Почему часть ответов с внутреннего DNS сервера пустые(ServFail)?

Question

[juffinhalli]

Дано:
Локальная сеть на 100 машин
Шлюз под управлением Debian 7 i386 с двумя сетевыми
На шлюзе установлен кеширующий dns сервер
Канал доступа в интернет 15Мбит\с, витая пара до маршрутизатора провайдера.
Клиенты: Windows XP, 7, Ubuntu, Debian.

Проблема: часть ответов с внутреннего DNS сервера пустые(ServFail)?
Доступ на интернет сайты очень затруднён.

Условия:
в нерабочее время проблема не наблюдается
При наблюдении проблемы:
Загруженность сервера
Команда dig к серверу
Загруженность локального интерфейса
Загруженность интерфейса к провайдеру
tcpdump на 53 порту локального интерфейса
Статистика powerdns-server

Список безуспешных попыток решения проблемы:

1. Чистый Ubuntu на шлюзе вместо Debian.
2. pdns-server + pdns-recursor вместо dnsmasq
3. squid с фильтрами вместо прямого доступа в интернет
4. Шлюз на реальном железе вместо виртуальной машины

Заранее спасибо за ценные советы

Answer 1

[s1dney]

Вам надо не статистику смотреть, а влючить логи pdns.
servfail должен логироваться всегда.

Comments

[juffinhalli]

Включил подробные логи, появлиось понимание разницы между форвардером и рекурсором. Завтра начну изучать баг.

[juffinhalli]

В логах видны timeout до dns-серверов. Буду звонить провайдеру

Answer 2

[juffinhalli]

[РЕШЕНО] На каждом сервере надстройка над iptables по-умолчанию блокировала udp соединения свыше установленного лимита. Вылечил отключением лимита