Точнее он стартует, но не резолвит инет адреса (bind у меня сам предоставляет инфу, а также является dns сервером для внутренней 'реальной' сети), после старта компа, рестартую просто /sbin/service named restart, и все становится ок. Все уже проверил, нужны свежие идеи и мысли, может это следствие (не)удавшейся попытки взлома, или просто что то изменилось в мире, что я пропустил, пожалуйста поделитесь мыслями, почему при старте bind не стартует как полагается?
Не знаю какие именно включить логи, чтобы увидеть проблему, все что я уже включил нидают никакой инфы для размышления. Такое ощущение, что он при первом старте не видит инет сеть и усе на этом. На компе также динамическая маршрутизация по rip на основе gated, squid (web-proxy и proxy) + apache, + iptables, в настройках файрволла ничего не менял, иначе как бы тогда после рестарта вручную bind-а, фарволл смог помешать, если bind начинает работать.
Вот такие у меня пироги, до этого никаких проблем более года не было. Сам днс настроен верно, вплоть до обратных зон сети класса с.
named -d5 <-f>
читаем named.run, разбираемся...
А он стартует до network? до iptables?
Посмотри каким-нибудь tcpdump, что он пытается запросить/найти при старте.
>named -d5 <-f>
попробую ближе к вечеру
>читаем named.run, разбираемся...
где named.run, ни на диске, ни в составе собранного пакета я его не нашел, в составе исходников?, там про запуск named описано что-то?
>А он стартует до network? до iptables?
>Посмотри каким-нибудь tcpdump, что он пытается запросить/найти при старте.
стартует сначала iptables, network, syslog, gated, ntpd, xinetd, httpd, postgresql, named, squid. В такой вот псоледовательности.
Поставлю логировать сетевые пакеты от процесса с id пользователя named с помощью iptables.Будут результаты сообщу, а во стальном также еще жду новых советов и предположений.
>>читаем named.run, разбираемся...
>где named.run, ни на диске, ни в составе собранного пакета я его
Он сам появится :-) после named -d. У меня - в /var/lib/named (chroot)
>>>читаем named.run, разбираемся...
>>где named.run, ни на диске, ни в составе собранного пакета я его
>Он сам появится :-) после named -d. У меня - в /var/lib/named
>(chroot)сообщений типа
error или warning нет, единственное что есть это return 0 (err: none).
Может повысить уровень отладки.
В логи иштв пишит мне следующееXX /207.173.107.100/210.niiis.128.19.81.in-addr.arpa/PTR/IN XX+/my.real.ip/www.altavista.com/A/IN
Что означает плюс, а что, когда его нет?
hint zone "" (IN) loaded (serial 0)Что значит эта запись от DNS сервера?
Кто может еще что нибудь подскажет?У меня есть еще одно предположение, я ограничиваю использование ресурсов сервера даже пользователюю root, через банальный fuser, и если какая прога натыкается на такие ограничения то она просто валится а хотелось бы, чтобы юзеру root приходили сообщения, что такому то приложению не хватило ресурсов и каких именно. Кто что скажет?
извиняюсь, перепутал, не fuser , а ulimit
Еще кто нибудль может подсказать методику определения проблемы?
Все помер бедняга, причину кстати выявить не удалось, а это очень прискорбный факт. Выхода как переустановить на более новую версию не вижу.
Пытался найти изменения хоть в чем то, сделав икрементальный бэкап, проверку осуществлял по md5sum, но ни каких изменений не произошло. Соответственно версия хака отпадает.
>Пытался найти изменения хоть в чем то, сделав икрементальный бэкап, проверку осуществлял
>по md5sum, но ни каких изменений не произошло. Соответственно версия хака
>отпадает.если не можешь найти проблему - сделай upgrade всей системы, включая
bind - bind9.2.2
>>Пытался найти изменения хоть в чем то, сделав икрементальный бэкап, проверку осуществлял
>>по md5sum, но ни каких изменений не произошло. Соответственно версия хака
>>отпадает.
>
>если не можешь найти проблему - сделай upgrade всей системы, включая
>bind - bind9.2.2Всей системы это слишком круто, а вот bind обязательно
Увы но тему придется продолжить, поставил самый последний bind-9.2.2
а траблы остались, все тоже самое. Выяснил, что после первого старта bind лезет на корневые серверы, то есть шлет им запросы, но те в свою очередь как об стенку горох ничего не отвечают, то есть с нашего шлюза ко мне ничего не доходит, стоит просто перезапустить , но после перезапуска в ответ на мои запросы те в свою очередь уже отвечают, это вообще как такое может быть?
>Увы но тему придется продолжить, поставил самый последний bind-9.2.2
>а траблы остались, все тоже самое. Выяснил, что после первого старта bind
>лезет на корневые серверы, то есть шлет им запросы, но те
>в свою очередь как об стенку горох ничего не отвечают, то
>есть с нашего шлюза ко мне ничего не доходит, стоит просто
>перезапустить , но после перезапуска в ответ на мои запросы те
>в свою очередь уже отвечают, это вообще как такое может быть?
>и продолжать нечего, включай отладчик, делай дампы, по дампам смотри
протокол запросов-ответов
С какого-то момента bind стал вести себя по-другому - что в тот момент поменялось?
Провайдер не может быть виноват?
Что изменится, если в качестве root указать dns провайдера?
Если в <named.rc> поставить 'sleep 10' (20,30...)?
named.conf приведи, да?
>С какого-то момента bind стал вести себя по-другому - что в тот
>момент поменялось?
>Провайдер не может быть виноват?
>Что изменится, если в качестве root указать dns провайдера?
>Если в <named.rc> поставить 'sleep 10' (20,30...)?
>named.conf приведи, да?А что значит sleep 10 в файле named.rc и где он лежит?
>А что значит sleep 10 в файле named.rc и где он лежит?
>
Имеется в виду стартовый файл named'а. sleep - задержка 10 секунд.
>>А что значит sleep 10 в файле named.rc и где он лежит?
>>
>Имеется в виду стартовый файл named'а. sleep - задержка 10 секунд.К сожалению это уже не поможет, я проверил как он стартует не автоматом, а даже просто ручками запускаю его после загрузки компа перый раз и потом начинаю его юзать, так вот адреса он не резолвит все равно до тех пор пока не перезапустишь его снова.
>С какого-то момента bind стал вести себя по-другому - что в тот
>момент поменялось?
>Провайдер не может быть виноват?
>Что изменится, если в качестве root указать dns провайдера?
>Если в <named.rc> поставить 'sleep 10' (20,30...)?
>named.conf приведи, да?options {
directory "/var/named";query-source address 81.19.128.210 port *;
listen-on { 81.19.128.210; 127.0.0.1; };
pid-file "/var/run/named/named.pid";
recursion yes;
auth-nxdomain yes;
allow-query { any; };
notify no;
};zone "." IN {
type hint;
file "named.ca";
};
Все остальное не имеет смысла приводить, так как для остального я мастер сервер,и как мастер сервер он работает номано.
>>С какого-то момента bind стал вести себя по-другому - что в тот
>>момент поменялось?Точно момент не скажу, но когда сильно сеть изменилась из-за переезда, причем поменялось почти все кроме шлюза, тоесть хаб и одна сетевая карта (+ 1 интегрированная), карты вроде не причем, пробовал запускать только с одной с интегрированной с которой ранее все номано работало.
Отключал и защиту, но все тоже, типа iptables.Суть показало вот еще, что. В качестве резервного slave dns вторым NS-ом у меня стоит один сервер. Собственно при старте мой dns пытается разрезолвить его адрес.
dig any ns.secondary.net.ua @ns.nnov.ru
; <<>> DiG 9.2.1 <<>> any ns.secondary.net.ua @ns.nnov.ru
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47006
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 1;; QUESTION SECTION:
;ns.secondary.net.ua. IN ANY;; ANSWER SECTION:
ns.secondary.net.ua. 28276 IN A 193.201.116.2;; AUTHORITY SECTION:
secondary.net.ua. 23780 IN NS ns-kiev.km.ua.
secondary.net.ua. 23780 IN NS ns-he.kolo.net.
secondary.net.ua. 23780 IN NS chinger.km.ua.;; ADDITIONAL SECTION:
ns-he.kolo.net. 77054 IN A 216.218.215.2;; Query time: 3 msec
;; SERVER: 195.46.179.3#53(ns.nnov.ru)
;; WHEN: Mon May 19 17:10:25 2003
;; MSG SIZE rcvd: 144
Но корневые серверы не хотят отвечать.
Продолжим.
Посмотрев что собственно Linux шлет в интернет, выяснили, что bind шлет разные разные запросы, когда он находится в нерабочем варианте, он шлет запросы к корневым серверам с одним флагом, когда в рабочем варианте с другим + дополнительные поля есть, например EDNS0.
Что делать, почему шлет разные запросы?