Главная » Форум » Gentoo Linux » Системное администрирование

[SOLVED] Проблема с DNS сервером, не ресолвятся

beba 23 января, 2012 - 16:16

Здравствуйте..
Не понимаю проблемы, аналогично настраивал примерно 12-13 маршрутизаторов. Сейчас они работают, а с одним какой то трабл :(
До того как писать обновил систему, но проблема была и до этого. Причем nmap-ом проверяю, порт 53 на этих серверах в статусе open.
В фаерволе временно поставил ACCEPT на все OUTPUT, FORWARD.. и ACCEPT на 53 порт INPUT для всех от всех.
Схема работы такая: маршрутизатор с двумя сет. интерфейсами. В одну сторону локальная сеть, в другую модем в режиме бриджа.
Мучаюсь уже третий день, может у кого есть идеи?.
Спасибо

консоль:

iceplace distfiles # nslookup www.ya.ru
;; connection timed out; no servers could be reached

iceplace distfiles # 
iceplace distfiles # 
iceplace distfiles # nslookup www.ya.ru
;; connection timed out; no servers could be reached

iceplace distfiles # nslookup localhost
;; connection timed out; no servers could be reached

iceplace distfiles # cat /etc/resolv.conf 
# Generated by dhclient for interface eth0
#nameserver 86.57.160.55
nameserver 194.158.202.57
nameserver 193.232.248.2
iceplace distfiles # dig www.ya.ru

; <<>> DiG 9.8.1 <<>> www.ya.ru
;; global options: +cmd
;; connection timed out; no servers could be reached

Решение.
Оказалось что с 1ого числа для гос учреждение РБ включили фильтрацию. Надо указывать специальный ДНС для этих организаций.

‹ GitlabHQ PPTP сервер ›
»

beba написал(а):В фаерволе

Автор izbushka, дата создания 23 января, 2012 - 16:21.
beba написал(а):
В фаерволе временно поставил ACCEPT на все OUTPUT, FORWARD.. и ACCEPT на 53 порт INPUT для всех от всех.

и tcp и udp?

Роут до днс-ов прописан и доступен?

»

Роут до dns проверяли? Telnet

Автор DMajere, дата создания 23 января, 2012 - 16:51.

Роут до dns проверяли? Telnet на порт?

»

.

Автор Anarchist, дата создания 24 января, 2012 - 09:45.
beba написал(а):
В фаерволе временно поставил ACCEPT на все OUTPUT, FORWARD.. и ACCEPT на 53 порт INPUT для всех от всех.

Во-первых: не "файрволл", а "пакетный фильтр" (мы всё же на русскоязычном форуме, так давайте говорить по-русски);
Во-вторых: лучше бы журналирование настроил и включил.

beba написал(а):
Мучаюсь уже третий день, может у кого есть идеи?.

По моему опыту отладки DNS'а: хоть работоспособность по протоколу tcp и заявлена, но...
IRL в рамках наблюдаемых сетей (правда моему опыту почти год) DNS всё ещё преимущественно UDP-протокол (и без доступности UDP-портов работать оно скорее всего не будет).

:wq
--
Live free or die

»

всем спасибо за ответы.

Автор beba, дата создания 24 января, 2012 - 15:08.

всем спасибо за ответы. извиняюсь за долгий ответ, пришлось отъезжать по работе.. вернулся лишь сегодня..

по поводу маршрутов, пинг проходит.. в таблице маршрутизации стоит по умолчанию отправлять на dev ppp0 (т.е. на ип адрес, который выдается интернет провайдером) :

iceplace ~ # ping 194.158.202.57
PING 194.158.202.57 (194.158.202.57) 56(84) bytes of data.
64 bytes from 194.158.202.57: icmp_req=1 ttl=61 time=23.8 ms
64 bytes from 194.158.202.57: icmp_req=2 ttl=61 time=17.7 ms
64 bytes from 194.158.202.57: icmp_req=3 ttl=61 time=17.6 ms
64 bytes from 194.158.202.57: icmp_req=4 ttl=61 time=17.9 ms
^C
--- 194.158.202.57 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3005ms
rtt min/avg/max/mdev = 17.632/19.300/23.811/2.607 ms

по поводу телнета, отрабатывает:

iceplace distfiles # telnet 194.158.202.57 53
Trying 194.158.202.57...
Connected to 194.158.202.57.
Escape character is '^]'.
^C^ZConnection closed by foreign host.

в пакетном фильтре )) прописано следующее, касательно задачи (насколько могу судить)

# Set default policies for the INPUT, FORWARD and OUTPUT chains
$iptables -P INPUT DROP
$iptables -P OUTPUT ACCEPT
$iptables -P FORWARD ACCEPT

# dns
$iptables -A INPUT -s 0/0 -p tcp --dport 53 -j ACCEPT
$iptables -A INPUT -s 0/0 -p udp --dport 53 -j ACCEPT

по поводу журналирования,.. в принципе syslog я настраивал.. но ничего там особенного не нахожу в логах.. на что стоит обратить внимание?

»

А днс этому клиенту настроен

Автор izbushka, дата создания 24 января, 2012 - 16:11.

Днс этому клиенту настроен отвечать? Посмотрите его логи, если есть доступ.
А если так: 

dig www.ya.ru @194.158.202.57
»

iceplace syslog-ng # dig

Автор beba, дата создания 24 января, 2012 - 17:43.
iceplace syslog-ng # dig www.ya.ru @194.158.202.57

; <<>> DiG 9.8.1 <<>> www.ya.ru @194.158.202.57
;; global options: +cmd
;; connection timed out; no servers could be reached

это ДНС провайдера.. он настроен отвечать мне.. пробовал и ДНС гугла публичные..
все равно такая же проблема (

»

.

Автор alexpro, дата создания 25 января, 2012 - 00:04.

Без DNS по IP все работает?
Если посмотреть tcpdump или trafshow, от какого адреса идет обращение к DNS? И есть ли траффик обратно? Вообще, как настроены интерфейсы/роутинг? Применяются ли иные протоколы, кроме IPv4?

И да, если туда же включить другую систему, работает нормально? Вдруг провайдер блокирует, или банально глючит его оборудование...

»

спасибо

Автор beba, дата создания 25 января, 2012 - 03:28.

> Без DNS по IP все работает?
да

> Применяются ли иные протоколы, кроме IPv4?
нет

> Вообще, как настроены интерфейсы/роутинг?
интефейс
http://pastebin.com/DQDNtQ3D
роуты
http://pastebin.com/Qd8xDLn7

> Если посмотреть tcpdump или trafshow, от какого адреса идет обращение к DNS?
Делаю trafshow, выбираю интерфейс ppp0. Далее делаю dig www.ya.ru @194.158.202.57.
Наблюдаю след. строчку.. 

Source                    Dest                           Prot                  Size                  CPS 
178.124.209.163,37952     194.158.202.57,domain          udp                   110                   21

делаю tcpdump, потом dig

iceplace firewall # tcpdump -i ppp0 | grep 194.158.202.57
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
02:27:10.988489 IP 178.124.209.163.57308 > 194.158.202.57.domain: 5982+ A? www.ya.ru. (27)
02:27:15.993573 IP 178.124.209.163.57308 > 194.158.202.57.domain: 5982+ A? www.ya.ru. (27)
02:27:20.998654 IP 178.124.209.163.57308 > 194.158.202.57.domain: 5982+ A? www.ya.ru. (27)
»

.

Автор alexpro, дата создания 25 января, 2012 - 04:07.

Т.е. - обратного траффика нет?
Если не работает и гуглоDNS типа 8.8.8.8 тоже, предположу, что есть проблемы с фильтрами. Или, но это вряд ли тот случай, ответы приходят не на тот интерфейс, с которого ушли.

Для первого случая для проверки нужно абсолютно для всех цепочек поставить default policy ACCEPT, и сбросить все правила, а после снова проверить. Результатом должен быть обратный траффик от 194.158.202.57.

Во втором случае сделать то же самое с цепочками, net.ipv4.conf.all.rp_filter = 0, net.ipv4.conf.default.rp_filter = 0, net.ipv4.ip_forward = 1, и искать интерфейс, куда приходят ответы.

Но есть еще третий вариант - провайдер сам зафильтровал весь tcp/udp траффик на порт 53. Тогда помочь может только провайдер. Судя по описанию, и особенно, отсутствию возможности воспользоваться гуглоDNS - очень вероятно.

Мне указанный сервер ответил, хоть и отбрил, так что он действительно работает:

alexpro@xlin64:~/$ dig www.yandex.ru @194.158.202.57

; <<>> DiG 9.8.1 <<>> www.yandex.ru @194.158.202.57
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 14265
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;www.yandex.ru.                 IN      A

;; Query time: 96 msec
;; SERVER: 194.158.202.57#53(194.158.202.57)
;; WHEN: Wed Jan 25 01:58:46 2012
;; MSG SIZE  rcvd: 31
»

выставил правила для

Автор beba, дата создания 25 января, 2012 - 11:45.

выставил правила для фаервола, по минимуму:

iceplace firewall # cat firewall
#!/bin/sh

iptables="/sbin/iptables"
IFCONFIG="/sbin/ifconfig"
INET_DEV="ppp0"

echo "1" > /proc/sys/net/ipv4/ip_forward
#echo "1" > /proc/sys/net/ipv4/ip_dynaddr

# Flush tables
echo "Flushing tables..."
$iptables -F
$iptables -t nat -F
$iptables -t mangle -F

# Set default policies for the INPUT, FORWARD and OUTPUT chains
$iptables -P INPUT ACCEPT
$iptables -P OUTPUT ACCEPT
$iptables -P FORWARD ACCEPT

#Enable Stateful Behaviour
$iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#Drop Invalid State Packets (A Good Thing[tm])
$iptables -I INPUT -m state --state INVALID -j DROP
$iptables -I OUTPUT -m state --state INVALID -j DROP
$iptables -I FORWARD -m state --state INVALID -j DROP

# Byfly bugs for linux routers
$iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Enable nat for guest connection
$iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

iceplace firewall # iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere             state INVALID
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere             state INVALID
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere             state INVALID
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED

в итоге nslookup + tcpdump:

iceplace firewall # tcpdump -i ppp0 | grep 8.8.8.8
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
10:16:49.300056 IP 178.124.209.163.40307 > 8.8.8.8.domain: 45416+ A? www.ya.ru. (27)
10:16:54.305118 IP 178.124.209.163.40307 > 8.8.8.8.domain: 45416+ A? www.ya.ru. (27)
10:16:59.307459 IP 178.124.209.163.40307 > 8.8.8.8.domain: 45416+ A? www.ya.ru. (27)

сделал
net.ipv4.conf.all.rp_filter = 0, net.ipv4.conf.default.rp_filter = 0, net.ipv4.ip_forward = 1

в результате ситуация такая же (

listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
10:29:29.958481 PPPoE  [ses 0x4e41] IP 178.124.209.163.44852 > 8.8.8.8.domain: 3654+ A? www.ya.ru. (27)
10:29:34.963561 PPPoE  [ses 0x4e41] IP 178.124.209.163.44852 > 8.8.8.8.domain: 3654+ A? www.ya.ru. (27)
10:29:39.968636 PPPoE  [ses 0x4e41] IP 178.124.209.163.44852 > 8.8.8.8.domain: 3654+ A? www.ya.ru. (27)
10:32:24.115337 PPPoE  [ses 0x4e41] IP 178.124.209.163.51240 > 8.8.8.8.domain: 15940 A? www.ya.ru. (27)
10:32:29.120399 PPPoE  [ses 0x4e41] IP 178.124.209.163.51240 > 8.8.8.8.domain: 15940 A? www.ya.ru. (27)
10:32:39.130446 PPPoE  [ses 0x4e41] IP 178.124.209.163.51240 > 8.8.8.8.domain: 15940 A? www.ya.ru. (27)
10:32:43.770602 PPPoE  [ses 0x4e41] IP 178.124.209.163 > 8.8.8.8: ICMP echo request, id 13531, seq 1, length 64
10:32:43.862754 PPPoE  [ses 0x4e41] IP 8.8.8.8 > 178.124.209.163: ICMP echo reply, id 13531, seq 1, length 64

самое обидное, что это Белтелеком.. и по такой же схеме работает с этим же провайдером другие объекты.. и проблем нет (
только тар. план другой у других

p.s. т.е. нормальной тех поддержки нет.. Есть только девочки, которые на каждые проблемы просят сбросить настройки, и прописать данные заново в модем. :(

»

а если посмотреть traceroute

Автор leryc, дата создания 25 января, 2012 - 05:03.

а если посмотреть traceroute или dnstracer - в какой точке затык?

что-то добрый я сегодня ....

»

Tracing to www.ya.ru[a] via

Автор beba, дата создания 25 января, 2012 - 11:33.

Tracing to www.ya.ru[a] via 8.8.8.8, maximum of 3 retries
8.8.8.8 (8.8.8.8) * * *

»

Вы свой dns

Автор RadicalEdward, дата создания 25 января, 2012 - 01:21.

Вы свой dns поднимаете?
nslookup www.ya.ru 194.158.202.57
Server: 194.158.202.57
Address: 194.158.202.57#53

** server can't find www.ya.ru: REFUSED Так и надо?

Если сервер не ваш, то как насчет добавления маршрута к днс не через ppp0? через eth

»

Здравствуйте. Нет не свой,

Автор beba, дата создания 25 января, 2012 - 03:30.

Здравствуйте.
Нет не свой, пока пытаюсь пользоваться ДНСом провайдера.

через eth не могу, т.к. у меня данный маршрутизатор на объекте стоит а не в ЦОД.. у него нету доступа по eth к интернету.
или я не то понимаю?

»

Проблема решилась. Как

Автор beba, дата создания 25 января, 2012 - 12:33.

Проблема решилась.

Как оказалось, для гос. учреждений (где стоит данный маршрутизатор), включили с 1ого января принудительную фильтрацию по ДНС.
И нужно указывать ДНС другие. Этим организациями выслали письма, но нам никто не сообщил про это письмо..

вот такая вот штука.

»

Cуверенный интернет?

Автор RadicalEdward, дата создания 25 января, 2012 - 13:07.

Cуверенный интернет?

»

.

Автор alexpro, дата создания 25 января, 2012 - 13:49.

Вот-вот. Где-то это я и предполагал. Понятно, чего хотят. Только есть масса путей обойти это досадное препятствие, было бы с кем договориться за пределами...

»

да уж, вот такой вот

Автор beba, дата создания 25 января, 2012 - 14:12.

да уж, вот такой вот Интернет..
на том объекте то в принципе интернет нужен так, для галочки.. почта и все дела..
обойти то в любом случае можно..
домашний интернет пока не фильтруется, и у не гос. юр. лиц тоже..
хотя думаю, что все к этому идет

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".