LINUX.ORG.RU
ФорумAdmin

DNS recursive-clients


0

0

Dns recursive-clients

Ситуация следующая, есть локальная сеть с порядком 1000 клиентов. Выход в internet организован с помощью vpn. В лок. сети существует внутренний DNS сервер, который отвечает только за преобразование vpn.name в ip-адресс vpn сервера и еще небольшое количество имен для станций в внутри сети.
Проблема, в лог файл валит от разных клиентов сообщения:


client x.x.x.x#xxxx: recursive-clients soft limit exceeded, aborting oldest query

По конфи-и named.conf ограничение стоит на 1100. TCPdump по dns показывает левыи запросы на сервера обновления клиенстких программ, например касперский. То есть запросы на нужные имена (vpn и станции) не обрабатываются.
Вопрос может кто подскажет , как с помощью конф. binda или firewall или еще каких дополнительных продуктов, можна ограничить разрешения только на те имена которые есть в конф. dns сервера (может можно, как то пропускать при поступлении на интерфейс по белому листу) ?
Версия BIND 9.3.4, конф. файл:

options {
directory "/var/named";
listen-on {x.x.x.x; x.x.x.x; localhost;};
query-source port 53;
recursive-clients 1100;
allow-transfer { none; };


};

zone "localhost" in {
type master;
file "localhost.zone";
allow-update { none; };
};
zone "0.0.127.in-addr.arpa" in {
type master;
file "127.0.0.zone";
allow-update { none; };
};
zone "lin.com" in {
type master;
file "lin.com";
allow-update { none; };
};
zone "10.in-addr.arpa" in {
type master;
file "10.zone";
};

Зарание блогадарен з любую помощь.


а почему нельзя, чтобы ваш DNS резолвил все (и ваши именя - "впн и станции" и все остальное)?

samson ★★
()
Ответ на: комментарий от samson

Всем остальным занимается внешний dns сервер при поднятии впн. Если у клиента не будет поднят впн, то он не сможет пользоваться интернет и днс ему будет не к чему. Надо сделать что б внутренний днс отбрасывал только левые запросы и не тратил на это время, при котором отбрасываются нужные "впн и станции".

tutitu
() автор топика
Ответ на: комментарий от tutitu

Ну и откажитесь от внешнего DNS вообще. Все будет резолвится через ваш внутренний. Если у клиента vpn отключен, преобразование имен все равно будет работать, но инета у клиента не будет.

И иметь свой DNS для вашего количества клиентов - это плюс

samson ★★
()

allow-recursion no, как-то так. И твой named превратиться в чисто авторитативный днс(или как это называется).

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

а зачем тебе увеличивать recursive-clients с 1000 до 1100?

disney
()
Ответ на: комментарий от Lego_12239

Нашел два варианта:
-первый
options { recursion no; };
При этом сервер становится авторитативным, то есть "чем мог помог" не пересылая запросы.

-второй
options {
forward {ip address};
forward only;
};
Остановился на втором варианте. При этом сервер становится авторитативным, но все остальные запросы отправляются на forward сервер. Строчка forward only, отвечает за, то что если forward не доступен, то левые запросы будут игнорится.

Всем спасибо за помощь.

tutitu
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.