我有一些DNS服务器,所有运行bind9(9.5.1,具体)在Fedora下。 其中4个是奴隶,由我们的公共DNS的共同主人喂养。 这些都位于我们各个办事处的公共门户。 其中一个在其日志文件中有大量的消息类似于这些:
Jul 21 17:26:18 gateway named[3487]: client 10.171.3.8#52500: view internal: error sending response: host unreachable 我想知道这是从哪里来的。 防火墙在两台机器之间的端口53上打开(10.171.3.8是位于Windows域控制器上的内部DNS服务器)。 内部域不会将网关列为名称服务器(因此不应该有任何复制域的尝试),并且网关不处理任何内部DNS。 这些消息中的客户端在内部networking上的两个域控制器和第三个内部名称服务器(在networking的不同部分的debian上运行bind9)之间有所不同。 任何指针都非常受欢迎。
回应第一个回覆:
这个问题真的是tcpdump不显示任何问题。 这里是从“tcpdump -i任何端口53”
09:13:38.283308 IP valine.aminocom.com.61815 > ns-pri.ripe.net.domain: 14075 PTR? 166.225.58.95.in-addr.arpa. (44) 09:13:42.007410 IP gateway-eng.aminocom.com.37047 > alanine.aminocom.com.domain: 35410+ PTR? 12.3.172.10.in-addr.arpa. (42)
同时,DNS日志显示:
Jul 22 09:13:38 gateway named[3487]: client 10.171.3.6#61300: view internal: error sending response: host unreachable Jul 22 09:13:40 gateway named[3487]: client 10.172.3.12#56230: view internal: error sending response: host unreachable Jul 22 09:13:40 gateway named[3487]: client 10.171.3.8#55221: view internal: error sending response: host unreachable Jul 22 09:13:49 gateway named[3487]: client 10.171.3.8#51342: view internal: error sending response: host unreachable
很明显,在09:13:40有两次尝试连接到内部计算机(10.172.3.12和10.171.3.8,都是DNS服务器),但tcpdump输出中没有任何连接。
我猜这是由于发送一个ICMP主机无法访问,当BIND尝试发送其响应到该IP的东西造成的。 如果我是你,我会做一个tcpdump,看看你是否可以抓住谁发送它。 也许防火墙没有configuration为允许UDP从防火墙返回(客户端可能不使用端口53)。
首先猜测将是DNS服务器上的路由问题。 当您尝试从服务器ping客户端时会发生什么?
C。
您可以使用PHREL为每个主机提供速率限制,以处理传入stream量。 安装软件包后,将其设置为阻止向端口53发送超过15 pps的主机,如下所示:
phreld -p 53 -T 15:0