LINUX.ORG.RU
ФорумAdmin

Bind9 трансфер на slave с master по UPD

 , ,


0

1

Подскажите, настроил master и slave днс сервера на Bind, но слейв сервер настроен не мной и поэтому хочется чтобы он как все делал трансфер со всем доступного порта 53 по UDP, а он почему то хочет лазить через TCP.

★★★

потому что для axfr используется tcp. Из-за ограничений размера udp пакета.

anonymous
()
Ответ на: комментарий от targitaj

но ддосят то вполне себе как то кеш пытаются слить через udp

да и отвечает же днс без tcp тоже

получается никак!? ((

wolverin ★★★
() автор топика
Последнее исправление: wolverin (всего исправлений: 3)
Ответ на: комментарий от wolverin

да в fail2ban включил фильтр для мастера на 53 порту для протокола UPD, теперь еще и TCP отдельно надо подключать получается

wolverin ★★★
() автор топика
Последнее исправление: wolverin (всего исправлений: 1)
Ответ на: комментарий от wolverin

да и отвечает же днс без tcp тоже

Уже несколько лет как и по udp и по tcp.

anonymous
()
Ответ на: комментарий от wolverin

получается никак!? ((

Получается «убери руки от системы, пока не поймешь, как она должны работать».

anonymous
()

Если любая из обслуживаемых там зон помещается в 512 байт (минус технические заголовки) - можешь попробовать.

slowpony ★★★★★
()

Для передачи файлов по интернету и следует использовать tcp. А трансфер зоны это именно оно и есть.

ugoday ★★★★★
()
Ответ на: комментарий от anonymous

Получается «убери руки от системы, пока не поймешь, как она должны работать».

мне нужно чтобы всякая шляпа вроде

client IP#36226 (.): query (cache) ‘./ANY/IN’ denied

улетала в бан, т.к. мастер днс на шлюзе и делить его со всякими «ботами» не хочется.

конечно можно в fail2ban включить 2 правила и для tcp и для udp, но это увеличение iptables в 2 раза, при этом и так по udp все нормально работает кроме трансфера зон.

wolverin ★★★
() автор топика
Последнее исправление: wolverin (всего исправлений: 1)
Ответ на: комментарий от wolverin

Есть два типа запросов: клиент-сервер (UDP) и сервер-сервер (TCP). Кто из них важнее — вопрос несколько философский.

ugoday ★★★★★
()
Ответ на: комментарий от ugoday

ugoday

самое интересное, но «сервер-сервер» тоже сначала делается по udp, потому что я в логах мастера вижу запросы, не передается тупо файл зоны по удп

wolverin ★★★
() автор топика
Ответ на: комментарий от wolverin
client IP#36226 (.): query (cache) ‘./ANY/IN’ denied


Разве это так смертельно? Боты ведь все равно получают «отлуп» и идут лесом. На мастер зоне сделай allow transfer IP слейва и дело в шляпе.

CeMKa
()
Ответ на: комментарий от CeMKa

Разве это так смертельно?

конечно смертельно, потому что они получают отлуп и продолжают долбить

wolverin ★★★
() автор топика
Последнее исправление: wolverin (всего исправлений: 1)

Откройте tcp-порт в iptables только для slave сервера. Ведь у него должен быть статический ip-адрес...

mky ★★★★★
()
Ответ на: комментарий от mky

mky

сейчас так и сделал, но этот слейв просто левый VPS, сегодня есть, завтра откажутся от него, что закрывалось бы простым удалением из конфигов бинда, а теперь еще и в фаервол лазить надо.

похоже придется все же всем открыть этот tcp 53 и закрыть его через fail2ban

wolverin ★★★
() автор топика
Последнее исправление: wolverin (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.