znaczacy > comp.os.* > comp.os.linux.sieci

WOJO (19.05.2014, 14:46)
Hej.
Mam problem czysto akademicki.
Na kilku serwerach na zapytanie:
nmap -sU -p53 XXX.XXX.XXX.XXX
mam odpowiedź:
53/udp open|filtered domain
Na innych serwerach na takie samo zapytanie, do tego samego serwera, mam
odpowiedź:
53/udp open domain

Podejrzewam, że nie jest to problem konfiguracji binda, ani firewalla.
Objawem jest brak wymiany informacji o strefach między tymi serwerami.
Czy któryś router po drodze blokuje ruch na porcie UDP 53?
Jak sprawdzić, który router po drodze blokuje ruch na porcie UDP 53?
Pozdrawiam.
WOJO
helperm (19.05.2014, 23:07)
W dniu 19.05.2014 14:46, WOJO pisze:
> nmap -sU -p53 XXX.XXX.XXX.XXX
> mam odpowiedź:
> 53/udp open|filtered domain
> Na innych serwerach na takie samo zapytanie, do tego samego serwera, mam
> odpowiedź:
> 53/udp open domain


To nic nie znaczy. Użyj dig/nslookup/host.

> Objawem jest brak wymiany informacji o strefach między tymi serwerami.
> Czy któryś router po drodze blokuje ruch na porcie UDP 53?


TCP
rePeter (20.05.2014, 10:09)
Mon, 19 May 2014 14:46:07 +0200
"WOJO" <sorry> napisal(a):

> Hej.
> Mam problem czysto akademicki.
> Na kilku serwerach na zapytanie:
> nmap -sU -p53 XXX.XXX.XXX.XXX
> mam odpowiedz:
> 53/udp open|filtered domain
> Na innych serwerach na takie samo zapytanie, do tego samego serwera, mam
> odpowiedz:
> 53/udp open domain
> Podejrzewam, ze nie jest to problem konfiguracji binda, ani firewalla.


Dlaczego tylko podejrzewasz, sprawdzales reguly firewalla?
A co zwraca proste zapytanie tego "filtrowanego" serwera o domene przez
niego obslugiwana?
WOJO (21.05.2014, 10:33)
> Dlaczego tylko podejrzewasz, sprawdzales reguly firewalla?
Porty TCP i UDP 53 otwarte, tak na docelowym (XXX.XXX.XXX.XXX), jak i
pytajacych (AAA.AAA.AAA.AAA; YYY.YYY.YYY.YYY; ZZZ.ZZZ.ZZZ.ZZZ).
Dla testu:
[root ~]# iptables -I INPUT -p tcp --dport 53 -j ACCEPT
[root ~]# iptables -I INPUT -p udp --dport 53 -j ACCEPT
[root ~]# iptables -I OUTPUT -j ACCEPT
[root ~]# iptables -I INPUT -p tcp --dport 53 -j ACCEPT
[root ~]# iptables -I INPUT -p udp --dport 53 -j ACCEPT
[root ~]# iptables -I OUTPUT -j ACCEPT
[root ~]# iptables -I INPUT -p tcp --dport 53 -j ACCEPT
[root ~]# iptables -I INPUT -p udp --dport 53 -j ACCEPT
[root ~]# iptables -I OUTPUT -j ACCEPT
[root ~]# iptables -I INPUT -p tcp --dport 53 -j ACCEPT
[root ~]# iptables -I INPUT -p udp --dport 53 -j ACCEPT
[root ~]# iptables -I OUTPUT -j ACCEPT

Fragment named.conf na docelowym XXX.XXX.XXX.XXX

view "external" {
match-clients { any; };
allow-query { any; };
allow-transfer { AAA.AAA.AAA.AAA; YYY.YYY.YYY.YYY; ZZZ.ZZZ.ZZZ.ZZZ; };
allow-notify { XXX.XXX.XXX.XXX; AAA.AAA.AAA.AAA; YYY.YYY.YYY.YYY;
ZZZ.ZZZ.ZZZ.ZZZ; };
recursion no;

zone "domena.pl" IN { type master; file "master/external.domena.pl"; notify
yes; also-notify { AAA.AAA.AAA.AAA; YYY.YYY.YYY.YYY; ZZZ.ZZZ.ZZZ.ZZZ; }; };

> A co zwraca proste zapytanie tego "filtrowanego" serwera o domene przez
> niego obslugiwana?


To juz jest dla mnie zupelnym zaskoczeniem - na jednym "end of file", a na
drugim "connection reset", trzeci natomiast zachowuje sie prawidlowo.

[root ~]# host -T axfr domena.pl
;; communications error to XXX.XXX.XXX.XXX#53: end of file

[root ~]# host -T axfr domena.pl
;; communications error to XXX.XXX.XXX.XXX#53: connection reset

ten prawidlowo sie zachowujacy:
[root ~]# host -T axfr domena.pl
Using domain server:
Name: domena.pl
Address: XXX.XXX.XXX.XXX#53
Aliases:
Host axfr not found: 5(REFUSED)

[root ~]# dig @ns1.domena.pl domena.pl
; <<>> DiG 9.9.5-geoip-1.3 <<>> @ns1.domena.pl domena.pl
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

[root ~]# dig @ns1.domena.pl domena.pl
; <<>> DiG 9.9.5-geoip-1.3 <<>> @ns1.domena.pl domena.pl
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

[root ~]# dig @ns1.domena.pl domena.pl
; <<>> DiG 9.9.5-geoip-1.3 <<>> @ns1.domena.pl domena.pl
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46804
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 4
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;domena.pl. IN A
;; ANSWER SECTION:
domena.pl. 86400 IN A XXX.XXX.XXX.XXX
;; AUTHORITY SECTION:
domena.pl. 86400 IN NS ns1.domena.pl.
domena.pl. 86400 IN NS ns2.domena.pl.
domena.pl. 86400 IN NS ns3.domena.pl.
;; ADDITIONAL SECTION:
ns1.domena.pl. 86400 IN A XXX.XXX.XXX.XXX
ns2.domena.pl. 86400 IN A YYY.YYY.YYY.YYY
ns3.domena.pl. 86400 IN A ZZZ.ZZZ.ZZZ.ZZZ
;; Query time: 62 msec
;; SERVER: XXX.XXX.XXX.XXX#53(XXX.XXX.XXX.XXX)
;; WHEN: sro maj 21 08:58:22 CEST 2014
;; MSG SIZE rcvd: 155

[root ~]# nslookup -type=any domena.pl
Server: 127.0.0.1
Address: 127.0.0.1#53

domena.pl
origin = ns1.domena.pl
mail addr = root.domena.pl
serial = 2014052001
refresh = 28800
retry = 7200
expire = 2419200
minimum = 86400
domena.pl nameserver = ns1.domena.pl.
domena.pl nameserver = ns3.domena.pl.
domena.pl nameserver = ns2.domena.pl.
domena.pl mail exchanger = 10 mail.domena.pl.
Name: domena.pl
Address: XXX.XXX.XXX.XXX

[root~]# nslookup -type=any domena.pl
Server: 127.0.0.1
Address: 127.0.0.1#53

domena.pl
origin = ns1.domena.pl
mail addr = root.domena.pl
serial = 2014051301
refresh = 28800
retry = 7200
expire = 1209600
minimum = 86400
domena.pl nameserver = ns3.domena.pl.
domena.pl nameserver = ns1.domena.pl.
domena.pl nameserver = ns2.domena.pl.
domena.pl mail exchanger = 10 mail.domena.pl.
Name: domena.pl
Address: XXX.XXX.XXX.XXX
domena.pl text = "v=spf1 a mx ptr ip4:XXX.XXX.XXX.XXX ~all"
domena.pl rdata_99 = "v=spf1 a mx ptr ip4:XXX.XXX.XXX.XXX ~all"

[root ~]# nslookup -type=any domena.pl
Server: 194.204.159.1
Address: 194.204.159.1#53

Non-authoritative answer:
domena.pl text = "v=spf1 a mx ptr ip4:XXX.XXX.XXX.XXX ~all"
Name: domena.pl
Address: XXX.XXX.XXX.XXX
domena.pl
origin = ns1.domena.pl
mail addr = root.domena.pl
serial = 2014040901
refresh = 7200
retry = 3600
expire = 1209600
minimum = 86400
domena.pl nameserver = ns2.domena.pl.
domena.pl nameserver = ns3.domena.pl.
domena.pl nameserver = ns1.domena.pl.
domena.pl rdata_99 = "v=spf1 a mx ptr ip4:XXX.XXX.XXX.XXX ~all"
domena.pl mail exchanger = 10 mail.domena.pl.

Authoritative answers can be found from:

Pozdrawiam.
WOJO
WOJO (21.05.2014, 10:47)
> To nic nie znaczy. Użyj dig/nslookup/host. Używam i niewiele z tego wynika. :)

> TCP
> Spokojnie - otworzone UDP i TCP


Jak pisałem, problem jest czysto akademicki, bo mam dostęp do sporej ilości
serwerów, które zachowują się normalnie i takich problemów nie robią.
Wszystkie serwery konfigurowałem osobiście, więc są raczej powtarzalne.
Bardziej zależy mi na poznaniu natury problemu - robię jakiś błąd, któryś
router po drodze blokuje komunikację, itp.?
W dwóch przypadkach dostawcą jest TP (polpak - zachowuje się prawidłowo, a
DSL nie).
W innym przypadku jest to jakiś lokalny dostawca, który zarzeka się, że nie
macza palców w blokowaniu czegokolwiek.
Obstawiam raczej swój błąd, pytanie jak go znaleźć.
:)
Pozdrawiam.
WOJO
jureq (21.05.2014, 11:13)
Dnia Mon, 19 May 2014 14:46:07 +0200, WOJO napisal(a):

> nmap -sU -p53 XXX.XXX.XXX.XXX
> mam odpowiedz:
> 53/udp open|filtered domain


A co mówi nmap jak mu dodasz -sV
WOJO (21.05.2014, 11:30)
> A co mówi nmap jak mu dodasz -sV
Prawidlowy:
[root ~]# nmap -sV -sU -p53 XXX.XXX.XXX.XXX
Starting Nmap 6.46 ( ) at 2014-05-21 11:22 CEST
Nmap scan report for host-XXX-XXX-XXX-XXX (XXX.XXX.XXX.XXX)
Host is up (0.060s latency).
PORT STATE SERVICE VERSION
53/udp open domain ISC BIND WOJO
Service detection performed. Please report any incorrect results at
.
Nmap done: 1 IP address (1 host up) scanned in 0.66 seconds

Nieprawidlowy:
[root ~]# nmap -sV -sU -p53 XXX.XXX.XXX.XXX
Starting Nmap 6.46 ( ) at 2014-05-21 11:22 CEST
Nmap scan report for XXX.XXX.XXX.XXX
Host is up (0.010s latency).
PORT STATE SERVICE VERSION
53/udp open|filtered domain
Service detection performed. Please report any incorrect results at
.
Nmap done: 1 IP address (1 host up) scanned in 113.58 seconds

Pozdrawiam.
WOJO
ein (21.05.2014, 11:36)
WOJO wrote:
> Używam i niewiele z tego wynika. :)
> Spokojnie - otworzone UDP i TCP
> Jak pisałem, problem jest czysto akademicki, bo mam dostęp do sporej ilości
> serwerów, które zachowują się normalnie i takich problemów nie robią.
> Wszystkie serwery konfigurowałem osobiście, więc są raczej powtarzalne.
> Bardziej zależy mi na poznaniu natury problemu - robię jakiś błąd, któryś
> router po drodze blokuje komunikację, itp.?
> W dwóch przypadkach dostawcą jest TP (polpak - zachowuje się prawidłowo, a
> DSL nie).


DSL ? Co dostałeś od ISP (urządzenie)? Kto jest dostawcą?
ein (21.05.2014, 11:40)
WOJO wrote:
>> Dlaczego tylko podejrzewasz, sprawdzales reguly firewalla?

> Porty TCP i UDP 53 otwarte, tak na docelowym (XXX.XXX.XXX.XXX), jak i
> pytajacych (AAA.AAA.AAA.AAA; YYY.YYY.YYY.YYY; ZZZ.ZZZ.ZZZ.ZZZ).
> Dla testu:


Zeby miec komplet to pokaz jeszcze:
netstat -lnutp
WOJO (21.05.2014, 11:44)
> DSL ? Co dostałeś od ISP (urządzenie)? Kto jest dostawcą?
Dostawca to TP/Orange, a co do modemu to sorry - nie mam tam chwilowo
kamery.
Ale dało się to przełączyć z trybu routera na bridgea, po mojej
telefonicznej prośbie.
:)
W drugiej problematycznej lokalizacji mam zakończenie światła mikrotikiem
RB260GS z SwOS v1.7
I tutaj dostawca się zaklina, że nie blokuje niczego, ale jakoś mu
niedowierzam.
Pozdrawiam.
WOJO
WOJO (21.05.2014, 11:55)
> Zeby miec komplet to pokaz jeszcze:
> netstat -lnutp


A netstat -lnutp | grep 53 nie wystarczy? :)

W lokalizacji problematycznej (fragment - wyciete int vpn i lokalne)
[root ~]# netstat -lnutp | grep 53
tcp 0 0 AAA.AAA.AAA.AAA:53 0.0.0.0:*
LISTEN 5366/named
tcp 0 0 127.0.0.1:53 0.0.0.0:*
LISTEN 5366/named
udp 0 0 AAA.AAA.AAA.AAA:53 0.0.0.0:*
5366/named
udp 0 0 127.0.0.1:53 0.0.0.0:*
5366/named

W lokalizacji prawidlowo zachowujacej sie (fragment - wyciete int vpn i
lokalne):
[root ~]# netstat -lnutp | grep 53
tcp 0 0 ZZZ.ZZZ.ZZZ.ZZZ:53 0.0.0.0:*
LISTEN 5530/named
tcp 0 0 127.0.0.1:53 0.0.0.0:*
LISTEN 5530/named
udp 0 0 ZZZ.ZZZ.ZZZ.ZZZ:53 0.0.0.0:*
5530/named
udp 0 0 127.0.0.1:53 0.0.0.0:*
5530/named

W docelowej (fragment - wyciete int vpn i lokalne):
[root ~]# netstat -lnutp | grep 53
tcp 0 0 XXX.XXX.XXX.XXX:53 0.0.0.0:*
LISTEN 6832/named
tcp 0 0 127.0.0.1:53 0.0.0.0:*
LISTEN 6832/named
udp 0 0 XXX.XXX.XXX.XXX:53 0.0.0.0:*
6832/named
udp 0 0 127.0.0.1:53 0.0.0.0:*
6832/named

Pozdrawiam.
WOJO
ein (21.05.2014, 12:01)
WOJO wrote:
>> DSL ? Co dostałeś od ISP (urządzenie)? Kto jest dostawcą?

> Dostawca to TP/Orange, a co do modemu to sorry - nie mam tam chwilowo
> kamery.
> Ale dało się to przełączyć z trybu routera na bridgea, po mojej
> telefonicznej prośbie.
> :)


Widzisz tu by się zgadzało. Orange zazwyczaj do DSLa daje Cellpipe 7130,
jeżeli on był wcześniej ustawiony w tzw. "tryb rozszerzony" (żargon
Orange, domyślna konfiguracja), router robi (P)NAT i zrobiłeś sobie
przekierowania portów, a później poprosiłeś o przestawienie w tzw. "tryb
prosty" (przeźroczysty). Orange nie wyłącza przekierowania portów, więc
o ile coś tam było to przekierowanie ciągle działa i kieruje do nie
istniejącego adresu.

W takim układzie (jeżeli pamiętasz fakt konfiguracji przekierowań),
dzwonisz do nich i prosisz o wyczyszczenie istniejących przekierowań,
jeżeli nic nie będą mogli znaleźć to poproś ich o przełączenie w tryb
rozszerzony i wyczyść konfiguracje sam. :)
A po wszystkim zmień znowu na tryb prosty. Jeżeli nie użyjesz wyżej
pokazanej "terminologi" małpka przy telefonie może nie zrozumieć.

Możesz także zrobić test - przestaw bind-a na wyższy port i odpytaj go
nslookup-em.
ein (21.05.2014, 12:03)
WOJO wrote:
>> Zeby miec komplet to pokaz jeszcze:
>> netstat -lnutp

> A netstat -lnutp | grep 53 nie wystarczy? :)
> W lokalizacji problematycznej (fragment - wyciete int vpn i lokalne)
> [...]


Wyglada okej.
WOJO (21.05.2014, 12:16)
> Widzisz tu by się zgadzało. Orange zazwyczaj do DSLa daje Cellpipe 7130,
> jeżeli on był wcześniej ustawiony w tzw. "tryb rozszerzony" (żargon
> Orange, domyślna konfiguracja), router robi (P)NAT i zrobiłeś sobie
> przekierowania portów, a później poprosiłeś o przestawienie w tzw. "tryb
> prosty" (przeźroczysty). Orange nie wyłącza przekierowania portów, więc
> o ile coś tam było to przekierowanie ciągle działa i kieruje do nie
> istniejącego adresu.


> W takim układzie (jeżeli pamiętasz fakt konfiguracji przekierowań),
> dzwonisz do nich i prosisz o wyczyszczenie istniejących przekierowań,
> jeżeli nic nie będą mogli znaleźć to poproś ich o przełączenie w tryb
> rozszerzony i wyczyść konfiguracje sam. :)
> A po wszystkim zmień znowu na tryb prosty. Jeżeli nie użyjesz wyżej
> pokazanej "terminologi" małpka przy telefonie może nie zrozumieć.


Dostałem "w spadku" firmę, gdzie modem był połączony bezpośrednio ze
switchem i robił za router.
Potrzebowałem wstawić tam swój router z dodatkowymi usługami i poprosiłem o
przekonfigurowanie na infolinii.
Moje zaskoczenie sięgnęło prawie zenitu, kiedy udało się to zrobić "od ręki"
podczas tej samej rozmowy telefonicznej.
Byłem w lokalizacji i mogłem spojrzeć na umowę, by się autoryzować przez
telefon.
Nie zawracałem sobie głowy szukaniem haseł do modemu (a teraz by się
przydały).

> Możesz także zrobić test - przestaw bind-a na wyższy port i odpytaj go
> nslookup-em.


Chyba już to robiłem...
Ale spróbujemy jeszcze raz za chwilę.
Dzięki za sugestię.
Pozdrawiam.
WOJO
WOJO (21.05.2014, 12:27)
> Wyglada okej.
Dla mnie tez..., a nie dziala.
Rzadko staram sie zawracac d. publicznie ale czasem jestem w kropce.
:)
Pozdrawiam.
WOJO

Podobne wątki