Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Странно работает резольвинг имен из правил iptables  (Прочитано 710 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн georglk

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Как известно в iptables (у меня на данный момент 1.4.4) в критериях --source и --destination кроме ip-адресов можно использовать имена.
При выполнении правил iptables они разрешаются в ip-шники (что кстати, удобно если за одним дпс-именем стоят несколько ip-адресов)
Я использую в своих правилах несколько имен хостов из локальной сети и заметил, что при определенных условиях при выполнении скрипта iptables имена эти не разрешаются.
Причем если сразу попробовать их разрешить через dig или nslookup, то резольвинг проходить успешно.
Есть еще один нюанс... на данной машине установлен кеширующий bind9 и в его конфиге указано что зона для локальной сети находиться на другом сервере (win dc)
named.conf:
zone "firma.local" {
  type forward;
  forwarders { 192.168.1.1; 192.168.1.2; };
  };

а в /etc/resolf.conf первой строчкой идет "nameserver 127.0.0.1"
то есть при вопросе iptables у 127.0.0.1: кто такой workstation.firma.local?
всегда должны возвращаться данные от 192.168.1.1; 192.168.1.2;, ну или из кеша самого 127.0.0.1
Почему при массовом выполнении правил iptables иногда этого не происходит и как это побороть

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28366
    • Просмотр профиля
Использовать можно, не имена ресолвятся один раз при задании правила. Если на момент включения компьютера/написания правила указанный адрес недоступен - правило работать не будет.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн georglk

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Использовать можно, не имена ресолвятся один раз при задании правила.

не в том вопрос, то что резольвяться при применение правила и так понятно
дело в том что этот резольвинг, по меньшей мере в описаной системе работает как-то странно (не стабильно)
с чем и пытаюсь разобраться

Пользователь решил продолжить мысль 16 Августа 2010, 15:28:41:
Если на момент включения компьютера/написания правила указанный адрес недоступен - правило работать не будет.
скорее не указаного адреса, а днс-а который ответит за запрос (в моем случаи это локальный bind и виндовые днс-ы 192.168.1.42 и .43)
« Последнее редактирование: 16 Августа 2010, 15:28:41 от georglk »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28366
    • Просмотр профиля
При задании правила, а не при применении. Правила применяется при прохождении пакета через цепочку, и применяет его не iptables, а netfilter.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.039 секунд. Запросов: 23.