zhenya` Опубликовано 6 апреля, 2016 · Жалоба а если поставить val-clean-additional: yes val-permissive-mode: yes val-log-level: 1 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex_P89 Опубликовано 6 апреля, 2016 · Жалоба val-clean-additional: yes val-permissive-mode: yes никаких изменений Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 6 апреля, 2016 · Жалоба Как вариант - блокируется доступ на днс сервер, обслуживающий это доменное имя/алиас. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex_P89 Опубликовано 6 апреля, 2016 · Жалоба Методом тыка нашёл проблему. Не работало из-за опции use-caps-for-id: yes Описание этой опции есть в документации: http://unbound.net/documentation/unbound.conf.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
foxroot Опубликовано 6 апреля, 2016 · Жалоба Добрый день, всем снова! ночью все поработало, на утро когда абонентов стало больше все снова тупит. а именно от клиентов если выполнять команду nslookup иногда резолв приходит более 2 сек или вообще не приходит,повторно проверяешь придет, страницы открываются долго. КУда копать подскажите. Уже убрал весь iptables с сервера Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Telesis Опубликовано 6 апреля, 2016 · Жалоба Методом тыка нашёл проблему. Не работало из-за опции use-caps-for-id: yes Описание этой опции есть в документации: http://unbound.net/documentation/unbound.conf.html В версии 1.4.22, действительно не работает с этой опцией. А вот в версии 1.5.4 работает с этой опцией. В новых версиях можно делать caps-whitelist: Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 6 апреля, 2016 · Жалоба Есть проблема с unbound. Без форвардинга на ДНС гугла и яндекса, при работе только на roothits, не работают некоторые доменные имена. Например www.360totalsecurity.com У меня работают. ночью все поработало, на утро когда абонентов стало больше все снова тупит. Буфера сокетов через сисцтл увеличивал или на дефолтах пытаешься работать? В версии 1.4.22, действительно не работает с этой опцией. А вот в версии 1.5.4 работает с этой опцией. В новых версиях можно делать caps-whitelist: 1. Опция нах не нужна, лучше и не включать 2. Чего то и вас он старый, 1.5.8 в портах фри доступен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
foxroot Опубликовано 6 апреля, 2016 · Жалоба Удалось обнаружить вот что unbound-control dump_requestlist thread #0 # type cl name seconds module status 0 A IN c.statcounter.com. 11.646771 iterator wait for 173.245.59.145 1 A IN x.mochiads.com. 24.749909 iterator wait for 38.102.129.45 2 A IN ad.a-ads.com. 15.203339 iterator wait for 173.245.59.61 3 A IN ns2.storevpsdns.me. - iterator wait for 198.50.227.253 4 A IN ns9.storevpsdns.me. - iterator wait for 198.50.227.248 5 A IN www.yahoo.com. - iterator wait for 121.101.144.139 6 A IN www.statcounter.com. 4.492462 iterator wait for 173.245.58.135 7 A IN abot.www.ps780.com. 12.044313 iterator wait for 173.245.58.109 8 A IN ahed.www.369bs.com. 15.400845 iterator wait for 173.245.58.119 9 A IN arwz.www.ps780.com. 5.310634 iterator wait for 173.245.58.109 10 A IN clcp.www.ps780.com. 6.766279 iterator wait for 173.245.58.109 11 A IN ehcd.www.369bs.com. 3.647674 iterator wait for 173.245.58.119 12 A IN elup.www.ps780.com. 13.361080 iterator wait for 173.245.58.109 13 A IN grsl.www.ps780.com. 15.120960 iterator wait for 173.245.58.109 14 A IN gvgx.www.ps780.com. 14.577199 iterator wait for 173.245.58.109 15 A IN kbyr.www.ps780.com. 12.211061 iterator wait for 173.245.58.109 16 A IN kfwh.www.369bs.com. 11.741045 iterator wait for 173.245.58.119 17 A IN kzyr.www.369bs.com. 13.941050 iterator wait for 173.245.58.119 18 A IN mpcf.www.ps780.com. 13.039508 iterator wait for 173.245.58.109 19 A IN ns10.storevpsdns.me. - iterator wait for 142.54.168.130 20 A IN ns11.storevpsdns.me. - iterator wait for 198.50.227.250 21 A IN ns12.storevpsdns.me. - iterator wait for 142.54.168.131 22 A IN otir.www.369bs.com. 1.204562 iterator wait for 173.245.58.119 23 A IN oven.www.ps780.com. 6.900964 iterator wait for 173.245.58.109 24 A IN ovyf.www.ps780.com. 4.906603 iterator wait for 173.245.58.109 25 A IN play.animevost.org. 5.591381 iterator wait for 173.245.58.149 26 A IN qdwf.www.369bs.com. 4.926788 iterator wait for 173.245.58.119 27 A IN srv1.playitok.com. 12.234111 iterator wait for 173.245.58.125 28 A IN uhan.www.ps780.com. 4.237602 iterator wait for 173.245.58.109 29 A IN wrcf.www.369bs.com. 12.000124 iterator wait for 173.245.58.119 30 A IN axwxwp.www.369bs.com. 2.792097 iterator wait for 173.245.58.119 31 A IN coinad.com. 129.996140 iterator wait for 173.245.59.153 Это что атак или спам? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 6 апреля, 2016 · Жалоба Аксес контролом то описал кому можно резолвить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 6 апреля, 2016 · Жалоба open recursive dns же, dns ddos amplification или типа того... а может червячок у кого из юзеров живет... я rate limit делаю на свои днс сервера iptables-ом. у нормального пользователя навряд больше полусотни запросов за 5 секунд будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
foxroot Опубликовано 6 апреля, 2016 · Жалоба Да про такую проблему я уже почила, рекомендуют ограничить 53/udp в сторону клиентов. на DNS пробовал делать такую штуку #[0:0] -A INPUT -p udp --dport 53 -m state --state NEW -m string --algo kmp --hex-string "|00 0F 00 01|" -m recent --set --name MXFLOOD --rsource #[0:0] -A INPUT -p udp --dport 53 -m state --state NEW -m string --algo kmp --hex-string "|00 0F 00 01|" -m recent --update --seconds 60 --hitcount 5 --rttl --name MXFLOOD -j DROP #[0:0] -A INPUT -p udp --dport 53 -m string --algo kmp --hex-string "|00 0F 00 01|" -j ACCEPT #[0:0] -A INPUT -p udp --dport 53 -m state --state NEW -m string --algo kmp --hex-string "|00 1C 00 01|" -m recent --set --name AAAAFLOOD --rsource #[0:0] -A INPUT -p udp --dport 53 -m state --state NEW -m string --algo kmp --hex-string "|00 1C 00 01|" -m recent --update --seconds 10 --hitcount 2 --rttl --name AAAAFLOOD -j DROP #[0:0] -A INPUT -p udp --dport 53 -m string --algo kmp --hex-string "|00 1C 00 01|" -j ACCEPT #[0:0] -A INPUT -p udp --dport 53 -m state --state NEW -m string --algo kmp --hex-string "|00 02 00 01|" -m recent --set --name NSFLOOD --rsource #[0:0] -A INPUT -p udp --dport 53 -m state --state NEW -m string --algo kmp --hex-string "|00 02 00 01|" -m recent --update --seconds 60 --hitcount 10 --rttl --name NSFLOOD -j DROP #[0:0] -A INPUT -p udp --dport 53 -m string --algo kmp --hex-string "|00 02 00 01|" -j ACCEPT #[0:0] -A INPUT -p udp --dport 53 -m state --state NEW -m string --algo kmp --hex-string "|00 06 00 01|" -m recent --set --name SOAFLOOD --rsource #[0:0] -A INPUT -p udp --dport 53 -m state --state NEW -m string --algo kmp --hex-string "|00 06 00 01|" -m recent --update --seconds 60 --hitcount 5 --rttl --name SOAFLOOD -j DROP #[0:0] -A INPUT -p udp --dport 53 -m string --algo kmp --hex-string "|00 06 00 01|" -j ACCEPT #[0:0] -A INPUT -p udp --dport 53 -m state --state NEW -m string --algo kmp --hex-string "|00 21 00 01|" -m recent --set --name SRVFLOOD --rsource #[0:0] -A INPUT -p udp --dport 53 -m state --state NEW -m string --algo kmp --hex-string "|00 21 00 01|" -m recent --update --seconds 60 --hitcount 5 --rttl --name SRVFLOOD -j DROP #[0:0] -A INPUT -p udp --dport 53 -m string --algo kmp --hex-string "|00 21 00 01|" -j ACCEPT ограничивать количество пакетов в единицу времени, очень много драпов получается и притом тормозит сама служба DNS может конечно перегнул со счетчиками. это и есть rate limit? или же rate limit что то другое? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 6 апреля, 2016 · Жалоба лучше на мир ограничить для начала... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
foxroot Опубликовано 8 апреля, 2016 · Жалоба нашел на одном сайте защитные правила на DNS сервера https://github.com/smurfmonitor/dns-iptables-rules/blob/master/domain-blacklist.txt кто нибудь пользовался?? чего делают они? iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28=0x07737563 && 0x2c=0x6b646467 && 0x30=0x02636300" -j DROP -m comment --comment "DROP DNS Q suckddq.cc" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28=0x076e6170 && 0x2c=0x6966756e && 0x30=0x03636f6d" -j DROP -m comment --comment "DROP DNS Q napifun.com" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28=0x0768616b && 0x2c=0x34756d7a && 0x30=0x036e6574" -j DROP -m comment --comment "DROP DNS Q hak4umz.net" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28=0x06616e6f && 0x2c=0x6e736303 && 0x30=0x636f6d00" -j DROP -m comment --comment "DROP DNS Q anonsc.com" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28=0x03317831 && 0x2c=0x02637a00 && 0x30=0x00ff0001" -j DROP -m comment --comment "DROP DNS Q ANY 1x1.cz" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28=0x05626668 && 0x2c=0x6d6d0363 && 0x30=0x6f6d0000 && 0x34=0x10000100" -j DROP -m comment --comment "DROP DNS Q TXT bfhmm.com" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x1c=0x1d420100 && 0x28=0x03697363 && 0x2c=0x036f7267 && 0x30=0x0000ff00" -j DROP -m comment --comment "DROP DNS Q ANY isc.org dns.id 0x1d42" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x1c=0x2a390100 && 0x28=0x03697363 && 0x2c=0x036f7267 && 0x30=0x0000ff00" -j DROP -m comment --comment "DROP DNS Q ANY isc.org dns.id 0x2a39" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28=0x03697363 && 0x2c=0x036f7267 && 0x30=0x0000ff00" -j DROP -m comment --comment "DROP DNS Q ANY isc.org dns.id" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x07454445 && 0x2c&0xDFDFDFDF=0x4c494f4e && 0x30&0xFFDFDFFF=0x02535500" -j DROP -m comment --comment "DROP DNS Q edelion.su" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFFFDFDF=0x0432534f && 0x2c&0xDFFFDFDF=0x45025255" -j DROP -m comment --comment "DROP DNS Q 2soe.ru" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x04524950 && 0x2c&0xDFFFDFDF=0x45034e45 && 0x30&0xDFFFFFFF=0x540000FF" -j DROP -m comment --comment "DROP DNS Q ANY ripe.net" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x0948495a && 0x2c&0xDFDFDFDF=0x42554c4c && 0x30&0xDFDFFFDF=0x4148024d && 0x34&0xDFFFFFFF=0x450000FF" -j DROP -m comment --comment "DROP DNS Q ANY hizbullah.me" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x11455647 && 0x2c&0xDFDFDFDF=0x454e4959 && 0x30&0xFFDFDFDF=0x2d4d4152 && 0x34&0xDFDFDFDF=0x4348454e && 0x38&0xDFDFFFDF=0x4b4f0243 && 0x3c&0xDFFFFFFF=0x43000001" -j DROP -m comment --comment "DROP DNS Q A evgeniy-marchenko.cc" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x05535256 && 0x2c&0xDFDFFFDF=0x4954034f && 0x30&0xDFDFFFFF=0x52470000" -j DROP -m comment --comment "DROP DNS Q srvit.org" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x0b504143 && 0x2c&0xDFDFDFDF=0x4b455444 && 0x30&0xDFDFDFDF=0x4556494c && 0x34&0xFFDFDFDF=0x03434f4d && 0x38&0xFFFFFFFF=0x0000ff00" -j DROP -m comment --comment "DROP DNS Q ANY packetdevil.com" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xffdfdfdf=0x046a756e && 0x30&0xdfdfdfdf=0x65797761 && 0x36&0xffdfdfff=0x02696e00" -j DROP -m comment --comment "DROP DNS Q -DOS- junk.theywant.in" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xffdfdfdf=0x03545854 && 0x2c&0xffdfdfdf=0x08505753 && 0x30&0xdfdfdfdf=0x45525645 && 0x34&0xdfffdfdf=0x5203434f && 0x38&0xdfffdfff=0x02554100 && 0x3c&0xffffff=0x001000" -j DROP -m comment --comment "DROP DNS Q TXT txt.pwserver.com.ua" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x04494554 && 0x2c&0xDFFFDFDF=0x46034f52 && 0x30&0xDFFFFFFF=0x470000FF" -j DROP -m comment --comment "DROP DNS Q ANY ietf.org" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x03514841 && 0x2c&0xFFDFDFFF=0x02434300" -j DROP -m comment --comment "DROP DNS Q qha.cc" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFFF=0x064c4132 && 0x2c&0xDFDFDFFF=0x4c4f5702 && 0x30&0xDFDFFFFF=0x43430000" -j DROP -m comment --comment "DROP DNS Q la2low.cc" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x055a5a47 && 0x2c&0xDFDFFFDF=0x53540343 && 0x30&0xDFDFFFFF=0x4f4d0000" -j DROP -m comment --comment "DROP DNS Q zzgst.com" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFFFDF=0x01410b50 && 0x2c&0xDFDFDFDF=0x41434b45 && 0x30&0xDFDFDFDF=0x54444556 && 0x34&0xDFDFFFDF=0x494c0343 && 0x38&0xDFDFFFFF=0x4f4d0000" -j DROP -m comment --comment "DROP DNS Q a.packetdevil.com" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x0758504c && 0x2c&0xDFDFDFDF=0x4f44494e && 0x30&0xFFDFDFDF=0x03434f4d" -j DROP -m comment --comment "DROP DNS Q xplodin.com" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFFF=0x02414106 && 0x2c&0xDFDFDFFF=0x41534433 && 0x30&0xDFDFFFDF=0x53430343 && 0x34&0xDFDFFFFF=0x4f4d0000" -j DROP -m comment --comment "DROP DNS Q aa.asd3sc.com" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x09424954 && 0x2c&0xDFDFDFDF=0x53545245 && 0x30&0xDFDFDFDF=0x53530343 && 0x34&0xDFDFFFFF=0x4f4d0000" -j DROP -m comment --comment "DROP DNS Q bitstress.com" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFFF=0x02414106 && 0x2c&0xDFDFDFDF=0x4d4d5441 && 0x30&0xDFFFFFDF=0x43310343 && 0x34&0xDFDFFFFF=0x4f4d0000" -j DROP -m comment --comment "DROP DNS Q aa.mmtac1.com" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x0c4b4944 && 0x2c&0xDFDFFFFF=0x44593332 && 0x30&0xFFFFFFFF=0x33333635 && 0x34&0xFFFFDFDF=0x35025255" -j DROP -m comment --comment "DROP DNS Q kiddy3233655.ru" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFFFFF=0x05443639 && 0x2c&0xFFFFFFDF=0x39310343 && 0x30&0xDFDFFFFF=0x4f4d0000" -j DROP -m comment --comment "DROP DNS Q d6991.com" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFFF=0x06414133 && 0x2c&0xFFFFFFFF=0x32343703 && 0x30&0xDFDFDFFF=0x434f4d00" -j DROP -m comment --comment "DROP DNS Q aa3247.com" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x08464b46 && 0x2c&0xDFDFDFDF=0x4b464b46 && 0x30&0xDFFFDFDF=0x4103434f" -j DROP -m comment --comment "DROP DNS Q fkfkfkfa.com" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x0a475241 && 0x2c&0xDFDFDFDF=0x50505942 && 0x30&0xDFDFDFFF=0x4c4f4703 && 0x34&0xDFDFDFFF=0x434f4d00" -j DROP -m comment --comment "DROP DNS Q grappyblog.com" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x05434d49 && 0x2c&0xDFDFFFDF=0x55490343 && 0x30&0xDFDFFFFF=0x4f4d0000" -j DROP -m comment --comment "DROP DNS Q cmiui.com" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFFFDFDF=0x05344657 && 0x2c&0xDFDFFFDF=0x484b0343 && 0x30&0xDFDFFFFF=0x4f4d0000" -j DROP -m comment --comment "DROP DNS Q 4fwhk.com" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x0653414e && 0x2c&0xDFDFDFFF=0x44494103 && 0x30&0xDFDFDFFF=0x474f5600 && 0x34&0xFFFFFFFF=0x00ff0001" -j DROP -m comment --comment "DROP DNS Q ANY sandia.gov" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x0a5a4149 && 0x2c&0xDFDFDFDF=0x4b415041 && 0x30&0xDFDFDFFF=0x494b4103 && 0x34&0xDFDFDFFF=0x434f4d00" -j DROP -m comment --comment "DROP DNS Q zaikapaika.com" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x08564552 && 0x2c&0xDFDFDFDF=0x49534947 && 0x30&0xDFFFDFDF=0x4e03434f && 0x34&0xDFFFFFFF=0x4d0000ff" -j DROP -m comment --comment "DROP DNS Q ANY verisign.com" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x0453454d && 0x2c&0xDFFFDFDF=0x4102435a && 0x30&0xFFFFFFDF=0x0000ff00" -j DROP -m comment --comment "DROP DNS Q ANY sema.cz" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x04504b54 && 0x2c&0xDFFFDFDF=0x53044153 && 0x30&0xDFDFFFFF=0x49410000" -j DROP -m comment --comment "DROP DNS Q pkts.asia" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28&0xFFDFDFDF=0x0a49524c && 0x2c&0xDFDFDFDF=0x57494e4e && 0x30&0xDFDFDFFF=0x494e4703 && 0x34&0xDFDFDFFF=0x434f4d00" -j DROP -m comment --comment "DROP DNS Q irlwinning.com" iptables --insert INPUT -p udp --dport 53 -m u32 --u32 "0x28=0x05333739 && 0x2c&0xDFDFFFDF=0x5a430343 && 0x30&0xDFDFFF00=0x4f4d0000" -j DROP -m comment --comment "DROP DNS Q 379zc.com" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 8 апреля, 2016 · Жалоба http://www.stableit.ru/2013/02/iptables-dns.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 8 апреля, 2016 · Жалоба Проще закрыть рекурсию из мира. А особо флудящим клиентам закрыть входящий порт 53 с мира. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 9 апреля, 2016 · Жалоба Проще закрыть рекурсию из мира. А особо флудящим клиентам закрыть входящий порт 53 с мира. Во freebsd есть хорошая утилита dnstop, чтобы днс-флудера найти у себя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 9 апреля, 2016 · Жалоба Эта утилита есть не только в бзде. ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lariosik Опубликовано 30 апреля, 2016 (изменено) · Жалоба Шлюз на небольшую конторку ~100 человек со squd3. C bind странички открываются заметно быстрее, чем unbound. В инет в выходные я лезу и один (не считая почтовика) . Пробовал с форвардингом и без. server: verbosity: 3 num-threads: 4 port: 53 interface: 127.0.0.1 # Интерфейсы на котором будем слушать 53-й порт interface: 192.168.0.4 interface-automatic: no # Определять интерфейсы автоматически мне не нужно do-ip4: yes do-ip6: no do-udp: yes do-tcp: yes username: unbound logfile: "/var/log/unbound.log" use-syslog: no hide-version: yes outgoing-range: 950 num-queries-per-thread: 512 root-hints: "/etc/unbound/root.hints" so-rcvbuf: 4m so-sndbuf: 4m #forward-zone: # name: "." # forward-addr: 8.8.8.8 # forward-addr: 208.67.222.222 remote-control: control-enable: no Изменено 30 апреля, 2016 пользователем Lariosik Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 30 апреля, 2016 · Жалоба Prefetch уберите Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rudz Опубликовано 17 мая, 2016 · Жалоба Prefetch уберите зачем, чтоб в будни ещё медленнее стало? Шлюз на небольшую конторку ~100 человек со squd3. C bind странички открываются заметно быстрее, чем unbound. num-threads: 4 outgoing-range: 950 num-queries-per-thread: 512 подозреваю, что анбаунд у вас поставлен из какого-то пакета, и собран с тредами, но без libevent. уменьшите либо num-threads до 1 (для 100 человек у вас всё равно только один тред пахать всегда будет, это мизерная нагрузка), либо outgoing-range до 200 или даже 150 (и соответственно num-queries-per-thread где-то до 64) - у вас банально дескрипторы в 1024 не влезают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mechanic Опубликовано 23 января, 2017 · Жалоба bind перестал резолвить dellin.ru, обновил named.root, все равно никак другие днс из нашей подсети нормально все резолвят куда копать ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 23 января, 2017 · Жалоба dig +trace проблемный_домен Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andryas Опубликовано 24 января, 2017 · Жалоба После экспериментов с несколькими dns вернулся обратно на named. Там того не хватает, там то глючит... В результате первичный и вторичный полностью на named, уже месяц как забыл о проблемах с DNS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...