Добрый день, интересует следующая проблема.

Есть D-link 500T (V1.00B02T02.RU.20041014)
Настроен в режим роутера с натом.

Хотелось бы уточнить о работе опции DNS relay. Ибо на модеме опция DNS Relay sselection стоит в режиме Use auto discodered DNS server only и прописаны два наших DNS сервера.

А вопрос собсно в следующем, хоть и отчасти обсурдный, может ли данная опция влиять на то что модем с определенной периодичность,раз в час обращается на указанные ДНС и проксирует данные из них к себе??

Вопрос бы не возник, но клиент клянется всеми клятвами что все хосты в ЛАН выключает а трафик все равно идет.

Что скажете?

пусть клиент сменит прошивку, 1.00 многолетней давности
текущая версия - 3.x

http://ftp.dlink.ru/pub/ADSL

на модеме стоит Dproxy
http://dproxy.sourceforge.net/

Спасибо, знаю что старая прошивка. прошивать то умеем.
просто всилу того что железка и клиент сильно удалены и не грамотны в этом плане, не могу понять, использует ли клиент DNS-relay и поэтому за час я фиксирую порядка 10-20 Мб входящего трафика с 53 порт наших ДНС на IP адрес модема. Либо же клиент в своей локалке за НАТом имеет какие-то сервисы, которые раз в час апдейтятся с нашего внешнего ДНС

я вот думаю, что если генерировать огромное количество запросов с клиентских компов, используя функцию модема DNS Relay, то в итоге думаю реально за час сгенерит DNS трафик между внешним ДНС и проксирующим ДЛинком в размере 10-20 Мб за час?

А нет ли у 500Т в запущенных по дефолту службах сервисов типа попыток резольвить ip адрес пришедшего пакета в хостнэйм?

А то уже третий клиент обращается с такой же проблемой. т.е. в большом количестве ДНС трафика между Dlink-500T и нашими ДНС серверами.

DNS Relay в DSL-500T работает следующим образом:
1. От клиента в локальной сети к модему приходит запрос на ресолв доменного имени. Данная операция осуществляется только в том случае, если на данном хосте в качестве IP адреса DNS сервера указан IP адрес LAN интерфейса модема.

2. Модем получает данный запрос и перенаправляет его на один из указанный в его настройках DNS серверов. Сам модем не осуществляет ресольвинг, так как не является кеширующим DNS сервером.

Исходя из вышесказанного, модем не осуществляет обращения к вышестоящим DNS серверам с целью обновления свих DNS баз (по причине отсутствия последних).

_________________
С уважением, Давыдов Денис.

В дополнение у моему предыдущему посту: возможно, в локальной сети клиента активно работают какие то сервисы (в худшем случае - вредоносное ПО), которые генерируют такой объем DNS запросов.
DSL-500T всего лишь осуществляет "пересылку" данных запросов, а так как в устройстве работает NAT - Вы видите Source IP (WAN интерфейс модема) в поступающих DNS запросах.

_________________
С уважением, Давыдов Денис.

Огромное спасибо за ответ. Это я уже понял насчет DNS-Relay.
Я как it инженер редко верю словам клиента что мол они такие невиновные и откудато взялся трафик.
НО, обратилось уже трое и все божатся что на ночь скажет отключают все свои хосты, а ДНС трафик судя по данным netflow продолжает идти. (как вы правильно подметили с WAN ip адреса модема, на модеме NAT)
Настораживает тот факт что у всех клиентов dlink-500T, и похоже у троих прошивка v1.
На наших обоих ДНС стоит солярка, доступ по ссш открыт только для наших сотрудников, с наших же рабочих адресов. В логах серваков пусто, ибо не запущен пакетный фильтр, по которому было бы более ясно насчет приходящих с IP адреса модема запросов.

Что еще интереснее проблема имела место только в январе (как буд-то какой-то вирус чтоли прошел по сети в те дни, вот клиенты на радостях и назаражались)

Вот и ломаю голову какой день в чем может быть причина.
Хотя всеже склонен думать что клиент врет и компы всетаки были включены.
Буду рад любым советам.

Могу дать всего лишь один совет в данной ситуации:
попросить "проблемных" клиентов на время настроить модем в режиме Bridge, настроить подключение средствами операционной системы компьютера (StaticIP, DynamicIP, PPPoE - вобщем то, что используется) и посмотреть на результат.

_________________
С уважением, Давыдов Денис.

Идея хорошая, только жаль что проблема имела место только в январе.
Думаю тему можно закрывать, ибо тестов уже не провести, а если повторится проблема тогда и будет предмет для продолжения рассмотрения.
Спасибо всем ответившим!!
С уважением.