dns报错问题

错误日志类似：

1. ---------------

network unreachable resolving './NS/IN': 2001:503:ba3e::2:30#53
network unreachable resolving 'NS1.APNIC.NET/A/IN': 2001:503:c27::2:30#53
network unreachable resolving 'NS1.APNIC.NET/AAAA/IN': 2001:503:c27::2:30#53
network unreachable resolving 'TINNIE.ARIN.NET/AAAA/IN': 2001:7fd::1#53
network unreachable resolving 'TINNIE.ARIN.NET/AAAA/IN': 2001:500:2f::f#53
network unreachable resolving 'NS1.APNIC.NET/AAAA/IN': 2001:dc0:2001:0:4608::25#53
network unreachable resolving 'NS4.APNIC.NET/AAAA/IN': 2001:dc0:4001:1:0:1836:0:140#53
network unreachable resolving 'SEC1.AUTHDNS.RIPE.NET/AAAA/IN': 2001:503:a83e::2:30#5

----------------------------------------------------------

解决方法
第一种：直接编译配置文件/etc/sysconfig/named，去除去IPv6的解析，只解析IPv4（这种方法方便，呵呵）
OPTIONS="whatever" 改为  OPTIONS="-4"，注意OPTIONS选项的值可以是：whatever、-4、-6中的一个

suse系统中改的：

#added by laguna 20131031

OPTIONS="-u bind -4"

第二种：禁用ipv6

echo "alias net-pf-10 off" >>/etc/modprobe.conf.local

echo "alias ipv6 off">>/etc/modprobe.conf.local

options ipv6 disable=1

NETWORKING_IPV6=no

不过重启named后仍然有如下的报错，今晚重启后再看看

2. -----------------------------------

/var/log/messages下始终有“the working directory is not writable”出现

解决办法：

因为master dns server的zone directory是不需要有写入行为的，所以其实提示“the working directory is not writable”并不影响bind的正常使用。如果你的是slave server，那么根据它的提示，把SELinux中的相关选项设为1：　
setsebool -P named_write_master_zones=1  （不过我并没有实际操作）

----------------------------------------------------------

3.  禁止和恢复ping命令

 使ping没反应，忽略icmp包，输入：
 echo 1 > /proc/sys/net/ipv4/icmp_echo_igore_all ；
 恢复使用ping命令，输入：
 echo 0 > /proc/sys/net/ipv4/icmp_echo_igore_all 命令

用iptables也可以达到效果，

ping所使用的icmp类型：
8 为回显请求echo-request  拒绝请求     ping: sendmsg: Operation not permitted

0为回显应答echo-reply 丢弃回显应答包    无反应

iptables  -A INPUT -p icmp --icmp-type 8 -s 0/0-j DROP  别人无法Ping通你

iptables -A OUTPUT -p icmp --icmp-type 0 -s 192.168.29.1 -j DROP  你无法ping通别人

iptables -A OUTPUT -p icmp --icmp-type 0  -j DROP 

本插件使用Traceroute探测来获取扫描器与远程主机之间的路由信息。攻击者也可以利用这些信息来了解目标网络的网络拓扑。

#trace route探测解决

iptables -A INPUT -p icmp --icmp-type 11 -j DROP 或 iptables -A INPUT -p icmp --icmp-type time-exceeded -j DROP

iptables -A FORWARD -p icmp --icmp-type 11 -j DROP

远程主机会回复ICMP_TIMESTAMP查询并返回它们系统的当前时间。这可能允许攻击者攻击一些基于时间认证的协议

* 在您的防火墙上过滤外来的ICMP timestamp（类型 13）报文以及外出的ICMP timestamp回复报文

#ICMP timestamp请求响应漏洞解决

iptables -A INPUT -p icmp --icmp-type 13 -j DROP 或 iptables -A INPUT -p icmp --icmp-type timestamp-request -j DROP

iptables -A OUTPUT -p icmp --icmp-type 14 -j DROP 或 iptables -A OUTPUT -p icmp --icmp-type timestamp-reply -j DROP