Проблемы с DNS (и не только)

[tmp0000]

Имеется сервер, на нем крутится bind.

Код:

# nslookup ya.ru
nslookup: couldn't get address for '': not found

Код:

# host ya.ru
host: couldn't get address for '▒': not found

Код:

# dig ya.ru
dig: couldn't get address for '▒▒▒▒▒▒▒▒▒▒▒K▒': not found

При этом если пропинговать что-нибудь:

Код:

# ping ya.ru
PING ya.ru (213.180.204.8) 56(84) bytes of data.
64 bytes from ya.ru (213.180.204.8): icmp_seq=1 ttl=59 time=18.1 ms

Код:

# cat /etc/resolv.conf
nameserver localhost

В какую сторону можно начинать копать?

Добавлено через 11 минут
На серваке в соседнем офисе стоит в принципе то же самое (тот же дистр, схожие настройки), но там таких странностей не наблюдается.

[rmn]

ну, во-первых, в resolv.conf должен быть IP-адрес, а не доменное имя DNS-сервера

Код:

nameserver 127.0.0.1

а, во-вторых, где конфиги и логи bind?

Добавлено через 3 минуты
и

Код:

tcpdump -ni any port 53

во время экспериментов.

[tmp0000]

Сообщение от rmn ну, во-первых, в resolv.conf должен быть IP-адрес, а не доменное имя DNS-сервера

Точняк, это помогло. Спасибо большое!

PS. Если еще какой косяк вспомню -- спрошу.

[tmp0000]

Еще одна проблема (никто не против, что я напишу здесь?): имеется офис с linux-шлюзом (NAT) и ~30 компьютеров.

Провайдер (sampo.ru) сегодня закрыл доступ:

Цитата: Закрыт 29.09.2008 15:32: Оказание услуги доступа в интернет приостановлено в связи с массовой передачей необоснованного трафика по сети (большая вероятность работы вирусной или «троянской» программы на Вашем компьютере) с одного из ваших компьютеров (IP: XXX.XX.XX.XX, MAC: XX:XX:XX:XX:XX:XX). Самопроизвольная генерация трафика может привести к необоснованным списаниям с Вашего лицевого счёта. Просим принять меры к проверке Ваших компьютеров. Все справки в службе поддержки по телефону (8142)592424 с 8:00 до 22:00.

Более подробную информацию от провайдера я получить так и не смог (кроме фраз о сканировании сети).
Видимо, в нашей подсети завелась жутко инфицированная машина под управлением MS Windows.

Вопрос: как с минимальными время- и трудозатратами вычислить инфицированную машину, являющуюся источником "левого" трафика?

Пока что добавил правило в INPUT:

Код:

7    LOG        all  --  anywhere             anywhere            LOG level info prefix `Unknown Input '

, но это помогает слабо, ничего необычного заметить не могу.

[InS7]

хоть бы лог для подсети настроил, если как говоришь:

Цитата: в нашей подсети завелась жутко инфицированная машина

[rmn]

Сообщение от tmp0000 Еще одна проблема (никто не против, что я напишу здесь?): имеется офис с linux-шлюзом (NAT) и ~30 компьютеров. Провайдер (sampo.ru) сегодня закрыл доступ: Более подробную информацию от провайдера я получить так и не смог (кроме фраз о сканировании сети). Видимо, в нашей подсети завелась жутко инфицированная машина под управлением MS Windows. Вопрос: как с минимальными время- и трудозатратами вычислить инфицированную машину, являющуюся источником "левого" трафика? Пока что добавил правило в INPUT: Код: 7 LOG all -- anywhere anywhere LOG level info prefix `Unknown Input ' , но это помогает слабо, ничего необычного заметить не могу.

поздно пить боржоми...
отказаться от NAT для всех, настроить прокси и NAT для избранных.
как минимум, повесить ipcad для разбора полётов постфактум, fwlogwatch пускать регулярно и изучать логи.
журналировать абсолютно все пакеты накладно, логи зафлудятся быстро (см. описание модуля limit)

Добавлено через 3 минуты
и про INPUT и "ничего необычного" в эту цепочку попадают пакеты, адресованные хосту. А тебе нужно анализировать то, что через FORWARD проходит.
тут есть наглядная схема продвижения пакетов в iptables. Лучше в ней разобраться хорошенько.

[InS7]

Цитата: отказаться от NAT для всех, настроить прокси и NAT для избранных

это сделать невозможно, так как встанет весь офис, все в прокси не пролезет. А вопрос как раз и был для поиска избранных

Цитата: FORWARD проходит

что то типа:

Код:

-A FORWARD -i eth0 -j LOG --log-prefix "Unknown Forward" --log-level 6

eth0 внутренняя подсеть

зы. и не забыть -m limit --limit 1/sec

Цитата: см. описание модуля limit

Добавлено через 4 минуты
зыы. эта схема нравиться больше

[rmn]

Сообщение от InS7 это сделать невозможно, так как встанет весь офис, все в прокси не пролезет.

а "всё" в офисе и не нужно ;] всё, что не лезет, выборочно настраивается. Но делать nat для всех - самоубийство.

[tmp0000]

Сообщение от rmn поздно пить боржоми...

Дык понятно, что без логов в содеянном не разобраться, мне на будущее...

Цитата: отказаться от NAT для всех, настроить прокси и NAT для избранных. как минимум, повесить ipcad для разбора полётов постфактум, fwlogwatch пускать регулярно и изучать логи. журналировать абсолютно все пакеты накладно, логи зафлудятся быстро (см. описание модуля limit)

От NAT уже отказываемся. За ipcad и fwlogwatch -- спасибо.

Цитата: и про INPUT и "ничего необычного" в эту цепочку попадают пакеты, адресованные хосту. А тебе нужно анализировать то, что через FORWARD проходит. тут есть наглядная схема продвижения пакетов в iptables. Лучше в ней разобраться хорошенько.

Про эту схемку я знаю (она есть в каждой доке); просто под вечер уже особо не думается.
С утра залогинился в систему, посмотрел как тупил вчера вечером, посмеялся, сделал нормально.

И еще одно: при логине банк Уралсиб выдает следующее:

Цитата: УРАЛСИБ: Вопрос: В каких случаях IP адрес компьютера банк считает неблагонадежным? Ответ: IP-адрес компьютера в сети Интернет, с которого Вы входите в систему «УРАЛСИБ+Интернет», проверяется по специализированным базам данных, содержащим списки неблагонадежных адресов DNSBL (DNS Black List). Как правило, в "черный список" (Black List) попадают компьютеры, зараженные вирусом, либо являющиеся открытыми прокси-серверами. Если при входе в систему «УРАЛСИБ+Интернет» появляется предупреждение о том, что IP-адрес компьютера является неблагонадежным, настоятельно рекомендуем проверить компьютер на наличие вирусов. В случае обнаружения на компьютере вируса, а также при работе в «УРАЛСИБ+Интернет» не со своего компьютера (например, в интернет-кафе), при последующем входе обязательно смените пароль входа и проверьте журнал событий на наличие подозрительных записей.

Видимо, последствия вчерашних событий

[InS7]

Цитата: И еще одно: при логине банк Уралсиб выдает следующее...

теперь буду заходить на уралсиб чтобы узнать есть ли у меня в локалке вирусы ))))

[tmp0000]

InS7, не советую. Такого говнобанка еще поискать: работает через ActiveX с тормозами и бубном (ясень пень, только через IE).