В журналах моего брандмауэра я вижу много подобных записей.
IN= OUT=eth0 SRC=192.168.1.105 DST=208.67.220.220 LEN=148 TOS=0x00 PREC=0xC0 TTL=64 ID=55705 PROTO=ICMP TYPE=3 CODE=3 [SRC=208.67.220.220 DST=192.168.1.105 LEN=120 TOS=0x00 PREC=0x00 TTL=54 ID=0 DF PROTO=UDP SPT=53 DPT=25566 LEN=100 ]
Похоже, что сервер OpenDNS по адресу 208.67.220.220 отправил моему компьютеру какое-то сообщение по UDP с порта 53, и мой компьютер пытается ответить кодом ICMP типа 3 (который блокирует мой брандмауэр, поскольку я настроил его на блокировку ICMP, за некоторыми исключениями).
ICMP-сообщение типа 3, исходящее от серверов OpenDNS, имело бы смысл, поскольку мой компьютер попытался бы запросить их серверы, но я не понимаю, зачем моему компьютеру пытаться отправить это сообщение на их серверы, если только их серверы не пытались запросить мой собственный компьютер о каком-то пункте назначения, а я не понимаю, зачем их серверы это делают.
Является ли этот UDP-пакет, приходящий с их серверов, каким-то запросом?
Что тут происходит?
решение1
Вы случайно не используете Chrome на компьютере с IP 192.168.1.105? Похоже, Chrome пытается выполнить предварительную выборку с использованием ICMP для OpenDNS.
http://productforums.google.com/forum/#!topic/chrome/spzCFoXR7m4
Пожалуйста, см. справочную ссылку. Кажется, отключение предварительной выборки DNS возможно.
Вы можете отключить его, следуя инструкциям здесь:
http://www.google.com/support/forum/p/Chrome/thread?tid=7e45d89c67905b20&hl=en
EDIT #1: Дополнительный вопрос
@ProxyNinja задал следующий вопрос в комментариях ниже:
Но ICMP тип 3 звучит как ответ на запрос. Как бы он использовался в предварительной выборке?
На что я ответил:
Я предполагаю, что выполнение пинга таким образом заставляет локальный резолвер делать DNS-запрос, тем самым заставляя его быть разрешенным заранее. Пинг не имеет значения, им нужно разрешение DNS, которое он вызывает.
решение2
Это ожидаемое поведение для систем, работающих под управлением dnsmasq.
ICMP тип 3 — «Destination Unreachable». Это означает, что ваш DNS-сервер верхнего уровня пытался отправить вам ответ, а порт в вашей системе для получения порта закрылся до того, как пришел ответ.
Вы упоминаете в своих комментариях в другом ответе, что вы используете dnsmasq. По умолчанию, когда dnsmasq имеет несколько определенных серверов upstream, каждые столько-то запросов он будет отправлять свой запрос upstream навсеиз них. Это помогает ему выяснить, какие серверы в данный момент отвечают, а какие самые быстрые. Обычно после получения ответа от самого быстрого он закрывает порт. Если от других DNS-серверов поступают дальнейшие ответы, значит, больше нет приложения, которое их прослушивает, поэтому система, на которой находится dnsmasq, отвечает сообщением ICMP «Destination Unreachable». На самом деле это не должно вызывать никаких проблем, кроме небольшого дополнительного трафика, отображаемого в ваших журналах.
Более подробную информацию смотрите в комментарияхОшибка Debian №580064, где кто-то сообщает об этой проблеме, а главный разработчик dnsmasq отвечает, что это ожидаемое поведение.