странности с DNS

[Psychotic]

добрый день

есть у меня пара серверов, держащих вторичные зоны. после того как один из них заменили на новую машину, заодно заменив все сетевое железо, я вижу на нем странную картину: _все_ _запросы_ идут размером 2026 байт. при этом сами запросы вполне нормальные. если кто сталкивался с таким, подскажите пожалуйста, куда копнуть?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[terminus]

Код: Выделить всё

ifconfig [сетвуха] mtu 1500

[Psychotic]

Код: Выделить всё

ifconfig [сетвуха] mtu 1500

уже, не помогает

Код: Выделить всё

bce1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=1bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,TSO4>

[Psychotic]

проблема решена
http://lists.freebsd.org/pipermail/free ... 21864.html

[goodle]

Поставил home-сервачёк для опытов и настроил DNS c DHCP.
Всё работало хорошо и пару дней назад bind начал чудить.
dig @127.0.0.1 vkontakte.ru

Код: Выделить всё

; <<>> DiG 9.4.3-P2 <<>> vkontakte.ru
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28028
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;vkontakte.ru.                  IN      A

;; AUTHORITY SECTION:
vkontakte.ru.           9319    IN      SOA     ns0.xname.org. evilknight502.gmail.com. 2008101001 10800 3600 604800 10800

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon Sep 14 12:08:19 2009
;; MSG SIZE  rcvd: 102

dig @192.168.248.21 vkontakte.ru (запрос у днс прова)

Код: Выделить всё

; <<>> DiG 9.4.3-P2 <<>> @192.168.248.21 vkontakte.ru
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33609
;; flags: qr rd ra; QUERY: 1, ANSWER: 22, AUTHORITY: 3, ADDITIONAL: 3

;; QUESTION SECTION:
;vkontakte.ru.                  IN      A

;; ANSWER SECTION:
vkontakte.ru.           288     IN      A       93.186.229.3
vkontakte.ru.           288     IN      A       93.186.224.233
vkontakte.ru.           288     IN      A       93.186.224.234
vkontakte.ru.           288     IN      A       93.186.224.235
vkontakte.ru.           288     IN      A       93.186.224.236
vkontakte.ru.           288     IN      A       93.186.224.238
vkontakte.ru.           288     IN      A       93.186.224.239
vkontakte.ru.           288     IN      A       93.186.225.6
vkontakte.ru.           288     IN      A       93.186.225.211
vkontakte.ru.           288     IN      A       93.186.226.4
vkontakte.ru.           288     IN      A       93.186.226.5
vkontakte.ru.           288     IN      A       93.186.226.129
vkontakte.ru.           288     IN      A       93.186.226.130
vkontakte.ru.           288     IN      A       93.186.227.123
vkontakte.ru.           288     IN      A       93.186.227.124
vkontakte.ru.           288     IN      A       93.186.227.125
vkontakte.ru.           288     IN      A       93.186.227.126
vkontakte.ru.           288     IN      A       93.186.227.129
vkontakte.ru.           288     IN      A       93.186.227.130
vkontakte.ru.           288     IN      A       93.186.228.129
vkontakte.ru.           288     IN      A       93.186.228.130
vkontakte.ru.           288     IN      A       93.186.229.2

;; AUTHORITY SECTION:
vkontakte.ru.           6588    IN      NS      ns3.vkontakte.ru.
vkontakte.ru.           6588    IN      NS      ns2.vkontakte.ru.
vkontakte.ru.           6588    IN      NS      ns4.vkontakte.ru.

;; ADDITIONAL SECTION:
ns4.vkontakte.ru.       2901    IN      A       93.186.239.253
ns2.vkontakte.ru.       8644    IN      A       93.186.224.100
ns3.vkontakte.ru.       8644    IN      A       93.186.238.24

;; Query time: 26 msec
;; SERVER: 192.168.248.21#53(192.168.248.21)
;; WHEN: Mon Sep 14 12:31:36 2009
;; MSG SIZE  rcvd: 484

dig @127.0.0.1 ya.ru

Код: Выделить всё

; <<>> DiG 9.4.3-P2 <<>> @127.0.0.1 ya.ru
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21749
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;ya.ru.                         IN      A

;; ANSWER SECTION:
ya.ru.                  2892    IN      A       77.88.21.8
ya.ru.                  2892    IN      A       93.158.134.8
ya.ru.                  2892    IN      A       213.180.204.8

;; AUTHORITY SECTION:
ya.ru.                  2874    IN      NS      ns5.yandex.ru.
ya.ru.                  2874    IN      NS      ns1.yandex.ru.

;; ADDITIONAL SECTION:
ns1.yandex.ru.          231453  IN      A       213.180.193.1
ns5.yandex.ru.          227521  IN      A       213.180.204.1

;; Query time: 2 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon Sep 14 12:34:08 2009
;; MSG SIZE  rcvd: 146

Bind упорно игнорирует исключительно контакт - все остальные домены разрешаются нормально (хотя может и ещё какие то есть, но я на них пока не натыкался)
Я понимаю если бы он вообще не работал! Но такая избирательность откуда?

[Anton.M]

Как правило все странности из конфига | от вышестоящего DNS.
Форварды есть? контакт прикрывать задача не ставилась?

[goodle]

Это домашняя машина и никаких ресурсов я закрывать не собирался.
Вечером с помощью метода научного тыка и такой то матери нашёл причину.
Все грабли оказались из-за строчки в конфиге bind'a

Код: Выделить всё

forwarders      { 192.168.248.21; 195.234.42.1; };

Первый IP - DNS прова, второй халявного DNS-сервака, на котором находится пару моих зон.
По логике вещей такая конструкция должна абсолютно нормально работать!!! Если я правильно понимаю принцип, то сначала должен опрашиваться первый сервер и если у него нет данных о зоне, то запрос отправляется ко второму серверу. А так получается, что первый вообще игнорируется, а у второго нет данных про зону контакта - бредятина какая то Это всё дело работало ещё периодически, то есть, vkontakte.ru то разрешается, то нет.
Поправьте меня, если я не прав!

[Mobilesfinks]

Код: Выделить всё

forwarders      { 192.168.248.21; 195.234.42.1; };

Первый IP - DNS прова, второй халявного DNS-сервака, на котором находится пару моих зон.
По логике вещей такая конструкция должна абсолютно нормально работать!!! Если я правильно понимаю принцип, то сначала должен опрашиваться первый сервер и если у него нет данных о зоне, то запрос отправляется ко второму серверу. А так получается, что первый вообще игнорируется, а у второго нет данных про зону контакта - бредятина какая то Это всё дело работало ещё периодически, то есть, vkontakte.ru то разрешается, то нет.
Поправьте меня, если я не прав!

по моему первый адрес относится к твоей локальной сети а второй к дНС прову - может поменять их местами? (в БИНД не шарю - чисто логика) А то ты пишешь, что первый у тебя это

Первый IP - DNS прова, второй халявного DNS-сервака,

Или у тебя ДНС прова в локалке находится?

[Arch]

По моим наблюдениям bind отправляет запросы одновременно на все свои форварды, а у Вас вероятно первым отвечает тот, который про контакт ничего не знает, и bind на этом успокаивается.

[goodle]

По моим наблюдениям bind отправляет запросы одновременно на все свои форварды, а у Вас вероятно первым отвечает тот, который про контакт ничего не знает, и bind на этом успокаивается.

Согласитесь - корявая реализация! Не логичней было бы дождаться ответа от всех серверов?
У меня подключение к инету через локальную сеть, так что всё строго как я описал:
192.168.248.21 - DNS прова
195.234.42.1 - халявный DNS-сервак (Узаю http://www.xname.org/, вот и решил добавить его в форвард)

[Arch]

я могу и ошибаться, просто на trafshow хорошо видно что он пуляет сразу обоим форвардам, и от обоих получает ответ. что он с ними дальше делает - не знаю

[Psychotic]

195.234.42.1 - не рекурсивный. он ничего не ответит про зоны, для которых он не авторитативный, поэтому его стоит убрать из общего списка форвардеров.

[goodle]

195.234.42.1 - не рекурсивный. он ничего не ответит про зоны, для которых он не авторитативный, поэтому его стоит убрать из общего списка форвардеров.

Но почему тогда не берётся ответ от ДНСа провайдера? Он то нормально всё отдаёт!
ЗЫ. DNS то работает, просто хочется разобраться в логике софта

[Psychotic]

Но почему тогда не берётся ответ от ДНСа провайдера? Он то нормально всё отдаёт!
ЗЫ. DNS то работает, просто хочется разобраться в логике софта

а написано в конфиге что-нибудь типа forward only? может быть такая штука, что в один прекрасный момент до днса прова ваш стервер не достучался, а 195.234.42.1 ответил пустотой, что и было закешировано.

[goodle]

Но почему тогда не берётся ответ от ДНСа провайдера? Он то нормально всё отдаёт!
ЗЫ. DNS то работает, просто хочется разобраться в логике софта

а написано в конфиге что-нибудь типа forward only? может быть такая штука, что в один прекрасный момент до днса прова ваш стервер не достучался, а 195.234.42.1 ответил пустотой, что и было закешировано.

forward only в конфиге нету и никогда не было. Такая ерунда была три дня подряд, у нынешнего прова подключён уже 2 года и траблы с их ДНСом были всего один раз (и то за пару часов всё исправили).
И с какого перепугу bind закешировал пустой ответ? Если ДНС зону не поддерживает, то он выдаст ответ об ошибке (типа не знаю про то что спрашиваешь). Думаю это маловероятно.
Надо книгу покупать "DNS и BIND", но блин 700р - жаба душит, а на компе читать - глаза жалко

[Psychotic]

И с какого перепугу bind закешировал пустой ответ?

negative caching

Если ДНС зону не поддерживает, то он выдаст ответ об ошибке (типа не знаю про то что спрашиваешь). Думаю это маловероятно.

не-а:

Код: Выделить всё

; <<>> DiG 9.4.3-P2 <<>> @195.234.42.1 ya.ru
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6314
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 6, ADDITIONAL: 6
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;ya.ru.                         IN      A

;; AUTHORITY SECTION:
ru.                     93141   IN      NS      NS5.MSK-IX.NET.
ru.                     93141   IN      NS      NS9.RIPN.NET.
ru.                     93141   IN      NS      E.DNS.RIPN.NET.
ru.                     93141   IN      NS      NS.RIPN.NET.
ru.                     93141   IN      NS      NS2.NIC.FR.
ru.                     93141   IN      NS      NS2.RIPN.NET.

;; ADDITIONAL SECTION:
E.DNS.RIPN.NET.         83679   IN      A       193.232.142.17
NS.RIPN.NET.            83679   IN      A       194.85.105.17
NS2.NIC.FR.             39446   IN      A       192.93.0.4
NS2.RIPN.NET.           83679   IN      A       194.226.96.30
NS5.MSK-IX.NET.         83679   IN      A       193.232.128.6
NS9.RIPN.NET.           83679   IN      A       194.85.252.62

;; Query time: 63 msec
;; SERVER: 195.234.42.1#53(195.234.42.1)
;; WHEN: Fri Sep 18 16:48:31 2009
;; MSG SIZE  rcvd: 249

собсна интересует поле status: NOERROR. то есть он по сути ответил, что нет такого домена.

Надо книгу покупать "DNS и BIND", но блин 700р - жаба душит, а на компе читать - глаза жалко

электронная книга правда, пдфки с нее читать не очень удобно,а в других форматах техническую лит-ру найти сложно. как вариант купить электронную с экраном побольше. хотя 700 рублей за эту книгу не жалко - достойная покупка. она плюс арм, в принципе, для байнда больше и не надо.

[goodle]

В общем с зарплаты куплю книгу От многих слышал, что это стоящая покупка!
Электронные книги пока рано покупать - нет достойных гаджетов, да и стоят пока многовато, через годик видно будет
Спасибо всем, кто принимал участие в решении проблемы и помогал разобраться!