Bind9 und staendiger Verbindungsaufbau
Hallo Liste!
folgendes Problem:
Ein Rechner mit SuSE Linux 9.0,bind9 (lokaler DNS mit
forwarders) und Internet mit isdn.
Der Rechner baut immer im 10 Minuten Rythmus eine Verbindung
ins Internet auf. Durch "isdnctrl verbose 3" habe ich
herrausgefunden, das der Verbindungsaufbau durch eine DNS
Anfrage an den eingetragenen DNS Server erfolgt.Um den
übeltäter ausfindig zu machen, habe ich in der /etc/named.conf
das Logging aktiviert.
Dieses funktioniert auch, da Anfragen von Clients im localen
Netz im syslog protokolliert werden. Leider werden die DNS
Anfragen vom Linux Rechner selber nicht mit protokolliert.
Also wenn ich z.B. mit nslookup www.google auflöse.
Gibt es hierfür noch eine andere Möglichkeit?
Hier ist meine /etc/named.conf:
-----8<----schnipp-----8<-----
# Copyright (c) 2001-2003 SuSE Linux AG, Nuernberg, Germany.
# All rights reserved.
#
# Author: Frank Bodammer, Lars Mueller
On Friday 26 March 2004 09:52, Carsten Niemeyer wrote:
Hallo Liste!
folgendes Problem: Ein Rechner mit SuSE Linux 9.0,bind9 (lokaler DNS mit forwarders) und Internet mit isdn. Der Rechner baut immer im 10 Minuten Rythmus eine Verbindung ins Internet auf. Durch "isdnctrl verbose 3" habe ich herrausgefunden, das der Verbindungsaufbau durch eine DNS Anfrage an den eingetragenen DNS Server erfolgt.Um den übeltäter ausfindig zu machen, habe ich in der /etc/named.conf das Logging aktiviert. Dieses funktioniert auch, da Anfragen von Clients im localen Netz im syslog protokolliert werden. Leider werden die DNS Anfragen vom Linux Rechner selber nicht mit protokolliert. Also wenn ich z.B. mit nslookup www.google auflöse. Gibt es hierfür noch eine andere Möglichkeit?
Hier ist meine /etc/named.conf:
IMO kein Problem vom bind. Ich glaube nicht, das Dein bind die Anfragen selber auslöst. (Meiner macht so etwas nicht) Bei 10 Minuten Intervallen fallen mir so auf Anhieb fetchmail oder Windows als potentielle Übeltäter ein. Ersteres versucht, als daemon gestartet, in bestimmten Zeitintervallen (bei SuSE IMO 10 Minuten) Mails abzuholen und Windows macht (leider) in bestimmten Zeitintervallen ein Haufen requests ins Netz. Versuch mal durch ein "tcpdump -i ippp0" herauszufinden, wer bei Dir wirklich die Verbindung initiiert. Andreas
Hallo Andreas,
On Friday 26 March 2004 09:52, Carsten Niemeyer wrote:
Hallo Liste!
folgendes Problem: Ein Rechner mit SuSE Linux 9.0,bind9 (lokaler DNS mit forwarders) und Internet mit isdn. Der Rechner baut immer im 10 Minuten Rythmus eine Verbindung ins Internet auf. Durch "isdnctrl verbose 3" habe ich herrausgefunden, das der Verbindungsaufbau durch eine DNS Anfrage an den eingetragenen DNS Server erfolgt.Um den übeltäter ausfindig zu machen, habe ich in der /etc/named.conf das Logging aktiviert. Dieses funktioniert auch, da Anfragen von Clients im localen Netz im syslog protokolliert werden. Leider werden die DNS Anfragen vom Linux Rechner selber nicht mit protokolliert. Also wenn ich z.B. mit nslookup www.google auflöse. Gibt es hierfür noch eine andere Möglichkeit?
Hier ist meine /etc/named.conf:
IMO kein Problem vom bind. Ich glaube nicht, das Dein bind die Anfragen selber auslöst. (Meiner macht so etwas nicht) Er selbst fragt auch nicht nach. Irgendetwas bewegt ihn dazu.Und genau das suche ich.
Bei 10 Minuten Intervallen fallen mir so auf Anhieb fetchmail oder Windows als potentielle Übeltäter ein.
fetchmail oder postfix ansich sind nich konfiguriert und die Prozesse laufen nicht. Windows Clients werden durch die eingeschaltete logging funktion in der /etc/named.conf im syslog protokolliert. Da ist aber nichts zu finden.
Ersteres versucht, als daemon gestartet, in bestimmten Zeitintervallen (bei SuSE IMO 10 Minuten) Mails abzuholen und Windows macht (leider) in bestimmten Zeitintervallen ein Haufen requests ins Netz.
Wenn ich z.B. an einer Konsole nslookup aufrufe und www.google.de auflöse wird ein verbindungsaufbau initiiert, ohne logeintrag. Als weiter Möglichkeit wäre vielleicht samba? Der Rechner dient auch als Dateiserver. Mit freundlichen Grüßen Carsten Niemeyer
On Friday 26 March 2004 11:05, Carsten Niemeyer wrote:
Hallo Andreas, [...] Wenn ich z.B. an einer Konsole nslookup aufrufe und www.google.de auflöse wird ein verbindungsaufbau initiiert, ohne logeintrag. Als weiter Möglichkeit wäre vielleicht samba? Der Rechner dient auch als Dateiserver.
Und? Den tcpdump schon mal gemacht? Das war IMO der wichtigste Tip. (samba und bind_interfaces sagt Dir aber schon was, oder?) Andreas
Hallo,
"Carsten Niemeyer"
Hallo Liste!
folgendes Problem: Ein Rechner mit SuSE Linux 9.0,bind9 (lokaler DNS mit forwarders) und Internet mit isdn. Der Rechner baut immer im 10 Minuten Rythmus eine Verbindung ins Internet auf. Durch "isdnctrl verbose 3" habe ich herrausgefunden, das der Verbindungsaufbau durch eine DNS Anfrage an den eingetragenen DNS Server erfolgt.Um den übeltäter ausfindig zu machen, habe ich in der /etc/named.conf das Logging aktiviert. Dieses funktioniert auch, da Anfragen von Clients im localen Netz im syslog protokolliert werden. Leider werden die DNS Anfragen vom Linux Rechner selber nicht mit protokolliert. Also wenn ich z.B. mit nslookup www.google auflöse. Gibt es hierfür noch eine andere Möglichkeit?
#forwarders { 212.62.68.34; 212.62.68.35; xxx.xxx.xxx.xxx; }; #Teleos DNS # Hier den DNS Server ändern! # Wichtig! Nur den zweiten Eintrag verändern! forwarders { 194.25.2.129; 145.253.2.196; };
# Enable the next entry to prefer usage of the name server declared in # the forwarders section.
forward only; [...] cleaning-interval 120; sortlist { { localhost; localnets; }; { localnets; }; };
Du hast erstens den Bind so konfiguriert, daß zuerst die Forwarder befragt werden, das führt schon zu häufiger Einwahl, zweitens hast du das purge Intervall auf 12 Minuten gesetzt, dadurch wird alle 12 Minuten der Cache bereinigt und aktualisiert und der Forwarder befragt. Ändere deine Konfiguration dahingehend, daß sie deiner dial-up Umgebung gerecht wird. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
On Fri, 26 Mar 2004, Dieter Kluenter wrote:
[...] Du hast erstens den Bind so konfiguriert, daß zuerst die Forwarder befragt werden, das führt schon zu häufiger Einwahl, [...]
Die Forwarder lösen dem lokalen Bind unbekannte Adressen auf. Die Rauswahl hat folgerichtig nichts mit dieser Einstellung zu tun, solange die Adressen lokal bekannt sind. Wenn sie _nicht_ bekannt sind, muss eh rausgewählt werden... "forward only" meint, dass nur die Forwarder gefragt werden und nicht auch die Root-Server, wenn die Forwarder keine Antwort wissen.
[...] zweitens hast du das purge Intervall auf 12 Minuten gesetzt, dadurch wird alle 12 Minuten der Cache bereinigt und aktualisiert und der Forwarder befragt.
--- /usr/share/doc/packages/bind9/arm/Bv9ARM.html cleaning-interval The server will remove expired resource records from the cache every cleaning-interval minutes. The default is 60 minutes. If set to 0, no periodic cleaning will occur. --- Da steht nichts von "Aktualisierung"...
Ändere deine Konfiguration dahingehend, daß sie deiner dial-up Umgebung gerecht wird.
Die Option "dialup" wäre sinnvoll, würde das Problem aber nicht lösen. ... Dieter, ich glaube diese Deine Ratschläge gingen in Gänze am Problem vorbei. MfG Henning Hucke -- Ich koche lieber selber, als bei MC Donalds zu essen, aber wem das Kaffeewasser anbrennt, der geht doch lieber zu diese große amerikanische Kette. Selberkochen ist nur dann zu empfehlen, wenn es Spaß macht. Mit Linux ist es genauso. -- Bernd Brodesser auf suse-linux@suse.de
Henning Hucke
On Fri, 26 Mar 2004, Dieter Kluenter wrote:
[...] Du hast erstens den Bind so konfiguriert, daß zuerst die Forwarder befragt werden, das führt schon zu häufiger Einwahl, [...]
Die Forwarder lösen dem lokalen Bind unbekannte Adressen auf. Die Rauswahl hat folgerichtig nichts mit dieser Einstellung zu tun, solange die Adressen lokal bekannt sind. Wenn sie _nicht_ bekannt sind, muss eh rausgewählt werden...
Auch wenn fremde Adressen im Cache sind deren TTL noch nicht abgelaufen ist, wird der Forwarder befragt.
"forward only" meint, dass nur die Forwarder gefragt werden und nicht auch die Root-Server, wenn die Forwarder keine Antwort wissen.
[...] zweitens hast du das purge Intervall auf 12 Minuten gesetzt, dadurch wird alle 12 Minuten der Cache bereinigt und aktualisiert und der Forwarder befragt.
--- /usr/share/doc/packages/bind9/arm/Bv9ARM.html cleaning-interval
The server will remove expired resource records from the cache every cleaning-interval minutes. The default is 60 minutes. If set to 0, no periodic cleaning will occur. ---
Da steht nichts von "Aktualisierung"...
Die Aktualisierung ergibt sich zwangsläufig. Es sei denn, 'dialup' wird gesetzt, dann wird nur alle 3 Stunden aktualisiert.
Ändere deine Konfiguration dahingehend, daß sie deiner dial-up Umgebung gerecht wird.
Die Option "dialup" wäre sinnvoll, würde das Problem aber nicht lösen.
... Dieter, ich glaube diese Deine Ratschläge gingen in Gänze am Problem vorbei. Glaube ich nicht, denn gerade auf diese Einstellungen geht Cricket Liu in seinem 'DNS & Bind Cookbook' ein.
-Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
participants (4)
-
Andreas Kyek
-
Carsten Niemeyer
-
Dieter Kluenter
-
Henning Hucke