Уважаемые помогите прояснить один вопрос. При роботе BIND 8.3.7 переодически пытается потключатся к разным портам той-же тачки ( 3497, 3945, 1075, 3361 и т.д). В мануалах ничего нет, в файле named.conf нет никаких настроек. Чо єто такое, нужно ли оно и как его настроить/отключить.
пытается подключится или открывает порт?
>Уважаемые помогите прояснить один вопрос. При роботе BIND 8.3.7 переодически пытается потключатся
>к разным портам той-же тачки ( 3497, 3945, 1075, 3361 и
>т.д). В мануалах ничего нет, в файле named.conf нет никаких настроек.
>Чо ?то такое, нужно ли оно и как его настроить/отключить.
с чего ты взял?
если открывает порт то,
в секцию options добавь
query-source address * port 53;
вот те выдержка из гвайда для 9 бинда6.2.16.6. Query Address
If the server doesn't know the answer to a question, it will query other name servers. query-source specifies the address and port used for such queries. For queries sent over IPv6, there is a separate query-source-v6 option. If address is * or is omitted, a wildcard IP address (INADDR_ANY) will be used. If port is * or is omitted, a random unprivileged port will be used, avoid-v4-udp-ports and avoid-v6-udp-ports can be used to prevent named from selecting certain ports. The defaults are
query-source address * port *;
query-source-v6 address * port *;Note: The address specified in the query-source option is used for both UDP and TCP queries, but the port applies only to UDP queries. TCP queries always use a random unprivileged port.
Note: See also transfer-source and notify-source.
>если открывает порт то,
>в секцию options добавь
>query-source address * port 53;
>вот те выдержка из гвайда для 9 бинда
>
>6.2.16.6. Query Address
>
>If the server doesn't know the answer to a question, it will
>query other name servers. query-source specifies the address and port used
>for such queries. For queries sent over IPv6, there is a
>separate query-source-v6 option. If address is * or is omitted, a
>wildcard IP address (INADDR_ANY) will be used. If port is *
>or is omitted, a random unprivileged port will be used, avoid-v4-udp-ports
>and avoid-v6-udp-ports can be used to prevent named from selecting certain
>ports. The defaults are
>
>query-source address * port *;
>query-source-v6 address * port *;
>
> Note: The address specified in the query-source option
>is used for both UDP and TCP queries, but the port
>applies only to UDP queries. TCP queries always use a random
>unprivileged port.
>
> Note: See also transfer-source and notify-source.Уважаемые, возможно вопрос поставлен не корректно, вот консольная мессага которая меня беспокоит:
/kernel: Connection attempt to UDP 127.0.0.1:3027 from 127.0.0.1:53
>>если открывает порт то,
>>в секцию options добавь
>>query-source address * port 53;
>>вот те выдержка из гвайда для 9 бинда
>>
>>6.2.16.6. Query Address
>>
>>If the server doesn't know the answer to a question, it will
>>query other name servers. query-source specifies the address and port used
>>for such queries. For queries sent over IPv6, there is a
>>separate query-source-v6 option. If address is * or is omitted, a
>>wildcard IP address (INADDR_ANY) will be used. If port is *
>>or is omitted, a random unprivileged port will be used, avoid-v4-udp-ports
>>and avoid-v6-udp-ports can be used to prevent named from selecting certain
>>ports. The defaults are
>>
>>query-source address * port *;
>>query-source-v6 address * port *;
>>
>> Note: The address specified in the query-source option
>>is used for both UDP and TCP queries, but the port
>>applies only to UDP queries. TCP queries always use a random
>>unprivileged port.
>>
>> Note: See also transfer-source and notify-source.
>
>Уважаемые, возможно вопрос поставлен не корректно, вот консольная мессага которая меня беспокоит:
>
>/kernel: Connection attempt to UDP 127.0.0.1:3027 from 127.0.0.1:53sysctl net.inet.udp.log_in_vain
логирует обращения на lo0
примером некоторые проги пытаються отреслвить foo.bar.edu,
который указан как пример.
>sysctl net.inet.udp.log_in_vain
>логирует обращения на lo0
>примером некоторые проги пытаються отреслвить foo.bar.edu,
>который указан как пример.
МЕНЯ НЕ БЕСПОКОИТ ЧТО БУКОВКИ НА ЭКРАНЧИКЕ ПОЯВЛЯЮТСЯ.
Господа я не ушастый ламер не надо мне эту фигню парить. Меня интересует конкретный вопрос о неясном поведении bind : Какого хрена и с кем он пытается соеденится.
>>sysctl net.inet.udp.log_in_vain
>>логирует обращения на lo0
>>примером некоторые проги пытаються отреслвить foo.bar.edu,
>>который указан как пример.
>
>
>МЕНЯ НЕ БЕСПОКОИТ ЧТО БУКОВКИ НА ЭКРАНЧИКЕ ПОЯВЛЯЮТСЯ.
>Господа я не ушастый ламер не надо мне эту фигню парить. Меня
>интересует конкретный вопрос о неясном поведении bind : Какого хрена и
>с кем он пытается соеденится.
оч хорошо что не лаер.
написно же на русском. сам сервак (точнее софтинка) к себе же обращаеться. это логируется.
>>>sysctl net.inet.udp.log_in_vain
>>>логирует обращения на lo0
>>>примером некоторые проги пытаються отреслвить foo.bar.edu,
>>>который указан как пример.
>>
>>
>>МЕНЯ НЕ БЕСПОКОИТ ЧТО БУКОВКИ НА ЭКРАНЧИКЕ ПОЯВЛЯЮТСЯ.
>>Господа я не ушастый ламер не надо мне эту фигню парить. Меня
>>интересует конкретный вопрос о неясном поведении bind : Какого хрена и
>>с кем он пытается соеденится.
>оч хорошо что не лаер.
>написно же на русском. сам сервак (точнее софтинка) к себе же обращаеться.
>это логируется.ps. почитай конференции по бсд, правда на английском, может там понятней будет.
>>sysctl net.inet.udp.log_in_vain
>>логирует обращения на lo0
>>примером некоторые проги пытаються отреслвить foo.bar.edu,
>>который указан как пример.
>
>
>МЕНЯ НЕ БЕСПОКОИТ ЧТО БУКОВКИ НА ЭКРАНЧИКЕ ПОЯВЛЯЮТСЯ.
>Господа я не ушастый ламер не надо мне эту фигню парить. Меня
>интересует конкретный вопрос о неясном поведении bind : Какого хрена и
>с кем он пытается соеденится.
XP> Security Folks,
XP> I am running 4.4 Release, I have Bind 9.02 running on my box. I am
XP> authoratative for a domain or two, and use my own name server for
XP> resolution within my server (ie with lynx, nslookup or dig). Everything
XP> seems to work fine DNS wise, I can always get resolution, and my DNS
XP> setup appears to work correctly from the net at large (according to the
XP> DNS tester at declude.com, and the fact that I can access the domains I
XP> am authoratavie on from another ISP etc).XP> Question:
XP> Periodically (a few times a week) I get these entries in the security
XP> email autimagically sent by the standard scripts in periodic. Sometimes
XP> there are many of them, and sometimes there are only a few or none. I
XP> *am* using IPFW, however these entries are not being blocked by my last
XP> rule, which I have numbered 999 (an example entry that *is* being
XP> blocked by rule number 999 is also pasted below for clarity). My
XP> understanding is that this log entry means that an attempt is being
XP> made by localhost to access the name server on localhost, but that bind
XP> is not listening or the request is malformed. I realize that this may
XP> not be a question for security, but it *is* generated by the built in
XP> FreeBSD security scripts, so I thought I'd start here. Thanks in
XP> advance for any light you can shed on this phenom.XP> Jason
>> Connection attempt to UDP 127.0.0.1:4699 from 127.0.0.1:53
>> Apr 9 03:06:02 {myservername} /kernel: Connection attempt to UDP
XP> 127.0.0.1:4699 from 127.0.0.1:53
>> ipfw: 999 Deny ICMP:8.0 63.251.129.65 10.1.3.2 in via xl0I suppose that you have enabled net.inet.udp.log_in_vain in your
sysctls.
This packets are not blocked by ipfw because of rule "pass all from
any to any via lo0" which is normally turned on.
The reason of such log entry may be this:
1) some program(P) tries to resolve `foo.bar.edu' and sends UDP
request from port 4699 to port 53
2) the request takes so much time, that P stops waiting for response
and exits.
3) response comes to port 4699, but there is nobody waiting for it.
4) kernel logs connection attempt.
5) ...later that evening... security check sends you email. :)I can be wrong, because I have never tried such scenario.
Hope that helps
;-------------------------------------------
; NKritsky
; mailto:nkritskyinternethelp.ru
>The reason of such log entry may be this:
>1) some program(P) tries to resolve `foo.bar.edu' and sends UDP
>request from port 4699 to port 53
>2) the request takes so much time, that P stops waiting for
>response
>and exits.
>3) response comes to port 4699, but there is nobody waiting for
>it.
>4) kernel logs connection attempt.
>5) ...later that evening... security check sends you email. :)
>
>I can be wrong, because I have never tried such scenario.
>
>Hope that helps
>
>;-------------------------------------------
>; NKritsky
>; mailto:nkritskyinternethelp.ruнаконецто здравая мысль