netfilter module - domain v0.0.2 发布

platinum

原帖由 bleach 于 2006-12-1 00:28 发表
如果网关和DNS服务器在一台机器上，这个就失效啦 呵呵

为什么失效呢？你是如何设置的？

bleach

原帖由 platinum 于 2006-12-1 08:44 发表

为什么失效呢？你是如何设置的？

我的网关上有DNS，当我把主机的DNS设置为网关时，我安装完模块怎么测试都不成功，以为是自己防火墙的问题，查了又查就是不起效，后来我把DNS改成是我们这个城市的DNS ，这个模块才生效的。

我的理解 当DNS指定为网关时，主机和网关在同一个C段，他们俩通信不需要走FORWARD
主机把查询域名发给网关DNS，网关DNS接到查询先再自己的DNS CACHE里找，如果找不到，将这个查询发给外界DNS（202.96.128.86）,外面的DNS给网关一个解析IP结果，网关就开始根据IP去路由啦。
这个查询是网关上的DNS发出的，和FORWARD链不产生关系。而当你把主机的DNS直接设置为外界DNS（202.96.128.86）,模块便生效啦。
后来我又把DNS设置为网关，在INPUT链做的DROP，结果网变得超级慢，约半分钟规则里被DROP的站还是被打开了。
后来就没再测下去~

platinum

既然网关做 DNS，那就应该设置在 INPUT 链咯

bleach

原帖由 platinum 于 2006-12-1 11:12 发表
既然网关做 DNS，那就应该设置在 INPUT 链咯

做了，之后访问什么网站都变的超级慢~~

platinum

我认为慢的原因未必是这个造成的，可否在 client 上抓包看看究竟？

bleach

原帖由 platinum 于 2006-12-1 12:50 发表
我认为慢的原因未必是这个造成的，可否在 client 上抓包看看究竟？

现在大家都在上网 晚上有时间我再弄吧

ssffzz1

你把DNS查询DROP了,而CLIENT端会不断的重试解析域名,当然慢了.

platinum

原帖由 ssffzz1 于 2006-12-2 18:29 发表
你把DNS查询DROP了,而CLIENT端会不断的重试解析域名,当然慢了.

但如果 DNS 使用的是公网，在 FORWARD 链里 DROP 就一点都不慢
DNS 是 server，在 INPUT 里 DROP 我目前没办法测试，因为我使用的不是标准内核，bind 需要重新编译，而我的 gcc 又坏了一直没弄

ssffzz1

这两种情况我都试过,用DROP,CLIENT应该都会慢,不过应该影响不太的,估计是因为UDP协议的原因.

platinum

建议不要 DROP，用 REJECT，返回一个 network unreachable 的 icmp 包比较好，可以缩短时间