本地端口和运输端口之间的差异 UDP 使用 dig 在名称服务器转换器上 Debian

当我转向我当地的港口范围时 Debian 7, 我看到我的临时端口范围：

cat /proc/sys/net/ipv4/ip_local_port_range

32768   61000

我的

        /etc/sysctl.conf

      

空的。

这通常意味着该名称服务器转换器的所有请求必须使用此范围的端口。 但是，使用

        tcpdump

      

, 当我看待请求并回答 DNS, 用帮助创造

        dig

      

, 我看到请求可以使用货件端口 1500.

例如，如下

        tcpdump

      

例子 (

        tcpdump udp and port 53 and host server.domain

      

), 请求来自港口 15591. 它远低于我们之前看到的短暂港口的最低服务器端口限制： 32768. 换句话说，使用

        dig

      

, 询问 DNS 超越本地端口的范围。

11:57:33.704090 IP baremetal.15591 > M.ROOT-SERVERS.NET.domain: 41939% [1au] A? r.arin.net. (39)

11:57:33.704400 IP baremetal.41573 > M.ROOT-SERVERS.NET.domain: 40945% [1au] A? t.arin.net. (39)

11:57:33.704541 IP baremetal.22658 > M.ROOT-SERVERS.NET.domain: 44090% [1au] AAAA? t.arin.net. (39)

11:57:33.705295 IP baremetal.13277 > M.ROOT-SERVERS.NET.domain: 42356% [1au] A? v.arin.net. (39)

11:57:33.705499 IP baremetal.48755 > M.ROOT-SERVERS.NET.domain: 32253% [1au] A? w.arin.net. (39)

11:57:33.705639 IP baremetal.55309 > M.ROOT-SERVERS.NET.domain: 64660% [1au] AAAA? w.arin.net. (39)

11:57:33.705812 IP baremetal.56652 > M.ROOT-SERVERS.NET.domain: 43023% [1au] A? y.arin.net. (39)

11:57:33.706012 IP baremetal.26383 > M.ROOT-SERVERS.NET.domain: 42377% [1au] AAAA? y.arin.net. (39)

11:57:33.706172 IP baremetal.12895 > M.ROOT-SERVERS.NET.domain: 13206% [1au] AAAA? z.arin.net. (39)

我想知道什么可以改变我的短暂港口的范围 Debian 7 和 8. 也许是值得一提的唯一的事情。 我在其中一个人

        ifenslave

      

和一个用途

        ifenslave

      

连接两个端口 Ethernet.

解析器。 - 这是服务器本身和

#cat /etc/resolv.conf

nameserver ::1

但他和他一样

        nameserver 127.0.0.1

      

因为 ipv4 和 ipv6 共享

        /proc/sys/net/ipv4/ip_local_port_range

      

(
http://www.tldp.org/HOWTO/Linu ... .html
) 我也试过。

避免混淆 IPv6, 我决定只使用 Ipv4. 我只补充了

        nameserver 127.0.0.1

      

到

        /etc/resolv.conf

      

.

结果低于C.

        nameserver 127.0.0.1

      

在

        /etc/resolv.conf

      

只要。

然后我发布了

        rndc flush

      

清除kesh. DNS 从转换器I.

        dig google.com

      

我打开了第二个终端窗口并得分

        tcpdump udp and port 53

      

:

许多记录，但我注意到，无论要求如何 (A, PTR ...) 和主机，DNS请求可以从下面的端口发货 32768

>strace -f dig www.google.com 2>&1 | egrep 'sendmsg|recvmsg|connect|bind'

open("/usr/lib/libbind9.so.80", O_RDONLY) = 3

[pid 10651] bind(20, {sa_family=AF_INET, sin_port=htons(0), sin_addr=inet_addr("0.0.0.0")}, 16) = 0

[pid 10651] recvmsg(20, 0x7f5dd95cab60, 0) = -1 EAGAIN (Resource temporarily unavailable)

[pid 10651] sendmsg(20, {msg_name(16)={sa_family=AF_INET, sin_port=htons(53), sin_addr=inet_addr("127.0.0.1")}, msg_iov(1)=[{"\251\261\1\0\0\1\0\0\0\0\0\0\3www\6google\3com\0\0\1\0\1", 32}], msg_controllen=0, msg_flags=0}, 0 <unfinished ...="">

[pid 10651] &lt;... sendmsg resumed&gt; )     = 32

[pid 10651] recvmsg(20, {msg_name(16)={sa_family=AF_INET, sin_port=htons(53), sin_addr=inet_addr("127.0.0.1")}, msg_iov(1)=[{"\251\261\201\200\0\1\0\1\0\4\0\4\3www\6google\3com\0\0\1\0\1"..., 65535}], msg_controllen=32, {cmsg_len=32, cmsg_level=SOL_SOCKET, cmsg_type=0x1d /* SCM_??? */, ...}, msg_flags=0}, 0) = 184

这个问题与我的防火墙有关。 由于临时港口可以发出 (我自己的假设) 经过 1024 到 65000, 这意味着我无法阻止来自上面的端口的传入流量 1024, 如在过去的。 如果我这样做，我会减慢或阻止许可 DNS.

更新：谢谢，我明白，如果我想用服务器作为转换器 DNS, 这意味着我必须考虑到港口范围 UDP 1024: 65535 这是一个临时端口范围。
</unfinished>