From josiecki w silvercube.pl  Tue Jul 14 16:05:44 2020
From: josiecki w silvercube.pl (Jacek Osiecki)
Date: Tue, 14 Jul 2020 16:05:44 +0200
Subject: =?utf-8?Q?Fwd=3A_Bind_si=C4=99_wywala_po_upgradzie_=3A=28?=
References: <964CE187-137C-4589-B5B1-D20BA94D4D7C@silvercube.pl>
Message-ID: <743E419C-1F91-4727-AC70-46F39AE9EA4B@silvercube.pl>

Cześć,

byłem głupi i zrobiłem upgrade na starej maszynie.
No i? był sobie bind i już po nim.

Wywala się w taki oto sposób:

Jul 14 15:15:02 mike named[28759]: found 12 CPUs, using 12 worker threads
Jul 14 15:15:02 mike named[28759]: using 12 UDP listeners per interface
Jul 14 15:15:02 mike named[28759]: using up to 21000 sockets
Jul 14 15:15:02 mike named[28759]: loading configuration from '/etc/named.conf'
Jul 14 15:15:02 mike named[28759]: reading built-in trust anchors from file '/etc/bind.keys'
Jul 14 15:15:02 mike named[28759]: looking for GeoIP2 databases in '/usr/share/GeoIP'
Jul 14 15:15:02 mike named[28759]: using default UDP/IPv4 port range: [1024, 65535]
Jul 14 15:15:02 mike named[28759]: using default UDP/IPv6 port range: [1024, 65535]
Jul 14 15:15:02 mike named[28759]: listening on IPv4 interface lo, 127.0.0.1#53
Jul 14 15:15:02 mike named[28759]: udp.c:120: fatal error:
Jul 14 15:15:02 mike named[28759]: RUNTIME_CHECK(res == 0) failed
Jul 14 15:15:02 mike named[28759]: exiting (due to fatal error in library)

Jakiś pomysł?
Znalazłem jeden wynik na forum gentoo, gdzie problem rozbija się o apparmor i uprawnienia - problem w tym, że u mnie apparmora nie ma,
a /var/lib/named ma właściciela ?named?.

bind w wersji 9.16.3-1.

named.conf w zasadzie OOTB:

options {
       directory "/";
       pid-file "named.pid";
       auth-nxdomain yes;
       datasize default;
       listen-on { 192.168.254.1; 192.168.13.1; };
       listen-on-v6 { none; };
};

zone "localhost" IN {
       type master;
       file "M/localhost.zone";
       allow-update { none; };
       allow-transfer { any; };
};

zone "0.0.127.in <http://0.0.127.in/>-addr.arpa" IN {
       type master;
       file "M/127.0.0.zone";
       allow-update { none; };
       allow-transfer { any; };
};

zone "." IN {
       type hint;
       file "root.hint";
};

logging {
       channel xfer-log {
               file "named.log";
               print-category yes;
               print-severity yes;
               print-time yes;
               severity info;
       };
       category xfer-in { xfer-log; };
       category xfer-out { xfer-log; };
       category notify { xfer-log; };
};

Jakieś sugestie?

Pozdrawiam,
? 
Jacek Osiecki
josiecki w silvercube.pl <mailto:josiecki w silvercube.pl>

Jacek Osiecki
josiecki w silvercube.pl <mailto:josiecki w silvercube.pl>






From mailing_ks w infolan.net.pl  Sat Jul 25 17:16:54 2020
From: mailing_ks w infolan.net.pl (Krzysztof Szwaba)
Date: Sat, 25 Jul 2020 17:16:54 +0200
Subject: conntrack - jak =?UTF-8?B?d3nFgsSFY3p5xIc=?=
Message-ID: <20200725171654.05c73f5b@1295szwaba>

Mam w 

# cat /etc/modprobe.d/conntrack-blacklist.conf 
blacklist iptable_nat
blacklist nf_nat
blacklist nf_nat_ipv4
blacklist nf_conntrack
blacklist nf_conntrack_ipv4
blacklist nf_defrag_ipv4

Po restarcie jednak:

# lsmod |grep -i conntrack
conntrack nf_conntrack           94208  2 nf_nat,nf_nat_ipv4

Jak wyłączyć deifnitywnie conntrack w PLD ?

Krzysztof Szwaba


From mateusz-lists w ant.gliwice.pl  Sun Jul 26 11:49:23 2020
From: mateusz-lists w ant.gliwice.pl (Mateusz)
Date: Sun, 26 Jul 2020 11:49:23 +0200
Subject: conntrack - jak =?UTF-8?B?d3nFgsSFY3p5xIc=?=
In-Reply-To: <20200725171654.05c73f5b@1295szwaba>
References: <20200725171654.05c73f5b@1295szwaba>
Message-ID: <2067417.toWUqqHgeB@matkor-lenovo>

On sobota, 25 lipca 2020 17:16:54 CEST Krzysztof Szwaba wrote:
> Jak wyłączyć deifnitywnie conntrack w PLD ?

Może z innej strony:
iptables -t raw -A PREROUTING -j NOTRACK
?

-- 
Mateusz 
(...) mam brata - poważny, domator, liczykrupa, hipokryta, pobożniś,
	krótko mówiąc - podpora społeczeństwa."
		Nikos Kazantzakis - "Grek Zorba"





From mailing_ks w infolan.net.pl  Sun Jul 26 12:39:07 2020
From: mailing_ks w infolan.net.pl (Krzysztof Szwaba)
Date: Sun, 26 Jul 2020 12:39:07 +0200
Subject: conntrack - jak =?UTF-8?B?d3nFgsSFY3p5xIc=?=
In-Reply-To: <2067417.toWUqqHgeB@matkor-lenovo>
References: <20200725171654.05c73f5b@1295szwaba>
 <2067417.toWUqqHgeB@matkor-lenovo>
Message-ID: <20200726123907.2a86080e@1295szwaba>

Dnia 2020-07-26, o godz. 11:49:23
Mateusz <mateusz-lists w ant.gliwice.pl> napisał(a):

> On sobota, 25 lipca 2020 17:16:54 CEST Krzysztof Szwaba wrote:
> > Jak wyłączyć deifnitywnie conntrack w PLD ?
> 
> Może z innej strony:
> iptables -t raw -A PREROUTING -j NOTRACK
> ?
> 

Wolałbym bardziej "niskopiziomowo" (bez angażowania netfiltra).

Na razie ogarnałem wpisami 

rmmod nf_nat_ipv4
rmmod iptable_nat
rmmod nf_nat
rmmod nf_conntrack_ipv4
rmmod nf_conntrack

w rc.local
ale nie jest to eleganckie rozwiązanie
Niestety dodanie w/w wpisów
w stworzonym pliku
/etc/modprobe.d/conntrack-blacklist.conf
nie spowodowało wstrzymania ładowania modulów conntracka przez kernel.

Pozdrawiam
Krzysztof Szwaba