Jakým způsobem lze konfigurovat unbound, aby za sebou nezanechával obrovské množství otevřených připojení na portu 53. Můj ISP limituje množství aktivních připojení, a po vyčerpání se mi dramaticky zpomalí net (velmi dlouho trvá už jen resolving) … Už se to tady jednou řešilo, ale nevyřešilo. Díky.
Edit: Luci ukazuje počet aktivních připojení, víte někdo, jak to zjišťuje? Jít na “Grafy v reálném čase” generuje další kvanta spojení, jak se ten “graf” snaží přeložit IP adresy na “čtivá jména”. Díky
To budou jistě převážně UDP “spojení”, protože je zvykem na každý packet použít nový zdrojový port (zlepšuje to bezpečnost, mírně).
- “řídím” se tím, co mi říká Luci, a počet, který mě vyprovokoval k napsání postu, byl cca 2500 spojení.
- ve smlouvě nee, ale máme mezi sebou “gentlemanskou” dohodu o 500 aktivních připojeních. Na ISP jsem připojen přes wifi, pokud si dobře pamatuju, když omezení nebylo, zahltilo to síť tak, že její průchodnost byla špatná, proto ta omezení.
- nevím, ale předpokládám (jak mezitím napsal @vcunat, že to budou převážně UDP). Pokud poradíte, jak zjistit, zlobit se nebudu
- tak to už je i na mně “vysoké dívčí”, netuším , kde a jak zjistit a nastavit.
Btw, nemáte představu, jak se “dopočíst” těch čísel , která zobrazuje Luci? Netstat (netstat -an | wc -l) mi ukazuje jen zlomek toho, co Luci.
Asi bych použil conntrack -L. Na ten luci graf pozor, protože sám umí generovat hodně velké množství spojení (to se tu řešilo dříve).
Myslel jsem právě uvolnit místo pro UDP dřívějším zavíráním TCP. Ale takto velké číslo jako 2500 UDP jsem opravdu nečekal - to hrátky s TCP nepomůžou.
Hmmm. Zahazovat spojení u sebe na firewallu vyjde myslím úplně na stejno jako když je dropne ISP. Ale pokud se chceš drbat levačkou za pravým uchem, můžeš zkusit třeba přes VPN tunel směrovat UDP53. Takže u sebe jich uvidíš třeba 2.5K ale přes ISP to poteče jedním spojením. Jen nápad mělo by to fungovat…
conntrack vers Luci : ~400/~600 , pořád jsem na trošku jiných číslech, otázka pak zní, čemu věřit
Jen upřesním, že mám vyplé přeposílání.
Ještě mě napadlo, jestli nějaký klient nemá nastaveno vlastní DNS servery namísto DNS z DHCP. Třeba moje TV se co vteřinu ptala přímo na *.root-servers.net aby zjistila, jestli je připojená na internet. Můžeš zkusit na firewallu přesměrovat všechny dotazy na UDP53 na 192.168.1.1.
Pak by to měl mít v cache local resolver a neposílat dotazy ven.
iptables -t nat -A PREROUTING -i br-lan -p udp --dport 53 -j DNAT --to 192.168.1.1
Sic mám doma vše přes DHCP, ale dětičky jsou vynalézavé a na jejich strojích může být nastavení jinak, bude kontrola 
To nastavení iptables se mi líbí, zkusím a uvidíme. Díky
Jenom nezapomeň, že klient může mít sice DNS z DHCP, ale některé aplikace můžou mít natvrdo zakódováno vlastní DNS. Typicky GOOGAPS se ptají přímo svých 8.8.8.8
Btw, pocet spojeni v Luci odpovida prikazu conntrack -C
Vrátil jsem se z práce domů a 4300~ spojení, dle conntrack v tom cca 4000 se src=WAN adresa routeru, více jsem nestihl prozkoumat, než to zase kleslo k cca 600 … jdu psát script, který mi to tu nějak “spočte” přes zařízení, je to pořád více divné.
Edit: jak tak na to koukám, v tom celkovém počtu je i nezanedbatelné množství spojení, kde src i dst je 127.0.0.1 … už nevím, jak to uchopit.
Tak jako jediné použitelné řešení se ukázalo změnit DNS klientů v síti z Turrise na DNS server poskytovatele, unbound na Turrisu prostě dělá problémy a řešením je ho obejít (ač tím ztrácím výhody DNSSEC, ale k čemu je mi DNSSEC bez funkčního připojení 
)