错误日志类似:

1. ---------------

network unreachable resolving './NS/IN': 2001:503:ba3e::2:30#53
network unreachable resolving 'NS1.APNIC.NET/A/IN': 2001:503:c27::2:30#53
network unreachable resolving 'NS1.APNIC.NET/AAAA/IN': 2001:503:c27::2:30#53
network unreachable resolving 'TINNIE.ARIN.NET/AAAA/IN': 2001:7fd::1#53
network unreachable resolving 'TINNIE.ARIN.NET/AAAA/IN': 2001:500:2f::f#53
network unreachable resolving 'NS1.APNIC.NET/AAAA/IN': 2001:dc0:2001:0:4608::25#53
network unreachable resolving 'NS4.APNIC.NET/AAAA/IN': 2001:dc0:4001:1:0:1836:0:140#53
network unreachable resolving 'SEC1.AUTHDNS.RIPE.NET/AAAA/IN': 2001:503:a83e::2:30#5


----------------------------------------------------------

解决方法
第一种:直接编译配置文件/etc/sysconfig/named,去除去IPv6的解析,只解析IPv4(这种方法方便,呵呵)
OPTIONS="whatever" 改为  OPTIONS="-4",注意OPTIONS选项的值可以是:whatever、-4、-6中的一个

suse系统中改的:

#added by laguna 20131031

OPTIONS="-u bind -4"

第二种:禁用ipv6

echo "alias net-pf-10 off" >>/etc/modprobe.conf.local

echo "alias ipv6 off">>/etc/modprobe.conf.local

options ipv6 disable=1


NETWORKING_IPV6=no


不过重启named后仍然有如下的报错,今晚重启后再看看


2. -----------------------------------

/var/log/messages下始终有“the working directory is not writable”出现

解决办法:

因为master dns server的zone directory是不需要有写入行为的,所以其实提示“the working directory is not writable”并不影响bind的正常使用。如果你的是slave server,那么根据它的提示,把SELinux中的相关选项设为1: 
setsebool -P named_write_master_zones=1  (不过我并没有实际操作)

----------------------------------------------------------

3.  禁止和恢复ping命令

 使ping没反应,忽略icmp包,输入:
 echo 1 > /proc/sys/net/ipv4/icmp_echo_igore_all ;
 恢复使用ping命令,输入:
 echo 0 > /proc/sys/net/ipv4/icmp_echo_igore_all 命令

用iptables也可以达到效果,

ping所使用的icmp类型
8 为回显请求echo-request  拒绝请求     ping: sendmsg: Operation not permitted

0为回显应答echo-reply 丢弃回显应答包    无反应

iptables  -A INPUT -p icmp --icmp-type 8 -s 0/0-j DROP  别人无法Ping通你

iptables -A OUTPUT -p icmp --icmp-type 0 -s 192.168.29.1 -j DROP  你无法ping通别人

iptables -A OUTPUT -p icmp --icmp-type 0  -j DROP


本插件使用Traceroute探测来获取扫描器与远程主机之间的路由信息。***者也可以利用这些信息来了解目标网络的网络拓扑。

#trace route探测解决

iptables -A INPUT -p icmp --icmp-type 11 -j DROP 或 iptables -A INPUT -p icmp --icmp-type time-exceeded -j DROP

iptables -A FORWARD -p icmp --icmp-type 11 -j DROP

远程主机会回复ICMP_TIMESTAMP查询并返回它们系统的当前时间。这可能允许***者***一些基于时间认证的协议

* 在您的防火墙上过滤外来的ICMP timestamp(类型 13)报文以及外出的ICMP timestamp回复报文

#ICMP timestamp请求响应漏洞解决

iptables -A INPUT -p icmp --icmp-type 13 -j DROP 或 iptables -A INPUT -p icmp --icmp-type timestamp-request -j DROP

iptables -A OUTPUT -p icmp --icmp-type 14 -j DROP 或 iptables -A OUTPUT -p icmp --icmp-type timestamp-reply -j DROP