・DNS Advent Calendar 2015 - Qiitaの5日目
・Linux Advent Calendar 2015 - Qiitaの5日目
の記事です。
とあるセキュリティアプライアンスを導入したときにハマったこと。
構成は以下の通り。
LANスイッチとルータの間にTransparentモードでセキュリティアプライアンス入れて
アクセスログとかアプリケーションコントロールとかやろうとしたんですね。
で、この構成にしたところ、同一LANにあるクライアント(Windows)から
サーバ(Linux)へのSSHが極端に遅くなりまして。
/etc/ssh/sshd_configのUseDNSをNoにしたところ
クライアント(Windows)→サーバ(Linux)のSSHは速くなりました。
(完全にLinux側の名前解決に問題が生じているな…)
しかしサーバ(Linux)から同一LANのサーバ(Linux)や
インターネット上のサーバ(Linux)へのSSHが遅くなったのは
その場では解決できず、一旦切り戻して検証環境を作って
切り分けをしました。
F/Wポリシーのログを見ると、どうやら戻りの通信を止めているようだ。
なぜ止められているのかはよくわからないのでtcpdumpをとったら
なぜか最初にAAAAを引きにいこうとしている。IPv6無効にしているのに。
で、「CentOS6 名前解決 遅い」でググったら、出てくる出てくる。
しかしそれらしいページを5つ見たら、5つとも違う対処方法が書いてあるw
結局このケースでうまくいったのは以下ページの手法でした。
CentOS6 (RedHat6) 名前解決に時間がかかる。
/etc/resolv.conf内に
options single-request-reopen
を追加したところ見事に解決。
