Имеется сервер, на нем крутится bind.

# nslookup ya.ru
nslookup: couldn't get address for '': not found

# host ya.ru
host: couldn't get address for '▒': not found

# dig ya.ru
dig: couldn't get address for '▒▒▒▒▒▒▒▒▒▒▒K▒': not found

При этом если пропинговать что-нибудь:

# ping ya.ru
PING ya.ru (213.180.204.8) 56(84) bytes of data.
64 bytes from ya.ru (213.180.204.8): icmp_seq=1 ttl=59 time=18.1 ms

# cat /etc/resolv.conf
nameserver localhost

В какую сторону можно начинать копать?

Добавлено через 11 минут
На серваке в соседнем офисе стоит в принципе то же самое (тот же дистр, схожие настройки), но там таких странностей не наблюдается.

ну, во-первых, в resolv.conf должен быть IP-адрес, а не доменное имя DNS-сервера
nameserver 127.0.0.1
а, во-вторых, где конфиги и логи bind? :)

Добавлено через 3 минуты
и
tcpdump -ni any port 53
во время экспериментов.

ну, во-первых, в resolv.conf должен быть IP-адрес, а не доменное имя DNS-сервера

Точняк, это помогло. Спасибо большое!

PS. Если еще какой косяк вспомню -- спрошу.

Еще одна проблема (никто не против, что я напишу здесь?): имеется офис с linux-шлюзом (NAT) и ~30 компьютеров.

Провайдер (sampo.ru) сегодня закрыл доступ:
Закрыт 29.09.2008 15:32: Оказание услуги доступа в интернет приостановлено в связи с массовой передачей необоснованного трафика по сети (большая вероятность работы вирусной или «троянской» программы на Вашем компьютере) с одного из ваших компьютеров (IP: XXX.XX.XX.XX, MAC: XX:XX:XX:XX:XX:XX). Самопроизвольная генерация трафика может привести к необоснованным списаниям с Вашего лицевого счёта. Просим принять меры к проверке Ваших компьютеров. Все справки в службе поддержки по телефону (8142)592424 с 8:00 до 22:00.


Более подробную информацию от провайдера я получить так и не смог (кроме фраз о сканировании сети).
Видимо, в нашей подсети завелась жутко инфицированная машина под управлением MS Windows.

Вопрос: как с минимальными время- и трудозатратами вычислить инфицированную машину, являющуюся источником "левого" трафика?

Пока что добавил правило в INPUT:
7 LOG all -- anywhere anywhere LOG level info prefix `Unknown Input '
, но это помогает слабо, ничего необычного заметить не могу.

хоть бы лог для подсети настроил, если как говоришь:

в нашей подсети завелась жутко инфицированная машина

Еще одна проблема (никто не против, что я напишу здесь?): имеется офис с linux-шлюзом (NAT) и ~30 компьютеров.

Провайдер (sampo.ru) сегодня закрыл доступ:


Более подробную информацию от провайдера я получить так и не смог (кроме фраз о сканировании сети).
Видимо, в нашей подсети завелась жутко инфицированная машина под управлением MS Windows.

Вопрос: как с минимальными время- и трудозатратами вычислить инфицированную машину, являющуюся источником "левого" трафика?

Пока что добавил правило в INPUT:
7 LOG all -- anywhere anywhere LOG level info prefix `Unknown Input '
, но это помогает слабо, ничего необычного заметить не могу.
поздно пить боржоми...
отказаться от NAT для всех, настроить прокси и NAT для избранных.
как минимум, повесить ipcad для разбора полётов постфактум, fwlogwatch пускать регулярно и изучать логи.
журналировать абсолютно все пакеты накладно, логи зафлудятся быстро (см. описание модуля limit)

Добавлено через 3 минуты
и про INPUT и "ничего необычного" ;) в эту цепочку попадают пакеты, адресованные хосту. А тебе нужно анализировать то, что через FORWARD проходит. ;)
тут (http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_Linux_Firewalls_Using_iptable s) есть наглядная схема продвижения пакетов в iptables. Лучше в ней разобраться хорошенько.

отказаться от NAT для всех, настроить прокси и NAT для избранных

это сделать невозможно, так как встанет весь офис, все в прокси не пролезет. А вопрос как раз и был для поиска избранных
FORWARD проходит
что то типа:

-A FORWARD -i eth0 -j LOG --log-prefix "Unknown Forward" --log-level 6

eth0 внутренняя подсеть

зы. и не забыть -m limit --limit 1/sec
см. описание модуля limit

Добавлено через 4 минуты
зыы. эта (http://www.docum.org/docum.org/kptd/) схема нравиться больше

это сделать невозможно, так как встанет весь офис, все в прокси не пролезет.
а "всё" в офисе и не нужно ;] всё, что не лезет, выборочно настраивается. Но делать nat для всех - самоубийство. :)

поздно пить боржоми...
Дык понятно, что без логов в содеянном не разобраться, мне на будущее...


отказаться от NAT для всех, настроить прокси и NAT для избранных.
как минимум, повесить ipcad для разбора полётов постфактум, fwlogwatch пускать регулярно и изучать логи.
журналировать абсолютно все пакеты накладно, логи зафлудятся быстро (см. описание модуля limit)
От NAT уже отказываемся. За ipcad и fwlogwatch -- спасибо.


и про INPUT и "ничего необычного" ;) в эту цепочку попадают пакеты, адресованные хосту. А тебе нужно анализировать то, что через FORWARD проходит. ;)
тут (http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_Linux_Firewalls_Using_iptable s) есть наглядная схема продвижения пакетов в iptables. Лучше в ней разобраться хорошенько.
Про эту схемку я знаю (она есть в каждой доке); просто под вечер уже особо не думается.
С утра залогинился в систему, посмотрел как тупил вчера вечером, посмеялся, сделал нормально.

И еще одно: при логине банк Уралсиб выдает следующее:

УРАЛСИБ:
Вопрос: В каких случаях IP адрес компьютера банк считает неблагонадежным?
Ответ: IP-адрес компьютера в сети Интернет, с которого Вы входите в систему «УРАЛСИБ+Интернет», проверяется по специализированным базам данных, содержащим списки неблагонадежных адресов DNSBL (DNS Black List). Как правило, в "черный список" (Black List) попадают компьютеры, зараженные вирусом, либо являющиеся открытыми прокси-серверами. Если при входе в систему «УРАЛСИБ+Интернет» появляется предупреждение о том, что IP-адрес компьютера является неблагонадежным, настоятельно рекомендуем проверить компьютер на наличие вирусов. В случае обнаружения на компьютере вируса, а также при работе в «УРАЛСИБ+Интернет» не со своего компьютера (например, в интернет-кафе), при последующем входе обязательно смените пароль входа и проверьте журнал событий на наличие подозрительных записей.

Видимо, последствия вчерашних событий :)

И еще одно: при логине банк Уралсиб выдает следующее...
теперь буду заходить на уралсиб чтобы узнать есть ли у меня в локалке вирусы ))))

InS7, не советую. Такого говнобанка еще поискать: работает через ActiveX с тормозами и бубном (ясень пень, только через IE).