那些遇到过的问题

通过 dnsmasq 的大型 AXFR 导致 dig 挂起并显示部分结果

Con*_*ell 5 bind internal-dns dnsmasq dns-zone consul

我正在尝试将 dnsmasq 设置为 consul 的本地缓存。虽然这对于正常挖掘似乎工作正常,但 dnsmasq 似乎只允许部分区域传输。

我的resolv.conf:

search x.domain.com y.domain.com z.domain.com domain.com
nameserver 127.0.0.1
nameserver 10.0.0.1
nameserver 10.0.0.2
nameserver 10.0.0.3
options timeout: 2 attempts: 3
Run Code Online (Sandbox Code Playgroud)

我的 dnsmasq 设置只是设置为将请求转发.consul到同一台机器上的端口 3000,这是我的领事 dns 端口。否则,我使用 dnsmasq 默认值(将请求转发到 resolv.conf 中的其他 dns)。

server=/consul/127.0.0.1#3000
Run Code Online (Sandbox Code Playgroud)

这适用于普通挖掘并从服务器本地主机返回结果,例如。dig consul.service.consul +short将返回:

10.22.1.15
10.22.1.16
10.22.1.17
Run Code Online (Sandbox Code Playgroud)

正如预期的那样。普通 DNS(转发到 BIND dns 服务器)也可以正常工作,例如。dig host.hosts.domain.com +short将返回10.22.1.23

但是,在进行区域转移时,dig axfr us1.domain.comdig 将返回大约 700 行然后挂起,总是在同一个地方。如果我包括+retry=0dig;; connection timed out; no servers could be reached在 700 行之后的底部放置一个。

当从上游(绑定)dns 服务器进行区域传输时,它会按预期返回所有 22k 结果。

为 dig(-m标志)打开内存调试后,它似乎挂在

del 0x7f5c8131e010 size 152 file timer.c line 390 mctx 0x17572d0
Run Code Online (Sandbox Code Playgroud)

当按下 ctrl+c 时,它会吐出一个回溯,我设法追踪到 dig 认为请求尚未完成,我认为这是真的:

dighost.c:3831: REQUIRE(sockcount == 0) failed, back trace
#0 0x7f5c802c4227 in ??
#1 0x7f5c802c417a in ??
#2 0x41212d in ??
#3 0x405e0e in ??
#4 0x7f5c7de2f445 in ??
#5 0x405e6e in ??
Aborted (core dumped)
Run Code Online (Sandbox Code Playgroud)

启用额外的 dnsmasq 日志记录后,我可以看到 axfr:

Oct 04 12:17:41 hostname.hosts.domain.com dnsmasq[16055]: forwarded us1.domain.com to 10.0.0.1
Oct 04 12:17:41 hostname.hosts.domain.com dnsmasq[16055]: reply _kerberos.us1.domain.com is DOMAIN.COM
Oct 04 12:17:41 hostname.hosts.domain.com dnsmasq[16055]: reply consul-acl.prod.us1.domain.com is us4
Run Code Online (Sandbox Code Playgroud)

在上游绑定日志中:

Oct  4 12:20:07 upstreamdns named[17388]: client 10.22.10.20#42228: transfer of 'us1.domain.com/IN': AXFR started
Oct  4 12:20:07 upstreamdns named[17388]: client 10.22.10.20#42228: transfer of 'us1.domain.com/IN': AXFR ended
Run Code Online (Sandbox Code Playgroud)

我怀疑这与最大数据包大小有关,但我尝试了从不同缓存大小到增加 dns forwards 和 edns-packet-max 的不同设置。很奇怪,从上游 dns 请求 axfr 工作正常,但通过 dnsmasq 它只返回部分结果,然后导致 dig 挂起。

编辑:我尝试了 1.76 版本,并且还编译了最新的官方提交 7cbf497da4100ea0d1c1974b59f9503e15a0cf80,结果相同。

我正在运行 CentOS Linux 版本 7.5.1804(核心)。

新讯息

在使用/不使用 dnsmasq 执行 tcpdump 后,我可以看到响应被分成两个数据包。出于某种原因,dig 在查询 dnsmasq 时从未收到第二个数据包,因此它只是挂起。数据包的大小是 2521 字节和 189 字节,如果这对任何人都有意义的话。

Con*_*ell 0

根据 Simon Kelly 教授(dnsmasq 创建者)的说法,这个问题是由区域传输超过 65536 字节引起的,并且 dnsmasq 没有实现用于将传输推送到多个消息的延续方法。

因此,大区域传输将不起作用,建议的解决方法是直接与上游权威服务器对话。

归档时间:

查看次数:

646 次

最近记录:

6 年,10 月 前
相关归档
有什么方法可以减少 bind9 内存占用? 10
为什么 DNS 服务器不能解析任何以 .io 结尾的域? 10
企业内部 URL 约定 8
BIND 9.9.3 从属更新:收到区域“域”的通知:不权威 5
服务器找不到 XXX.in-addr.arpa: NXDOMAIN 5
解析没有 FQDN 的主机名 4
为什么当 bind9 为 777 时会因权限被拒绝错误而拒绝连接 4
Windows 2008 DNS 可以将 2 个主机名分配给一个 IP 地址吗 4
外部 dns 到内部 dns 3
将动态 DNS 解析为内部 IP 0
难疑归档
如何以更少或更多的方式从文件末尾向后读取? 189
站点可用与站点启用与 conf.d 目录(Nginx)的区别? 157
运行 Oracle SQL 脚本并通过命令提示符退出 sqlplus.exe 132
清除所有 iptables 规则的最佳方法 122
冷却服务器柜 - 没有空调是可能的 102
为什么在 shell 脚本上使用 Chef/Puppet? 83
zcat/gzcat 适用于 linux,而不适用于 osx。一般的 linux/osx 兼容性 67
如何从计算机中删除域用户配置文件? 59
未知/不支持的存储引擎:InnoDB | MySQL Ubuntu 54
从 CloneZilla 图像中提取文件 53