16.09.2008, 17:50 | #1 |
Пользователь
|
Проблемы с DNS (и не только)
Имеется сервер, на нем крутится bind.
Код:
# nslookup ya.ru nslookup: couldn't get address for '': not found Код:
# host ya.ru host: couldn't get address for '▒': not found Код:
# dig ya.ru dig: couldn't get address for '▒▒▒▒▒▒▒▒▒▒▒K▒': not found Код:
# ping ya.ru PING ya.ru (213.180.204.8) 56(84) bytes of data. 64 bytes from ya.ru (213.180.204.8): icmp_seq=1 ttl=59 time=18.1 ms Код:
# cat /etc/resolv.conf nameserver localhost Добавлено через 11 минут На серваке в соседнем офисе стоит в принципе то же самое (тот же дистр, схожие настройки), но там таких странностей не наблюдается.
__________________
Думай головой, %username%. Последний раз редактировалось tmp0000; 16.09.2008 в 17:50. Причина: Добавлено сообщение |
16.09.2008, 19:20 | #2 |
Местный
|
ну, во-первых, в resolv.conf должен быть IP-адрес, а не доменное имя DNS-сервера
Код:
nameserver 127.0.0.1 Добавлено через 3 минуты и Код:
tcpdump -ni any port 53 Последний раз редактировалось rmn; 16.09.2008 в 19:20. Причина: Добавлено сообщение |
Благодарности: 1 | tmp0000 (17.09.2008) |
29.09.2008, 18:23 | #4 | ||||||||||||
Пользователь
|
Еще одна проблема (никто не против, что я напишу здесь?): имеется офис с linux-шлюзом (NAT) и ~30 компьютеров.
Провайдер (sampo.ru) сегодня закрыл доступ:
Видимо, в нашей подсети завелась жутко инфицированная машина под управлением MS Windows. Вопрос: как с минимальными время- и трудозатратами вычислить инфицированную машину, являющуюся источником "левого" трафика? Пока что добавил правило в INPUT: Код:
7 LOG all -- anywhere anywhere LOG level info prefix `Unknown Input '
__________________
Думай головой, %username%. |
||||||||||||
29.09.2008, 20:04 | #6 | ||||||||||||
Местный
|
отказаться от NAT для всех, настроить прокси и NAT для избранных. как минимум, повесить ipcad для разбора полётов постфактум, fwlogwatch пускать регулярно и изучать логи. журналировать абсолютно все пакеты накладно, логи зафлудятся быстро (см. описание модуля limit) Добавлено через 3 минуты и про INPUT и "ничего необычного" в эту цепочку попадают пакеты, адресованные хосту. А тебе нужно анализировать то, что через FORWARD проходит. тут есть наглядная схема продвижения пакетов в iptables. Лучше в ней разобраться хорошенько. Последний раз редактировалось rmn; 29.09.2008 в 20:04. Причина: Добавлено сообщение |
||||||||||||
29.09.2008, 20:16 | #7 | ||||||||||||||||||||||||||||||||||||
Пользователь
|
Код:
-A FORWARD -i eth0 -j LOG --log-prefix "Unknown Forward" --log-level 6 зы. и не забыть -m limit --limit 1/sec
Добавлено через 4 минуты зыы. эта схема нравиться больше Последний раз редактировалось InS7; 29.09.2008 в 20:16. Причина: Добавлено сообщение |
||||||||||||||||||||||||||||||||||||
Благодарности: 1 | tmp0000 (29.09.2008) |
30.09.2008, 15:48 | #9 | ||||||||||||||||||||||||||||||||||||
Пользователь
|
Дык понятно, что без логов в содеянном не разобраться, мне на будущее...
С утра залогинился в систему, посмотрел как тупил вчера вечером, посмеялся, сделал нормально. И еще одно: при логине банк Уралсиб выдает следующее:
__________________
Думай головой, %username%. |
||||||||||||||||||||||||||||||||||||
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Выбор жесткого диска | FreeMan | Помощь в выборе | 357 | 07.11.2017 23:40 |
Оружейная: Новости | Ferrari | Оружие и военная техника | 9432 | 29.04.2014 19:34 |
Кто как мстит | VictorS | На завалинке | 48 | 19.10.2012 20:24 |
Hidden and Dangerous | mistaken | Action | 10 | 13.05.2008 21:52 |