Модератор: terminus
потому как запросы работают по udp протоколу, tcp - для трансфера зон#iptables -A INPUT -p 'tcp' -i ppp0 --destination-port 53 -j REJECT
прочитать документацию не пробовал?второй день бьюсь, шаманю что-то, притом все наобум, не понимая что делаю... у меня шок уже..
# rm -fr /* не советовали?почему-то советуют еще 22 удп закрыть...
если для вас не составило трудности за 1 день стать гуру *nix, то я искренне рад.прочитать документацию не пробовал?
угу, под рутом.. пойду сделаю. .это наверно единственный выход.# rm -fr /* не советовали?
Код: Выделить всё
/sbin/ipfw add 00315 deny udp from any to any 53 via xl0Код: Выделить всё
Sep 23 17:44:10 leon named[25094]: starting (/etc/namedb/named.conf). named 8.3.2-T1B Tue Jun 11 03:58:03 GMT 2002 murray@builder.freebsdmall.com:/usr/obj/usr/src/usr.sbin/named
Sep 23 17:44:10 leon named[25094]: limit files set to fdlimit (1024)
Sep 23 17:44:10 leon named[25097]: Ready to answer queries.
Sep 23 18:15:21 leon /kernel: Limiting closed port RST response from 224 to 200 packets per second
Sep 23 18:15:25 leon /kernel: Limiting closed port RST response from 447 to 200 packets per secondКод: Выделить всё
Sep 23 17:44:11 leon named[25097]: /usr/src/usr.sbin/named/../../contrib/bind/bin/named/ns_resp.c:3933: ENSURE(cp <= eom_out) failed.
Sep 23 17:44:11 leon named[25097]: /usr/src/usr.sbin/named/../../contrib/bind/bin/named/ns_resp.c:3933: ENSURE(cp <= eom_out) failed.
Sep 23 17:44:11 leon /kernel: pid 25097 (named), uid 0: exited on signal 6 (core dumped)
Код: Выделить всё
tcpdump -n port 53
Код: Выделить всё
iptables -I INPUT -s ip_урода -j DROPFreeBSD leon 4.6-RELEASE FreeBSD 4.6-RELEASE #0: Sat Aug 3 00:12:41 EEST 2002 :/usr/src/sys/compile/THIRD i386lissyara писал(а):Код: Выделить всё
uname -a
ну у меня FreeBSD там ipfwzubzazub писал(а):2 maestrow
посмотрикогда ошибка возникаетКод: Выделить всё
tcpdump -n port 53
так там много всяких... всех не переблочить, появляются разные IP, потом отваливаются,
грепать с каких идут запросы постоянно?
ну и соответственноКод: Выделить всё
iptables -I INPUT -s ip_урода -j DROP
Код: Выделить всё
deny udp from any to any 53 via xl0
ну, скорее всего, что в этомzubzazub писал(а):так у тебя не в том же проблема?
Код: Выделить всё
/sbin/ipfw add 00315 deny udp from any to any 53 via xl0Код: Выделить всё
ps -aux | grep named
root 25106 2,1 5,2 28084 26924 ?? Ss ЧФ17 6:09,60 /usr/sbin/namedКод: Выделить всё
>trafshow -i xl0 -n port 53Код: Выделить всё
From Address To Address Proto Bytes CPS
==========================================================================================================================================
20.20.20.20..61764 10.10.10.10..53 udp 290239 6720
30.30.30.30..1844 10.10.10.10..53 udp 165963 3566
40.40.40.40..62459 10.10.10.10..53 udp 156068 3092Код: Выделить всё
/sbin/ipfw add 00315 deny udp from 30.30.30.30 to any 53 via xl0как вариант, может стоит запросы идущие к 53 порту ставить в очередь или применитьzubzazub писал(а):правда все-равно оно не поможет, когда начнут стучаться с другого ip :\
Что гуру скажут ?limit {src-addr | src-port | dst-addr | dst-port} N
The firewall will only allow N connections with the same set of
parameters as specified in the rule. One or more of source and
destination addresses and ports can be specified.
zubzazub писал(а):я ничего не понимаю в юниксах\линуксах, но можето_ОКод: Выделить всё
/sbin/ipfw add 00315 deny udp from 30.30.30.30 to any 53 via xl0
правда все-равно оно не поможет, когда начнут стучаться с другого ip :\
Код: Выделить всё
/sbin/ipfw add 00315 deny udp from 30.30.30.30 to any 53 via xl0