Всё ... я уже и не знаю как с этим бороться.
Есть DNS срвер Bind9 на FreeBSD4.9 всё до недавнего времени работало нормально (чёт не могу свой пост найти). Но в какой то момент перестали определяться IP адреса для доменов, т.е. если в кэше моего DNS нет адреса для domain.ru любой клиент входит в ступор. По идеи все запросы должны направляться на корневой сервер. На сколько я понимаю весь российский трафик заворачивается сейчас на московский root dns. И если я правильно понимаю находиться он (обслуживается) в ripn.net
Но запросы идут куда угодно, но только не на московский сервер .se .no и т.д. причём судя по трафику (trafshow) они пытаються слить мне весь свой кэш ... за час может накрутить до 400Мб трафика :(
Настройки в DNS не менялись и не правились ... хотя что тут можно напортачить
zone "." {
type hint;
file "named.root";
};ЗЫ счаз все запросы заворачиваю к ISP, но это не выход т.к. любой сбой в работе DNS сервера провайдера и опять начинается накрутка трафика.
Если честно - ничего не понял.
Можно глянуть твой named.conf целиком?
>Если честно - ничего не понял.
>Можно глянуть твой named.conf целиком?options {
directory "/usr/local/named/etc";
pid-file "/usr/local/named/var/run/named.pid";
version ":o)";
forwarders {
x.x.x.x;
y.y.y.y;
};
};zone "." {
type hint;
file "named.root";
};zone "0.0.127.IN-ADDR.ARPA" {
type master;
file "localhost.rev";
};zone "10.168.192.IN-ADDR.ARPA"{
type slave;
masters{
192.168.10.3;
192.168.10.17;
};
};zone "my.net.local"{
type slave;
masters{
192.168.10.3;
192.168.10.17;
};
file "mynet.local";
};zone "domain-1.ru" {
type master;
file "domain-1.ru";
allow-transfer{194.226.96.8;};
};zone "domain-2.ru" {
type master;
file "domain-2.ru";
allow-transfer{194.226.96.8;};
};zone "domain-3.ru" {
type master;
file "domsin-3.ru";
allow-transfer{194.226.96.8;};
};На IP 192.168.10.3 и 10.17 контроллеры домена на Win2000AS.
Правило forwarders в секцию options добавил после того как начались глюки.
С 194.226.96.8 приходят сообщения о невозможности получить с меня зону, хотя во премя тестирования и долгое время после всё нормально работало.Если а resolv.conf первым и единственным nameserver поставить мой IP то перестаёт работать whois (не доступен whois.ripn.net) а на запросы nslookup начинается накрутка трафика при запросах к другим DNS серверам. Мне ведь нужно получить всего один IP к которому привязано имя (допустим opennet.ru), но когда ответ от DNS сервера весит 17Мб я уж и не знаю что думать.
>zone "10.168.192.IN-ADDR.ARPA"{
> type slave;
> masters{
> 192.168.10.3;
> 192.168.10.17;
>
> };
>};Тут file пропустил.
> masters{
> allow-transfer{194.226.96.8;};
> allow-transfer{194.226.96.8;};
> allow-transfer{194.226.96.8;};Не знаю, как на это реагирует твой БИНД, но меня лично сильно напрягает отсутствие пробела перед открывающими фигурными скобками...
... и перед параметром... и перед закрывающей скобкой...>Правило forwarders в секцию options добавил после того как начались глюки.
Дык пусть всегда будет - приятно использовать чужой кэш.
>С 194.226.96.8 приходят сообщения о невозможности получить с меня зону, хотя во
>премя тестирования и долгое время после всё нормально работало.Начни с пробелов и скобок...
> Если а resolv.conf первым и единственным nameserver поставить мой IP то
Гм... если на компе стоит ДНС, то кроме 127.0.0.1 для резолвинга другие неймсерверы компу не нужны.
>перестаёт работать whois (не доступен whois.ripn.net) а на запросы nslookup начинается
>накрутка трафика при запросах к другим DNS серверам. Мне ведь нужно
>получить всего один IP к которому привязано имя (допустим opennet.ru), но
>когда ответ от DNS сервера весит 17Мб я уж и не
>знаю что думать.17 мегов??? 8-()
Ик...Итог для начала: file и пробелы.
Если не поможет, покажешь зону "domsin-3.ru"
>Гм... если на компе стоит ДНС, то кроме 127.0.0.1 для резолвинга другие
>неймсерверы компу не нужны.К DNS из resolv.conf обращаються приложения типа sendmail nslookup etc.
Sendmail при отправке запрашивает запись MX или A для домена. Если ответа нет не в моём кэше не в кэше ISP то именно мой DNS полезет опрашивать корневые сервера и получать по 17Мб ответы :(>17 мегов??? 8-()
>Ик...
>
>Итог для начала: file и пробелы.Ну да file я проглядел ... каюсь. А без пробелов всегда работало ... скобка обозначает блок в котором определяються правила относящиеся к конкретному оператору. Думаю что при чтении конфига пробелы и знаки табуляции игнорируються, а разделителем является ';'. Во всяком случае named-checkconf ошибок не выдаёт.
>Если не поможет, покажешь зону "domsin-3.ru"
>К DNS из resolv.conf обращаються приложения типа sendmail nslookup etc.
>Sendmail при отправке запрашивает запись MX или A для домена. Если ответа
>нет не в моём кэше не в кэше ISP то именно
>мой DNS полезет опрашивать корневые сервера и получать по 17Мб ответыЭто фантастика... я не верю!
>Это фантастика... я не верю!Считалка трафика ... избранное
9:19:49 3263845 17 192.35.51.31:53 -> my_ip:1094 (f2.NSTLD.COM)
09:29:49 4254288 17 192.33.14.31:53 -> my_ip:1094 (b2.NSTLD.COM)
09:29:49 7186188 17 192.42.93.31:53 -> my_ip:1094 (g2.NSTLD.COM)
09:34:49 9918247 17 192.5.6.31:53 -> my_ip:1094 (a2.NSTLD.COM)
09:34:49 12971467 17 192.31.80.31:53 -> my_ip:1094 (d2.NSTLD.COM)А вот с этого ответа я вообще выпал в осадок ....
09:49:49 30359680 17 192.36.125.2:53 -> my_ip:1094 (sunic.sunet.se)
Без малого 29Мб. Так что да ... согласен ... про 17Мб я приукрасил :)
>А это как понимать вообше непонятно. :-)
мне тоже ... но whois точно перестает работать - whois.ripn.net не известный хост. Как я говорил пинг и трасерт до него(194.85.119.131) не проходят.>Пересобирать bind пробывал?
Да. Даже поставил новый релиз. Результат тот же.
>>Это фантастика... я не верю!
>
>Считалка трафика ... избранное
>
>9:19:49 3263845 17 192.35.51.31:53 -> my_ip:1094 (f2.NSTLD.COM)
>09:29:49 4254288 17 192.33.14.31:53 -> my_ip:1094 (b2.NSTLD.COM)
>09:29:49 7186188 17 192.42.93.31:53 -> my_ip:1094 (g2.NSTLD.COM)
>09:34:49 9918247 17 192.5.6.31:53 -> my_ip:1094 (a2.NSTLD.COM)
>09:34:49 12971467 17 192.31.80.31:53 -> my_ip:1094 (d2.NSTLD.COM)
>
>А вот с этого ответа я вообще выпал в осадок ....
>
>09:49:49 30359680 17 192.36.125.2:53 -> my_ip:1094 (sunic.sunet.se)
>
>Без малого 29Мб. Так что да ... согласен ... про 17Мб я
>приукрасил :)
>
>>А это как понимать вообше непонятно. :-)
>мне тоже ... но whois точно перестает работать - whois.ripn.net не известный
>хост. Как я говорил пинг и трасерт до него(194.85.119.131) не проходят.
>
>
>>Пересобирать bind пробывал?
>
>Да. Даже поставил новый релиз. Результат тот же.где такую считалку взял? ;)
Re
Если а resolv.conf первым и единственным nameserver поставить мой IP то перестаёт работать whois (не доступен whois.ripn.net)
А это как понимать вообше непонятно. :-)
Пересобирать bind пробывал?
>где такую считалку взял? ;)Этот лог мне ISP сбросил после того как я в trafshow понаблюдал скорость и объем закачки на выделенке в 100Мбит. На сколько я в курсе они пользуються net_acct. Если вас смутил domain-name в скобках, то это я ручками, для наглядности, добавил.
>>где такую считалку взял? ;)
>
>Этот лог мне ISP сбросил после того как я в trafshow понаблюдал
>скорость и объем закачки на выделенке в 100Мбит. На сколько я
>в курсе они пользуються net_acct. Если вас смутил domain-name в скобках,
>то это я ручками, для наглядности, добавил.хорошо предполагаем что статитстика не врет :-)
Было бы любопытно посмотреть soa для зон.
>хорошо предполагаем что статитстика не врет :-)
>Было бы любопытно посмотреть soa для зон.А при чем тут SOA. Трафик то накручивается на зонах для которых мой DNS не является 'авторитетным' :)
Ну вот один из файлов описалова зоны
zone domain-3.ru {
type master;
file "domain-3.ru";
allow-transfer {194.226.96.8;};
};file "domain-3.ru"
$TTL 1d
@ IN SOA ns.domain-3.ru. root.mx.domain-3.ru. (
10010 ;
2h ;
1h ;
4w ;
4d );@ IN NS ns.domain-3.ru.
@ IN NS ns4.nic.ru.@ IN A 1.1.1.1
localhost IN A 127.0.0.1ns.kill-hup.ru. IN A 1.1.1.1
mx.kill-hup.ru. IN A 1.1.1.1
www.kill-hup.ru. IN A 1.1.1.1domain-3.ru. IN MX 10 mx.domain-3.ru.
Остальные зоны с похожим описанием.
Повторюсь ... с такой конфигурацией всё работало. Никаких изменений не вносилось. Как ответили мне в nic.ru ошибки в получении зоны связанны скорей всего с проблемами связи. Судя по количеству репортов о не возможности получить зону эта связь ваабсче отсутсвует.
Боюсь эт связанно с той же проблеммой по причине которой я не вижу ru.whois-servers.net ака whois.ripn.net
Ooops ...
Не поправил файлик :)))
Всё вышесказанное естественно справедливо для kill-hup.ru а не для domain-3.ru :))
Имхо... снеси всё нафиг и поставь операционку и БИНД с нуля.
БЫСТРЕЕ результат будет.
Чудес-то не бывает - где-то что-то перекосило. В таких случаях быстрее всё переставить, чем найти.Кстати, мож сетевка у тебя начала блудить? Какие еще сервисы на этом компе? Как они работают?
И ещё раз ИМХО: добавь пробелы - жалко что-ли?
>Имхо... снеси всё нафиг и поставь операционку и БИНД с нуля.
>БЫСТРЕЕ результат будет.
>Чудес-то не бывает - где-то что-то перекосило.Перекашивает обычно в голове, хуже когда хронический перекос рук (не в обиду, но это о вас).
>В таких случаях быстрее всё переставить, чем найти.
Молчали бы лучше чем такие советы давать.
Чтобы не ломать голову догадками давно бы уже запустили tcpdump и посмотрели что за трафик идет с root-dns.
В добавок:
- включить всю возможную диагностику в логи
- поставить dnstop и посмотреть нет ли кривых клиентов (бывает какой-нибудь завирусенный windows дает в час в сотню раз больше DNS трафика чем вся сеть за неделю). Лечится обычно через rate-limit, например, ограничить чтобы не проходило больше 50 запросов к DNS в минуту.
- запустить chkrootkit, может на вашей машине троян занимающийся флудом Root-DNS.
>Перекашивает обычно в голове, хуже когда хронический перекос рук
> (не в обиду, но это о вас).
...
>Молчали бы лучше чем такие советы давать.
Эникейщиком назвать тебя язык не поворачивается, а вот- Хамишь, парниша (с) Эллочка-людоедка
- вполне... ;)
Место и наказание для осмысления собственного поведения выбери себе сам - по вкусу и разумению. :)
Прошу прощения, вырвалось. Как показал просмотр тредов с вашими ответами, мое мнение оказалось ошибочным.Но рекомендация перустановки с нуля без выявление причины проблемы, вдруг само починится, это тоже перебор.
>Прошу прощения, вырвалось. Как показал просмотр тредов с
>вашими ответами, мое мнение оказалось ошибочным.Ладно, проехали, с кем ни бывает: сорвалось с языка - не рубить же :)
Даст Бог - пивка попьём, посмеемся. :)>Но рекомендация перустановки с нуля без выявление причины
>проблемы, вдруг само починится, это тоже перебор.Мало ли - начиная от "сетевка накрывается (или уже) и/или развалился стек протоколов" и до "ошибка в БИНДе".
Перестановка системы с готовыми конфигурашками занимает несколько часов; по мере добавления конфигурашек можно быстро вычислить где "криво".
Логи не каждый сможет разобрать - это может растянуться на недели.
Неделя (даже полный рабочий день) недоступности сервиса - преступление против работодателя.Твой путь - для профи, мой - для среднестатистического админа.
И, плз, если тебя не коробит - давай на "ты", а?
Наличие и/или отсутствие уважения к собеседнику от формы обращения к нему не зависит. :)
>Ooops ...
>Не поправил файлик :)))
>Всё вышесказанное естественно справедливо для kill-hup.ru а не для domain-3.ru :))
Я все вел к тому что возможно ttl на зонах "короткий" поэтому на днсник ломятся и накручивают трафик.
>Я все вел к тому что возможно ttl на зонах "короткий" поэтому
>на днсник ломятся и накручивают трафик.Сумневаюсь. Домены зарегистрированы меньше месяца назад. Да и трафик то входящий, и причем видно по логам, что идет передача не понятно чего с корневых DNS серверов.
>Имхо... снеси всё нафиг и поставь операционку и БИНД с нуля.
>БЫСТРЕЕ результат будет.
>Чудес-то не бывает - где-то что-то перекосило. В таких случаях быстрее >всё переставить, чем найти.Но причину то хотелось бы выяснить. Мало ли када пригодиться.
>Кстати, мож сетевка у тебя начала блудить? Какие еще сервисы на этом >компе? Как они работают?
Хорошо бы ели б проблема была тока в железе. А сервисы стандартные
sendmail, bind, natd, www, ftp. Две сетевухи одна в локалку другая на ISP смотрит.На выходных наверное придётся все в отдельности пересобрать, что б выявить косяк.
ЗЫ и мне все таки интересно что это за трансфер был с DNS в 29Мб ? :)
Может кто поделиться соображениями.
запусти bind с опцией отладки и смотри логи
Allow-recursion opredeli
obnovi kornewuyu zonu
named.root (ftp rs.internic.net)
>Чтобы не ломать голову догадками давно бы уже запустили tcpdump и >посмотрели
>что за трафик идет с root-dns.
>В добавок:
>- включить всю возможную диагностику в логи
>- поставить dnstop и посмотреть нет ли кривых клиентов (бывает какой->нибудь
>завирусенный windows дает в час в сотню раз больше DNS трафика чем вся >сеть за неделю).
>Лечится обычно через rate-limit, например, ограничить чтобы не проходило >больше 50 запросов к DNS в минуту.От части проблема решена. Во всяком случае с трафиком. Стыдно сознаться, но FreeBSD как бы не причем оказалась. Сдох DNS на основном контроллере домена под Win2000AS. Причем сдох молча гад ... прикинулся шлангом и делал вид что работает. Резервный контроллер домена решил весь удар принять на себя (по скольку трансфер с основного получить не смог) и подумав что он теперь царь и бог - назначил себя корневым DNS. Благо для него до этого порты на фаерволе были открыты для апгрейда самой оси и антивиря. Обнаружилось только после просмотра портянок логфайлов за чашкой пива. Ну а по скольку на клиентах домена первым DNS указан DNS одного из контроллеров, а уж потом DNS on FreeBSD, вот и наковырял трафика.
Но ru.whois-servers.net FreeBSD так и не видит. А со вторичного приходят ответы об ошибке получения SOA записи. Логи Bind довольно таки тяжолые для анализа. На выходных настрою вторичный DNS в другой сети и буду отлавливать xfer-out в логах.ЗЫ Надеюсь отследить что стало причиной чего ... толи недоступность whois вызвало падение DNS на Win2000AS, толи наоборот (что очень маловероятно).
>Ну а по скольку на клиентах
>домена первым DNS указан DNS одного из контроллеров, а уж потом
>DNS on FreeBSD, вот и наковырял трафика.Гм... клиенты виндового домена вообще ничего не должны знать о ДНС на Фре.
У них должны быть прописаны только Виндовые АД ДНС.А уж в ДНС-В2к нужно в форвардеры вписать твою фрюху.
Вот еще что: A bug in the Windows 2000 DNS server can cause zone transfers from a BIND 9 server to a W2K server to fail. For details, see the "Zone Transfers" section in doc/misc/migration.
Извиняюсь может не в тему, но.
Ты уверен что это чисто DNS трафик, к примеру tcpdump-ом слушать не пытался.
Можно же предположить что тебя ночью или днём ..., а чтобы не очень
было заметно повесить сервис работающий через 53 порт.Ещё раз приношу извинения, если я не в тему.