https://www.opennet.ru/openforum/vsluhforumID1/89610.html Как известно в iptables (у меня на данный момент 1.4.4) в критериях --source и --destination кроме ip-адресов можно использовать имена.<br>При выполнении правил iptables они разрешаются в ip-шники (что кстати, удобно если за одним дпс-именем стоят несколько ip-адресов)<br>Я использую в своих правилах несколько имен хостов из локальной сети и заметил, что при определенных условиях при выполнении скрипта iptables имена эти не разрешаются.<br>Причем если сразу попробовать их разрешить через dig или nslookup, то резольвинг проходить успешно.<br>Есть еще один нюанс... на данной машине установлен кеширующий bind9 и в его конфиге указано что зона для локальной сети находиться на другом сервере (win dc)<br>named.conf:<br>zone "firma.local" {<br> type forward;<br> forwarders { 192.168.1.1; 192.168.1.2; };<br> };<br>а в /etc/resolf.conf первой строчкой идет "nameserver 127.0.0.1"<br>то есть при вопросе iptables у 127.0.0.1: кто такой workstation.firma.local?<br>всегда должны возвращаться данные от 192.168.1.1; 192.168.1.2;, ну или из кеша https://www.opennet.ru/openforum/vsluhforumID1/89610.html#11 Tue, 17 Aug 2010 10:40:32 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;вот я сам не понимаю почему bad udp cksum <br>&gt;обратите внимание, что при удачном запросе тоже самое <br>&gt;<br>&gt;что касается forwarders vs. slave <br>&gt;попробовать можно, но согласитесь в данных условиях forwarders более прозрачно <br>&gt;(источник и предполагаемый slave находятся в одной сети и т.д., плюс к <br>&gt;этому если ляжет виндовый днс, то у меня будут заботы кроме <br>&gt;пары станций внутри сети, которые не смогут обратиться к внешнему почтовому <br>&gt;серверу, все самое важное все равно по ip) <br><br>При форвардинге запроса тоже пауза возникает, из-за этого может таймаут отрабатывать...<br>Если у вас правила часто перегружаются, если правила с именами критичны, то ИМХО нужно делат slave.<br> https://www.opennet.ru/openforum/vsluhforumID1/89610.html#10 Tue, 17 Aug 2010 10:37:36 GMT &gt;Я бы даже не стал экспериментов проводить. Даже боюсь представить что будет <br>&gt;под нагрузкой. Не делайте так. <br>&gt;Если уж очень хочется, создавайте под каждый сайт цепочки, в которых скрипт <br>&gt;раз в час будет резолвить адреса этого домена и заполнять цепочку. <br>&gt;Собственно у нас так и реализовано, закрытие сайтов террористической направленности. <br><br>Непойму чего вы боитесь? - имя в адрес разрешается всего только раз - при загрузке.<br>Понятное дело что частые перезагрузы такие правила будут плохо переносить, но бывает возникает необходимость в таком, например дать доступ на хост который получает адрес по dhcp<br> https://www.opennet.ru/openforum/vsluhforumID1/89610.html#9 Tue, 17 Aug 2010 09:00:39 GMT &gt;&gt;вот я сам не понимаю почему bad udp cksum <br>&gt;&gt;обратите внимание, что при удачном запросе тоже самое <br>&gt;<br>&gt;а вы уверену что через lo нужен checksum ? <br><br>без понятия...<br> https://www.opennet.ru/openforum/vsluhforumID1/89610.html#8 Tue, 17 Aug 2010 08:53:04 GMT &gt;вот я сам не понимаю почему bad udp cksum <br>&gt;обратите внимание, что при удачном запросе тоже самое <br><br>а вы уверену что через lo нужен checksum ?<br> https://www.opennet.ru/openforum/vsluhforumID1/89610.html#7 Mon, 16 Aug 2010 20:15:24 GMT &gt;а если зону сделать не forwarders, а slave? <br>&gt;и почему bad udp cksum <br><br>вот я сам не понимаю почему bad udp cksum<br>обратите внимание, что при удачном запросе тоже самое<br><br>что касается forwarders vs. slave<br>попробовать можно, но согласитесь в данных условиях forwarders более прозрачно<br>(источник и предполагаемый slave находятся в одной сети и т.д., плюс к этому если ляжет виндовый днс, то у меня будут заботы кроме пары станций внутри сети, которые не смогут обратиться к внешнему почтовому серверу, все самое важное все равно по ip)<br> https://www.opennet.ru/openforum/vsluhforumID1/89610.html#6 Mon, 16 Aug 2010 16:19:50 GMT а если зону сделать не forwarders, а slave?<br>и почему bad udp cksum<br> https://www.opennet.ru/openforum/vsluhforumID1/89610.html#5 Mon, 16 Aug 2010 14:20:50 GMT &gt;Я бы даже не стал экспериментов проводить. Даже боюсь представить что будет <br>&gt;под нагрузкой. Не делайте так. <br>&gt;Если уж очень хочется, создавайте под каждый сайт цепочки, в которых скрипт <br>&gt;раз в час будет резолвить адреса этого домена и заполнять цепочку. <br>&gt;Собственно у нас так и реализовано, закрытие сайтов террористической направленности. <br><br>по причинам блуждающих пользователей я и так скрипт этот дергаю часто<br>если по какой-то причине имя не разрешилось правило просто не определяется<br>(синтаксическая ошибка)<br>сами по себе имена не проблема, при назначении правил они резольвятся, а далее все уже отрабатывает по адресам (сами действия над пакетами)<br><br>как вариант можно сначало через dig резольвить в переменную, потом проверять не пустая ли она и только потом определять правило<br>но тогда появляется проблема с именами за которыми больше одного адреса<br><br>плюс к этому хочеться разобраться почему это работает именно так<br>в тех же правилах с резольвингом внешних ресурсов проблем нет<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/89610.html#4 Mon, 16 Aug 2010 14:13:09 GMT Я бы даже не стал экспериментов проводить. Даже боюсь представить что будет под нагрузкой. Не делайте так.<br>Если уж очень хочется, создавайте под каждый сайт цепочки, в которых скрипт раз в час будет резолвить адреса этого домена и заполнять цепочку. Собственно у нас так и реализовано, закрытие сайтов террористической направленности.<br> https://www.opennet.ru/openforum/vsluhforumID1/89610.html#3 Mon, 16 Aug 2010 11:51:09 GMT &gt;&gt;1) использовать имена в фаерволах - дурной тон и потенциальные грабли <br>&gt;&gt;2) при перестроении фаревола скорей всего закрывается доступ с днс на форвардеров <br>&gt;&gt;<br>&gt;<br>&gt;непохоже... группа правил в которых фигурируют имена выполняется после правил INPUT/OUTPUT, <br>&gt;плюс к этому раз на раз не приходиться <br>&gt;если предварительно сделать для всех "неудачных" умен nslookup, то правила проходят нормально <br>&gt;<br><br>по всей видимости это вопрос скорее к bind-у<br>вот что показывает tcpdump<br>root@host:~# tcpdump -vv -nn -i any port 53<br>tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 96 bytes<br>15:47:26.457997 IP (tos 0x0, ttl 64, id 50382, offset 0, flags [DF], proto UDP (17), length 65)<br> 127.0.0.1.60821 &gt; 127.0.0.1.53: [bad udp cksum 8a50!] 6189+ A? WRK.FIRMA.LOCAL (37)<br>15:47:26.459642 IP (tos 0x0, ttl 64, id 6871, offset 0, flags [none], proto UDP (17), length 65)<br> 127.0.0.1.53 &gt; 127.0.0.1.60821: [bad udp cksum 7d0!] 6189 ServFail q: A? WRK.FIRMA.LOCAL 0/0/0 (37)<br>15:47:26.459730 IP (tos 0