[plamo:23947] bind 9.3.0

[早間義博]

早間です。
bind 9.3.0 で困った事が起きています。
port 4845 宛に外部の DNS からアクセスがあり LAN 内で該当する
port に届かずブロックされてしまいました。

iptables のログです。
Oct 27 05:29:04 router kernel: IPTSWED IN=ppp0 OUT=eth1
SRC=niftyのDNS DST=Lan内のDNS LEN=176 TOS=0x00 PREC=0x00
TTL=243 ID=8363 DF PROTO=UDP SPT=53 DPT=4845 LEN=156 

Lan内のDNSを調べたところ Port 4845 は named (bind 9.3.0) が使用して
います。
# fuser -n udp 4845
4845/udp:            27024
# ps xa | grep 27024
27024 ?        S      1:26 /usr/sbin/named
14290 pts/2    S      0:00 grep 27024

port 4845 は固定ではありません。
named は再起動すると違う port を取るようです。

iptables では次の設定が指定してあるのでどの程度か判りませんが内部
からアクセスした行動のリアクションならば通過すると思うのですがブロッ
クされました。

ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

ログの引用中 IP で無く nifty のDNSと書きましたがこのパケットが大量
に届くので、外部からの攻撃と見なし、当該 IP からの全アクセスをブロッ
クしてしまうのです。結果として nifty 宛(たぶん逆方向も)の全メイル
が送信できなくなりました。(他のdomain も同時発生していて DNS を6個
ブロックしていましたが、2 つは相手のホストが真に DNSか否かは判りま
せん)

原因は何が考えられるのでしょう。
 応答が遅過ぎた
 iptables がRELATED,ESTABLISHED の状態から変わるのが早すぎる。
 何たら テーブルがパンク

# bind 9.3.0 が起こしているとは言えません。
# iptables との組合せかもしれません。

plamo 3.3 です。
Celeron (Mendocino) 434 (/proc/cpuinfo)
memory 64 MByte
iptables の設定は現在下記の通りですが運用上変更される分は現象が発
生すると追加され、状況に応じて削除されます。１時間に 100 前後の追加と
削除があります。
また、このホストは現在 57 日間再起動されていません。
固定設定が                  134
ダイナミックに変更される分を含めて 186

また、手動でブロックを解除してから６時間以上経つのですが、いまのと
ころ再現していません。

-- 早間  yossi@yedo.src.co.jp
   一時接続回線からプロバイダの mailaddress メイルを直接送信した
   場合、受信しないことがありますのでご承知置き下さい。 
   詳しくは http://www.src.co.jp/greylisting.html をご覧ください。