Battle Forum - Проблемы с DNS (и не только)

Battle Forum (http://battlefox.rooty.ru/index.php)

- Программная - Linux (http://battlefox.rooty.ru/forumdisplay.php?f=80)

- - Проблемы с DNS (и не только) (http://battlefox.rooty.ru/showthread.php?t=9341)

Проблемы с DNS (и не только)

Имеется сервер, на нем крутится bind.

Код:

# nslookup ya.ru

nslookup: couldn't get address for '': not found

Код:

# host ya.ru

host: couldn't get address for '▒': not found

Код:

# dig ya.ru

dig: couldn't get address for '▒▒▒▒▒▒▒▒▒▒▒K▒': not found

При этом если пропинговать что-нибудь:

Код:

# ping ya.ru

PING ya.ru (213.180.204.8) 56(84) bytes of data.

64 bytes from ya.ru (213.180.204.8): icmp_seq=1 ttl=59 time=18.1 ms

Код:

# cat /etc/resolv.conf

nameserver localhost

В какую сторону можно начинать копать?

Добавлено через 11 минут
На серваке в соседнем офисе стоит в принципе то же самое (тот же дистр, схожие настройки), но там таких странностей не наблюдается.

ну, во-первых, в resolv.conf должен быть IP-адрес, а не доменное имя DNS-сервера

Код:

nameserver 127.0.0.1

а, во-вторых, где конфиги и логи bind? :)

Добавлено через 3 минуты
и

Код:

tcpdump -ni any port 53

во время экспериментов.

Цитата:

Сообщение от rmn (Сообщение 299617)

ну, во-первых, в resolv.conf должен быть IP-адрес, а не доменное имя DNS-сервера

Точняк, это помогло. Спасибо большое!

PS. Если еще какой косяк вспомню -- спрошу.

Еще одна проблема (никто не против, что я напишу здесь?): имеется офис с linux-шлюзом (NAT) и ~30 компьютеров.

Провайдер (sampo.ru) сегодня закрыл доступ:

Цитата:

Закрыт 29.09.2008 15:32: Оказание услуги доступа в интернет приостановлено в связи с массовой передачей необоснованного трафика по сети (большая вероятность работы вирусной или «троянской» программы на Вашем компьютере) с одного из ваших компьютеров (IP: XXX.XX.XX.XX, MAC: XX:XX:XX:XX:XX:XX). Самопроизвольная генерация трафика может привести к необоснованным списаниям с Вашего лицевого счёта. Просим принять меры к проверке Ваших компьютеров. Все справки в службе поддержки по телефону (8142)592424 с 8:00 до 22:00.

Более подробную информацию от провайдера я получить так и не смог (кроме фраз о сканировании сети).
Видимо, в нашей подсети завелась жутко инфицированная машина под управлением MS Windows.

Вопрос: как с минимальными время- и трудозатратами вычислить инфицированную машину, являющуюся источником "левого" трафика?

Пока что добавил правило в INPUT:

Код:

7    LOG        all  --  anywhere             anywhere            LOG level info prefix `Unknown Input '

, но это помогает слабо, ничего необычного заметить не могу.

хоть бы лог для подсети настроил, если как говоришь:

Цитата:

в нашей подсети завелась жутко инфицированная машина

Цитата:

Сообщение от tmp0000 (Сообщение 304009)

Еще одна проблема (никто не против, что я напишу здесь?): имеется офис с linux-шлюзом (NAT) и ~30 компьютеров.

Провайдер (sampo.ru) сегодня закрыл доступ:

Более подробную информацию от провайдера я получить так и не смог (кроме фраз о сканировании сети).
Видимо, в нашей подсети завелась жутко инфицированная машина под управлением MS Windows.

Вопрос: как с минимальными время- и трудозатратами вычислить инфицированную машину, являющуюся источником "левого" трафика?

Пока что добавил правило в INPUT:

Код:

7    LOG        all  --  anywhere             anywhere            LOG level info prefix `Unknown Input '

, но это помогает слабо, ничего необычного заметить не могу.

поздно пить боржоми...
отказаться от NAT для всех, настроить прокси и NAT для избранных.
как минимум, повесить ipcad для разбора полётов постфактум, fwlogwatch пускать регулярно и изучать логи.
журналировать абсолютно все пакеты накладно, логи зафлудятся быстро (см. описание модуля limit)

Добавлено через 3 минуты
и про INPUT и "ничего необычного" ;) в эту цепочку попадают пакеты, адресованные хосту. А тебе нужно анализировать то, что через FORWARD проходит. ;)
тут есть наглядная схема продвижения пакетов в iptables. Лучше в ней разобраться хорошенько.

Цитата:

отказаться от NAT для всех, настроить прокси и NAT для избранных

это сделать невозможно, так как встанет весь офис, все в прокси не пролезет. А вопрос как раз и был для поиска избранных

Цитата:

FORWARD проходит

что то типа:

Код:

-A FORWARD -i eth0 -j LOG --log-prefix "Unknown Forward" --log-level 6

eth0 внутренняя подсеть

зы. и не забыть -m limit --limit 1/sec

Цитата:

см. описание модуля limit

Добавлено через 4 минуты
зыы. эта схема нравиться больше

Цитата:

Сообщение от InS7 (Сообщение 304079)

это сделать невозможно, так как встанет весь офис, все в прокси не пролезет.

а "всё" в офисе и не нужно ;] всё, что не лезет, выборочно настраивается. Но делать nat для всех - самоубийство. :)

Цитата:

Сообщение от rmn (Сообщение 304072)

поздно пить боржоми...

Дык понятно, что без логов в содеянном не разобраться, мне на будущее...

Цитата:

отказаться от NAT для всех, настроить прокси и NAT для избранных.
как минимум, повесить ipcad для разбора полётов постфактум, fwlogwatch пускать регулярно и изучать логи.
журналировать абсолютно все пакеты накладно, логи зафлудятся быстро (см. описание модуля limit)

От NAT уже отказываемся. За ipcad и fwlogwatch -- спасибо.

Цитата:

и про INPUT и "ничего необычного" ;) в эту цепочку попадают пакеты, адресованные хосту. А тебе нужно анализировать то, что через FORWARD проходит. ;)
тут есть наглядная схема продвижения пакетов в iptables. Лучше в ней разобраться хорошенько.

Про эту схемку я знаю (она есть в каждой доке); просто под вечер уже особо не думается.
С утра залогинился в систему, посмотрел как тупил вчера вечером, посмеялся, сделал нормально.

И еще одно: при логине банк Уралсиб выдает следующее:

Цитата:

УРАЛСИБ:
Вопрос: В каких случаях IP адрес компьютера банк считает неблагонадежным?
Ответ: IP-адрес компьютера в сети Интернет, с которого Вы входите в систему «УРАЛСИБ+Интернет», проверяется по специализированным базам данных, содержащим списки неблагонадежных адресов DNSBL (DNS Black List). Как правило, в "черный список" (Black List) попадают компьютеры, зараженные вирусом, либо являющиеся открытыми прокси-серверами. Если при входе в систему «УРАЛСИБ+Интернет» появляется предупреждение о том, что IP-адрес компьютера является неблагонадежным, настоятельно рекомендуем проверить компьютер на наличие вирусов. В случае обнаружения на компьютере вируса, а также при работе в «УРАЛСИБ+Интернет» не со своего компьютера (например, в интернет-кафе), при последующем входе обязательно смените пароль входа и проверьте журнал событий на наличие подозрительных записей.

Видимо, последствия вчерашних событий :)

Цитата:

И еще одно: при логине банк Уралсиб выдает следующее...

теперь буду заходить на уралсиб чтобы узнать есть ли у меня в локалке вирусы ))))

InS7, не советую. Такого говнобанка еще поискать: работает через ActiveX с тормозами и бубном (ясень пень, только через IE).