815 > ns-pri.ripe.net.domain: 14075 PTR? 166.225.58.95.in-addr.arpa. (44)
09:13:42.007410 IP gateway-eng.aminocom.com.37047 > alanine.aminocom.com.domain: 35410+ PTR? 12.3.172.10.in-addr.arpa. (42)
В то же время журнал DNS показывает:
Jul 22 09:13:38 gateway named[3487]: client 10.171.3.6#61300: view internal: error sending response: host unreachable
Jul 22 09:13:40 gateway named[3487]: client 10.172.3.12#56230: view internal: error sending response: host unreachable
Jul 22 09:13:40 gateway named[3487]: client 10.171.3.8#55221: view internal: error sending response: host unreachable
Jul 22 09:13:49 gateway named[3487]: client 10.171.3.8#51342: view internal: error sending response: host unreachable
Итак, ясно, что в 09:13:40 были две неудачные попытки подключения к внутренним машинам (10.172.3.12 и 10.171.3.8, оба являются DNS-серверами), но в выводе tcpdump ничего не было.
Я предполагаю, что это вызвано чем-то в процессе отправки хоста ICMP недоступным, когда BIND пытается отправить свой ответ на этот IP-адрес. На вашем месте я бы сделал tcpdump, чтобы посмотреть, сможете ли вы поймать, кто его отправляет. Возможно, брандмауэр не настроен так, чтобы разрешить UDP обратно из брандмауэра (клиент, вероятно, не использует порт 53).
Первое предположение - это проблема маршрутизации на DNS-сервере. Что происходит, когда вы пытаетесь пропинговать клиента с сервера?
С.
Ты можешь использовать PHREL для обеспечения ограничения скорости для каждого хоста для обработки входящего трафика. После установки пакета настройте его на блокировку хостов, которые отправляют более 15 пакетов в секунду на порт 53, например:
phreld -p 53 -T 15:0