Como evitar pesquisas de DNS quando o serviço já está desabilitado em pesquisas de DNS?

1

Minha empresa implantou recentemente um recurso de DNS em todos os sistemas da empresa. Devido a um erro de roteamento assíncrono da fluke para alguns de nossos servidores, descobrimos que, mesmo quando um serviço desabilita pesquisas DNS reversas (como "disable_dns_lookups" no Postfix e "UseDNS não" no SSH), o RHEL 5 ainda parece executar algum tipo de pesquisa em relação a um servidor de nomes configurado no próprio arquivo /etc/resolv.conf dos servidores.

A configuração que esperávamos era permitir que as entradas do servidor de nomes permanecessem dentro do arquivo /etc/resolv.conf, mas a desabilitação das pesquisas de DNS poderia ser desabilitada nos vários serviços especificamente.

Eu sei que essas entradas estão causando o problema; quando as entradas do servidor de nomes são removidas do arquivo / etc / resolv / conf, o sistema responde ao SMTP e SSH muito rapidamente (sub-segundo). Quando os servidores de nomes estão habilitados, existem atrasos definidos de 10 segundos. Espero que, ao desabilitar as pesquisas de DNS no serviço, resolva isso.

Aqui está um exemplo do comportamento que estou vendo: Usando o SSH sem entradas do servidor de nomes:

  1. SSH em um servidor na empresa.
  2. SSH para um servidor em que as consultas ao DNS são lentas.
  3. Forneça a senha quando solicitado.
  4. O servidor responde instantaneamente com um aviso de shell.

Usando o SSH com entradas de servidor de nomes:

  1. SSH em um servidor na empresa.
  2. SSH para um servidor em que as consultas ao DNS são lentas.
  3. Forneça a senha quando solicitado.
  4. Aguarde 10 segundos sem resposta do servidor.
  5. Exibe o prompt da shell.

Outro teste usando SMTP, quando eu uso TELNET para acessar a interface SMTP do servidor em PostFix, depois de especificar um valor válido para o campo "RCPT TO", a interface pausa por 10 segundos antes de retornar o cursor para que o protocolo continue, mas responde instantaneamente quando as mesmas entradas do servidor de nomes são comentadas.

Existe algum outro lugar nos arquivos de configuração, talvez no nível da rede ou do kernel, onde isso pode ser afetado? Poderia ter o IPV6 ativado causando esse problema?

Eu reconheço que esta é uma questão ampla quando questionada, já que não posso fornecer muitos detalhes sobre o meu ambiente, e existem alguns parâmetros de configuração dentro de um servidor Linux em si. Se alguém encontrou um problema semelhante, qualquer ajuda ou direção para solucionar isso seria bem-vinda.

    
por Nick V 06.08.2012 / 06:46

2 respostas

2

Eu só posso falar pelo Postfix.

disable_dns_lookups=yes delega a pesquisa para a função do sistema getaddrinfo() . E isso mesmo usa o sistema DNS para recuperar as informações: link

Portanto, o Postfix, mesmo assim, usa servidores de nomes DNS se você configurou seu sistema Linux / UNIX com /etc/resolv.conf e /etc/nsswitch.conf para fazer isso.

Um servidor de e-mail sem DNS é completamente inútil, pois você perde a capacidade de fazer pesquisas reversas, pesquisas de RBL, verificação de domínio e muitos outros mecanismos anti-spam.

A solução é reparar sua configuração de DNS para poder resolver qualquer domínio / IP público da Internet além de seus hosts locais.

    
por 07.08.2012 / 22:31
2

Às vezes, há um listener de DNS multicast instalado, no ubuntu, remova o pacote libnss-mdns. A função do sistema irá usá-lo também e pode criar atrasos para endereços sem resolução.

    
por 13.02.2013 / 08:25