nixp.ru v3.0

26 мая 2017,
пятница,
12:31:07 MSK

DevOps с компанией «Флант»
dima4p написал 6 ноября 2005 года в 08:26 (345 просмотров) Ведет себя как мужчина; открыл 1 тему в форуме, оставил 2 комментария на сайте.

У меня прямой IP, но физически в этой же сетке живет 10.0.0.0/8.

При этом на каждый приходящий arp запрос вида

arp who-has 10.35.237.48 tell 10.35.59.207

мой компьютер почему-то отправляет запрос на nameserver вида

48996+ PTR? 48.237.35.10.in-addr.arpa. (43)

на что получает естественный ответ

48996 NXDomain* 0/1/0 (120)

Вопрос такой, чем это вызвано и как это прекратить?

Все пакеты оттуда блокированы в iptables:

540 180K DROP all — any any 10.0.0.0/8 anywhere

# netstat -tupan

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 0.0.0.0:37 0.0.0.0:* LISTEN 4433/inetd

tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN 5188/X

tcp 0 0 0.0.0.0:113 0.0.0.0:* LISTEN 4433/inetd

tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN 9877/cupsd

tcp 0 0 :::6000 :::* LISTEN 5188/X

tcp 0 0 :::22 :::* LISTEN 4436/sshd

udp 0 0 0.0.0.0:512 0.0.0.0:* 4433/inetd

udp 0 0 0.0.0.0:37 0.0.0.0:* 4433/inetd

udp 0 0 0.0.0.0:631 0.0.0.0:* 9877/cupsd

udp 0 0 192.168.81.1:123 0.0.0.0:* 9906/ntpd

udp 0 0 82.138.13.99:123 0.0.0.0:* 9906/ntpd

udp 0 0 192.168.87.1:123 0.0.0.0:* 9906/ntpd

udp 0 0 127.0.0.1:123 0.0.0.0:* 9906/ntpd

udp 0 0 0.0.0.0:123 0.0.0.0:* 9906/ntpd

udp 0 0 :::123 :::* 9906/ntpd

# fuser -vn udp

here:

# fuser -vn tcp

here:

N.B. беру из tcpdump, так как он со временем меняется.

Genie
48996+ PTR? 48.237.35.10.in-addr.arpa. (43)

это попытка программы определить FQDN для заданного IP-адреса.

попросту — получить буквенный адрес по числовому.

правильный способ — настроить DNS-сервер для подобного резолва.

это — в документацию к bind9 (named).

впрочем, требуется почитать ещё и о DNS-системе как таковой, что бы знать, что и как и для чего настраивается…

dima4p
Genie
это попытка программы определить FQDN для заданного IP-адреса.

попросту — получить буквенный адрес по числовому.

Спасибо за быстрый ответ.

Весь вопрос как раз в том, что это за программа такая невидимая.

правильный способ — настроить DNS-сервер для подобного резолва.

это — в документацию к bind9 (named).

впрочем, требуется почитать ещё и о DNS-системе как таковой, что бы знать, что и как и для чего настраивается…

На самом деле, мне пока не хочется поднимать named, хотя это и стоит в планах. Воспрос в том, можно ли пока обойтись без этого и ликвидировать эти запросы?

Мне бы не хотелось, чтобы они отпралялись и на мой сервер. Зачем попусту ресурсы тратить?

Genie
Спасибо за быстрый ответ.

дааа. как попадается на глаза, так и отвечается :)

Весь вопрос как раз в том, что это за программа такая невидимая.

вопрос поставлен некорректно. правильно будет «Какая из запущенных программ (список прилагается) может инициировать запросы указанного вида?»

На самом деле, мне пока не хочется поднимать named, хотя это и стоит в планах. Воспрос в том, можно ли пока обойтись без этого и ликвидировать эти запросы?

и да, и нет. в зависимости от того, что за процесс их инициирует. может, кстати, и сам tcpdump инициировать.

Мне бы не хотелось, чтобы они отпралялись и на мой сервер. Зачем попусту ресурсы тратить?

что тут значит «отправлялись на мой сервер?»

dima4p
Genie
может, кстати, и сам tcpdump инициировать.

Ё-мазай, это он и был. Спасибо большое.

что тут значит «отправлялись на мой сервер?»

В смысле запрашивал каждый раз не удаленный, а мой named. :-)

Genie

ну так настрой себе правильно named (bind9), укажи (пропиши) его в /etc/resolv.conf