
Here is my Iptables configuration for bind :<br><br># <a href="http://prod.dns.in">prod.dns.in</a><br>$IPTABLES -t filter -A INPUT -j LOGACCEPT -p udp --dport 53 -i eth1-d 192.168.201.2 -s 0/0<br>$IPTABLES -t filter -A INPUT -j LOGACCEPT -p tcp --dport 53 -i eth1 -d 192.168.201.2 -s 0/0<br>

<br><br># OUTPUT<br>#-------------<br># prod.dns.out<br>$IPTABLES -t filter -A OUTPUT -j LOGACCEPT -p tcp --dport 53 -o eth1 -s 192.168.201.2 -d 0/0<br>$IPTABLES -t filter -A OUTPUT -j LOGACCEPT -p udp --dport 53 -o eth1 -s 192.168.201.2 -d 0/0<br>

<br>My issue is between two Bind servers. The one having the error messages, is my Public DNS server, used by the internal server as forwarders.<br>here is the drop from the firewall. <br><br> [FW-DROP] IN= OUT=eth1 SRC=192.168.200.2 DST=192.168.201.1 LEN=81 TOS=0x00 PREC=0x00 TTL=64 ID=65231 PROTO=UDP SPT=53 DPT=37513 LEN=61 UID=108 GID=111<br>

<br>doesn't seems to be a TCP issue as the packet is UDP.<br><br>Any idea ? <br><br>Regards,<br><br><div class="gmail_quote">On 12 March 2012 18:00, Chuck Swiger <span dir="ltr"><<a href="mailto:cswiger@mac.com">cswiger@mac.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Mar 12, 2012, at 8:09 AM, Romgo wrote:<br>

> Dear community,<br>

><br>

> I do have many error in my Bind's log file such as :<br>

><br>

> client 192.168.201.1#29404: error sending response: host unreachable<br>

><br>

> It seems that I have an iptables issue as each time I shut iptables I don't have anymore this message showing up.<br>

<br>

</div>You're probably exhausting the firewall state table with DNS traffic under load, causing the traffic to be blocked with an ICMP "host unreachable" response.<br>

<div class="im"><br>

> I saw that my firewall is dropping packets from the DNS server itself towards the client, as the source port is SPT=53/UDP.<br>

><br>

> I am using bind 9.6, it should use random port >1024 for the source port. (I didn't specify query-source parameter).<br>

><br>

> Nevertheless dns resolution seems to be working find.<br>

<br>

</div>Adjust your firewall to permit UDP and TCP traffic needed for DNS without keeping state, or only keep state on external traffic, but not between your nameserver(s) and your local clients...<br>

<br>

Regards,<br>

<span class="HOEnZb"><font color="#888888">--<br>

-Chuck<br>

<br>

<br>

</font></span></blockquote></div><br>