我有许多 DNS 服务器,它们都在 Fedora 下运行 bind9(具体来说是 9.5.1)。其中 4 个是从服务器,由一个共同的主服务器为我们的公共 DNS 提供服务。它们都位于我们各个办公室的公共网关上。其中一个在其日志文件中有大量消息,类似于以下内容:
Jul 21 17:26:18 gateway named[3487]: client 10.171.3.8#52500: view internal: error sending response: host unreachable
我不知道这从何而来。防火墙在两台机器之间的端口 53 上打开(10.171.3.8 是位于 Windows 域控制器上的内部 DNS 服务器)。内部域不将网关列为名称服务器(因此不应有任何复制域的尝试),并且网关不处理任何内部 DNS。这些消息中的客户端在内部网络上的两个域控制器和第三个内部名称服务器(在网络的不同段上运行 debian 上的 bind9)之间有所不同。非常欢迎任何指点。
针对第一个回复:
问题在于 tcpdump 并没有显示任何问题。以下是“tcpdump -i any port 53”的摘录
09:13:38.283308 IP valine.aminocom.com.61815 > ns-pri.ripe.net.domain: 14075 PTR? 166.225.58.95.in-addr.arpa. (44)
09:13:42.007410 IP gateway-eng.aminocom.com.37047 > alanine.aminocom.com.domain: 35410+ PTR? 12.3.172.10.in-addr.arpa. (42)
同时DNS日志显示:
Jul 22 09:13:38 gateway named[3487]: client 10.171.3.6#61300: view internal: error sending response: host unreachable
Jul 22 09:13:40 gateway named[3487]: client 10.172.3.12#56230: view internal: error sending response: host unreachable
Jul 22 09:13:40 gateway named[3487]: client 10.171.3.8#55221: view internal: error sending response: host unreachable
Jul 22 09:13:49 gateway named[3487]: client 10.171.3.8#51342: view internal: error sending response: host unreachable
因此显然在 09:13:40 有两次尝试连接内部机器(10.172.3.12 和 10.171.3.8,都是 DNS 服务器)失败,但 tcpdump 输出中没有任何内容。
答案1
我猜这是由于 BIND 尝试向该 IP 发送响应时,发送了 ICMP 主机无法访问的消息。如果我是你,我会执行 tcpdump 来查看是否能找到发送消息的人。也许防火墙未配置为允许 UDP 从防火墙返回(客户端可能未使用端口 53)。
答案2
第一个猜测是 DNS 服务器上的路由问题。当您尝试从服务器 ping 客户端时会发生什么?
C。
答案3
您可以使用磷酸氢钙以每个主机为基础提供速率限制来处理传入流量。安装软件包后,将其设置为阻止向端口 53 发送超过 15 pps 的主机,如下所示:
phreld -p 53 -T 15:0