LINUX.ORG.RU

Сообщения tutitu

 

ISC-DHCPD статистика по сообщениям или по пакетам

Форум — Admin

Всем здравствуйте!

Возникла необходимости вести учёт(статистику) по сообщениям ISC-DHCPD. Нужно следующее, каким то образом (парсить логи DHCPD демона или слушать трафик) вести статистику, кто, сколько из пользователей бросил запросов и получил ответов (DHCPDISCOVER,DHCPOFFER,DHCPREQUEST,DHCPACK). Может кто подскажет есть какие продукты или поделится готовыми решениями. Заранее благодарю.

tutitu
()

Dns flood клиентов на сервере dns, как кто бороться?

Форум — Admin

Интересуют советы по вопросу: как бороться с dns floodom?

Linux CentOS,

Сеть клиентов - 10.0.0.0/8,

named.conf:

options {
directory "/var/named";
listen-on {x.x.x.x; x.x.x.x; localhost;};
query-source port 53;
recursive-clients 4000;
allow-transfer { none; };
forward {ip address dns provaidera};
forward only;
};

zone "localhost" in {
type master;
file "localhost.zone";
allow-update { none; };
};
zone "0.0.127.in-addr.arpa" in {
type master;
file "127.0.0.zone";
allow-update { none; };
};
zone "lin.com" in {
type master;
file "lin.com";
allow-update { none; };
};
zone "10.in-addr.arpa" in {
type master;
file "10.zone";
};

Вот нашел с помощью iptables:

iptables -A INPUT -s 10.0.0.0/8 -p udp --dport 53 -m limit --limit 3/s -j ACCEPT
iptables -A INPUT -s 10.0.0.0/8 -p udp --dport 53 -j DROP

Но ето не подходит, так как соурс задается для подсети, то есть limit 3 пакета в секунду воспринимается для общего количества пиров входящих в заданную подсеть, а не для отдельного клиента. Может, кто знает, как задать лимит для одного пира, который входит подсеть 10.0.0.0/8? Может, есть, какие другие методы или инструменты для борьбы?

tutitu
()

DNS recursive-clients

Форум — Admin

Dns recursive-clients

Ситуация следующая, есть локальная сеть с порядком 1000 клиентов. Выход в internet организован с помощью vpn. В лок. сети существует внутренний DNS сервер, который отвечает только за преобразование vpn.name в ip-адресс vpn сервера и еще небольшое количество имен для станций в внутри сети.
Проблема, в лог файл валит от разных клиентов сообщения:


client x.x.x.x#xxxx: recursive-clients soft limit exceeded, aborting oldest query

По конфи-и named.conf ограничение стоит на 1100. TCPdump по dns показывает левыи запросы на сервера обновления клиенстких программ, например касперский. То есть запросы на нужные имена (vpn и станции) не обрабатываются.
Вопрос может кто подскажет , как с помощью конф. binda или firewall или еще каких дополнительных продуктов, можна ограничить разрешения только на те имена которые есть в конф. dns сервера (может можно, как то пропускать при поступлении на интерфейс по белому листу) ?
Версия BIND 9.3.4, конф. файл:

options {
directory "/var/named";
listen-on {x.x.x.x; x.x.x.x; localhost;};
query-source port 53;
recursive-clients 1100;
allow-transfer { none; };


};

zone "localhost" in {
type master;
file "localhost.zone";
allow-update { none; };
};
zone "0.0.127.in-addr.arpa" in {
type master;
file "127.0.0.zone";
allow-update { none; };
};
zone "lin.com" in {
type master;
file "lin.com";
allow-update { none; };
};
zone "10.in-addr.arpa" in {
type master;
file "10.zone";
};

Зарание блогадарен з любую помощь.

tutitu
()

Проблема Dhcpd and failover, как быть с сообщениям uid lease is duplicate

Форум — Admin

Просьба помочь может, кто сталкивался или может у кого-то есть какие-то предложения.

Два сервера - система compact 3.0.4, dhcp-server 3.0.5.
Конфиг серверов:

Код
#dhcp1
#Primary

ddns-update-style none;
one-lease-per-client true;
default-lease-time 300;
max-lease-time 300;
authoritative;

failover peer "dhcp" {
primary;
address 10.0.2.3;
port 847;
peer address 10.0.2.2;
peer port 647;
max-response-delay 60;
max-unacked-updates 10;
mclt 600;
split 128;
load balance max seconds 3;
}
include "/etc/dhcp/master1.conf";

#dhcp2
#Secondary

ddns-update-style none;
one-lease-per-client true;
default-lease-time 300;
max-lease-time 300;
authoritative;

failover peer "dhcp" {
secondary;
address 10.0.2.2;
port 647;
peer address 10.0.2.3;
peer port 847;
max-response-delay 60;
max-unacked-updates 10;

load balance max seconds 3;
}
include "/etc/dhcp/master1.conf";

#Master1.conf
subnet 10.0.2.0 netmask 255.255.252.0 { #
pool{

failover peer "dhcp";

range 10.0.2.4 10.0.5.254; #
deny dynamic bootp clients;
}
option routers 10.0.2.1;
option domain-name "name.com"; #
option domain-name-servers 10.0.0.9; #
option subnet-mask 255.255.252.0; #

}

Конфигурация dhcpd & failover работает нормально – со стороны клиента поддерживает выдачу ip addessov нормально в разных ”режимах failover”.
После запуска серверов в dhcpd.leases видно статус обоих серверов normal, подключившыеся клиенты получают ip. После истечение некоторого времени, по логам видно что состояние normal не изменялось и других сообщений о переходе не было. Со стороны клиента делаешь release/renew - клиент обновляется (получает тот же ip c первого сервера и время договора), но в логах(другого сервера по этому клиенту, эго маку, появляется сообщения о дублировании uid lease другой ip):



Код
Aug 14 20:31:07 xxxx dhcpd: uid lease 10.0.2.249 for client xx:xx:xx:xx:xx:xx is duplicate on 10.0.2.0/22


Такое впечатление что сервера не синхронизированы, но сообщений об этом в логах нет и по dhcpd.leases на обоих серверах :при release, от клиента, лиза освобождается, при renew - активируется. А вот лиза на ip-10.0.2.249 в бекапе. Что делать с этим сообщением ?

Заранее спасибо за любую помощь.

>>>

tutitu
()

RSS подписка на новые темы