>>1) использовать имена в фаерволах - дурной тон и потенциальные грабли
>>2) при перестроении фаревола скорей всего закрывается доступ с днс на форвардеров
>>
>
>непохоже... группа правил в которых фигурируют имена выполняется после правил INPUT/OUTPUT,
>плюс к этому раз на раз не приходиться
>если предварительно сделать для всех "неудачных" умен nslookup, то правила проходят нормально
>по всей видимости это вопрос скорее к bind-у
вот что показывает tcpdump
root@host:~# tcpdump -vv -nn -i any port 53
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
15:47:26.457997 IP (tos 0x0, ttl 64, id 50382, offset 0, flags [DF], proto UDP (17), length 65)
127.0.0.1.60821 > 127.0.0.1.53: [bad udp cksum 8a50!] 6189+ A? WRK.FIRMA.LOCAL (37)
15:47:26.459642 IP (tos 0x0, ttl 64, id 6871, offset 0, flags [none], proto UDP (17), length 65)
127.0.0.1.53 > 127.0.0.1.60821: [bad udp cksum 7d0!] 6189 ServFail q: A? WRK.FIRMA.LOCAL 0/0/0 (37)
15:47:26.459730 IP (tos 0x0, ttl 64, id 50382, offset 0, flags [DF], proto UDP (17), length 65)
127.0.0.1.47788 > 127.0.0.1.53: [bad udp cksum 7383!] 6189+ A? WRK.FIRMA.LOCAL (37)
15:47:26.461104 IP (tos 0x0, ttl 64, id 6872, offset 0, flags [none], proto UDP (17), length 65)
127.0.0.1.53 > 127.0.0.1.47788: [bad udp cksum f102!] 6189 ServFail q: A? WRK.FIRMA.LOCAL 0/0/0 (37)
15:47:26.462103 IP (tos 0x0, ttl 64, id 50382, offset 0, flags [DF], proto UDP (17), length 65)
127.0.0.1.47653 > 127.0.0.1.53: [bad udp cksum 51b!] 33058+ A? WRK.FIRMA.LOCAL (37)
15:47:26.463726 IP (tos 0x0, ttl 64, id 6873, offset 0, flags [none], proto UDP (17), length 65)
127.0.0.1.53 > 127.0.0.1.47653: [bad udp cksum 829a!] 33058 ServFail q: A? WRK.FIRMA.LOCAL 0/0/0 (37)
15:47:26.463792 IP (tos 0x0, ttl 64, id 50382, offset 0, flags [DF], proto UDP (17), length 65)
127.0.0.1.59710 > 127.0.0.1.53: [bad udp cksum ebeb!] 33058+ A? WRK.FIRMA.LOCAL (37)
15:47:26.465357 IP (tos 0x0, ttl 64, id 6874, offset 0, flags [none], proto UDP (17), length 65)
127.0.0.1.53 > 127.0.0.1.59710: [bad udp cksum 696b!] 33058 ServFail q: A? WRK.FIRMA.LOCAL 0/0/0 (37)
причем если у 127.0.0.1 спросить про другой хост из FIRMA.LAN
то ответ получаешь нормально
А вот выхлоп tcpdump-а после удачного nslookup wrk.firma.local
(tos 0x0, ttl 64, id 7043, offset 0, flags [none], proto UDP (17), length 65) 127.0.0.1.48660 > 127.0.0.1.53: [bad udp cksum 999c!] 64414+ A? WS-FRSD-170.frsd.ru. (37)
(tos 0x0, ttl 64, id 5377, offset 0, flags [none], proto UDP (17), length 76) 192.168.1.254.44230 > 192.168.1.1.53: [bad udp cksum 7e83!] 35691+ [1au] A? WRK.FIRMA.LOCAL. ar: . OPT UDPsize=4096 OK (48)
(tos 0x0, ttl 128, id 21141, offset 0, flags [none], proto UDP (17), length 92) 192.168.1.1.53 > 192.168.1.254.44230: 35691* q: A? WRK.FIRMA.LOCAL. 1/0/1 WRK.FIRMA.LOCAL.[|domain]
(tos 0x0, ttl 64, id 7044, offset 0, flags [none], proto UDP (17), length 81) 127.0.0.1.53 > 127.0.0.1.48660: 64414 q: A? WRK.FIRMA.LOCAL. 1/0/0 WRK.FIRMA.LOCAL. (53)
похоже что если спрашивает iptables то bind не переспрашивает о wrk.firma.local у 192.168.1.1
а если спросить через nslookup, то спрашивает