bind9 "erreur d'envoi de réponse: hôte inaccessible"

J'ai un certain nombre de servers DNS, tous fonctionnant bind9 (9.5.1, pour être spécifique) sous fedora. 4 d'entre eux sont des esclaves, alimentés par un maître commun pour notre DNS public. Ceux-ci sont tous situés sur les passerelles publiques de nos différents bureaux. L'un d'entre eux a des tonnes de messages dans ses files journaux similaires à ceux-ci:

Jul 21 17:26:18 gateway named[3487]: client 10.171.3.8#52500: view internal: error sending response: host unreachable 

Je me request d'où cela vient. Le pare-feu est ouvert sur le port 53 entre les deux machines (10.171.3.8 est un server DNS interne situé sur un controller de domaine Windows). Les domaines internes NE répertorient PAS la passerelle en tant que server de noms (donc il ne devrait pas y avoir de tentatives de réplication des domaines) et la passerelle ne gère aucun DNS interne. Les clients de ces messages varient entre les deux controllers de domaine sur le réseau interne et un troisième server de noms interne (exécutant bind9 sur debian dans un autre segment du réseau). Tous les pointeurs sont les bienvenus.

En réponse à la première réponse:

Le problème avec cela est vraiment que tcpdump ne présente aucun problème. Voici un extrait de "tcpdump -i n'importe quel port 53"

 09:13:38.283308 IP valine.aminocom.com.61815 > ns-pri.ripe.net.domain: 14075 PTR? 166.225.58.95.in-addr.arpa. (44) 09:13:42.007410 IP gateway-eng.aminocom.com.37047 > alanine.aminocom.com.domain: 35410+ PTR? 12.3.172.10.in-addr.arpa. (42) 

Dans le même time, le journal DNS affiche:

 Jul 22 09:13:38 gateway named[3487]: client 10.171.3.6#61300: view internal: error sending response: host unreachable Jul 22 09:13:40 gateway named[3487]: client 10.172.3.12#56230: view internal: error sending response: host unreachable Jul 22 09:13:40 gateway named[3487]: client 10.171.3.8#55221: view internal: error sending response: host unreachable Jul 22 09:13:49 gateway named[3487]: client 10.171.3.8#51342: view internal: error sending response: host unreachable 

Alors clairement à 09:13:40 il y avait deux tentatives infructueuses de se connecter à des machines internes (10.172.3.12 et 10.171.3.8, les deux sont des servers DNS), mais rien dans la sortie tcpdump.

3 Solutions collect form web for “bind9 "erreur d'envoi de réponse: hôte inaccessible"”

Je suppose que cela est causé par quelque chose en cours d'envoi d'un hôte ICMP inaccessible lorsque BIND essaie d'envoyer sa réponse à cette adresse IP. Si j'étais vous, je ferais un tcpdump pour voir si vous pouvez attraper qui l'envoie. Peut-être que le pare-feu n'est pas configuré pour permettre à UDP de revenir du pare-feu (le client n'utilise probablement pas le port 53).

La première supposition serait un problème de routing sur le server DNS. Que se passe-t-il lorsque vous essayez de faire un ping sur le server du server?

C.

Vous pouvez utiliser PHREL pour fournir une limitation de débit par hôte pour traiter le trafic entrant. Après avoir installé le package, configurez-le pour bloquer les hôtes qui envoient plus de 15 pps au port 53, de la manière suivante:

 phreld -p 53 -T 15:0 
  • Un site Web, deux IP publiques, chaque IP sur une ligne distincte, comment faire un basculement
  • Java ne peut pas résoudre l'adresse DNS de AIX: UnknownHostException
  • Fichier One Zone pour deux domaines
  • Pourquoi puis-je avoir "ignorer datatables hors zone" lors du redémarrage de BIND
  • Comment utiliser le DNS virtuel pour searchr des machines virtuelles?
  • La list NS ne correspond pas à la list de la zone parentale
  • Liste des domaines sur le server DNS?
  • Le server Windows ignore la résolution DNS sur l'interface privée
  • Est-ce une vulnérabilité ou une exploitation DNS?
  • Comment combiner la sortie de plusieurs journaux par journalctl?
  • renvoyer tous les sous-domaines à un ip dans bind
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.