forum.opennet.ru

Составление сообщения

Исходное сообщение

"Странно работает резольвинг имен из правил iptables"
Отправлено georglk, 16-Авг-10 15:51

>>1) использовать имена в фаерволах - дурной тон и потенциальные грабли
>>2) при перестроении фаревола скорей всего закрывается доступ с днс на форвардеров
>>
>
>непохоже... группа правил в которых фигурируют имена выполняется после правил INPUT/OUTPUT,
>плюс к этому раз на раз не приходиться
>если предварительно сделать для всех "неудачных" умен nslookup, то правила проходят нормально
>
по всей видимости это вопрос скорее к bind-у
вот что показывает tcpdump
root@host:~# tcpdump -vv -nn -i any port 53
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
15:47:26.457997 IP (tos 0x0, ttl 64, id 50382, offset 0, flags [DF], proto UDP (17), length 65)
    127.0.0.1.60821 > 127.0.0.1.53: [bad udp cksum 8a50!] 6189+ A? WRK.FIRMA.LOCAL (37)
15:47:26.459642 IP (tos 0x0, ttl 64, id 6871, offset 0, flags [none], proto UDP (17), length 65)
    127.0.0.1.53 > 127.0.0.1.60821: [bad udp cksum 7d0!] 6189 ServFail q: A? WRK.FIRMA.LOCAL 0/0/0 (37)
15:47:26.459730 IP (tos 0x0, ttl 64, id 50382, offset 0, flags [DF], proto UDP (17), length 65)
    127.0.0.1.47788 > 127.0.0.1.53: [bad udp cksum 7383!] 6189+ A? WRK.FIRMA.LOCAL (37)
15:47:26.461104 IP (tos 0x0, ttl 64, id 6872, offset 0, flags [none], proto UDP (17), length 65)
    127.0.0.1.53 > 127.0.0.1.47788: [bad udp cksum f102!] 6189 ServFail q: A? WRK.FIRMA.LOCAL 0/0/0 (37)
15:47:26.462103 IP (tos 0x0, ttl 64, id 50382, offset 0, flags [DF], proto UDP (17), length 65)
    127.0.0.1.47653 > 127.0.0.1.53: [bad udp cksum 51b!] 33058+ A? WRK.FIRMA.LOCAL (37)
15:47:26.463726 IP (tos 0x0, ttl 64, id 6873, offset 0, flags [none], proto UDP (17), length 65)
    127.0.0.1.53 > 127.0.0.1.47653: [bad udp cksum 829a!] 33058 ServFail q: A? WRK.FIRMA.LOCAL 0/0/0 (37)
15:47:26.463792 IP (tos 0x0, ttl 64, id 50382, offset 0, flags [DF], proto UDP (17), length 65)
    127.0.0.1.59710 > 127.0.0.1.53: [bad udp cksum ebeb!] 33058+ A? WRK.FIRMA.LOCAL (37)
15:47:26.465357 IP (tos 0x0, ttl 64, id 6874, offset 0, flags [none], proto UDP (17), length 65)
    127.0.0.1.53 > 127.0.0.1.59710: [bad udp cksum 696b!] 33058 ServFail q: A? WRK.FIRMA.LOCAL 0/0/0 (37)

причем если у 127.0.0.1 спросить про другой хост из FIRMA.LAN
то ответ получаешь нормально
А вот выхлоп tcpdump-а после удачного nslookup wrk.firma.local
(tos 0x0, ttl 64, id 7043, offset 0, flags [none], proto UDP (17), length 65) 127.0.0.1.48660 > 127.0.0.1.53: [bad udp cksum 999c!] 64414+ A? WS-FRSD-170.frsd.ru. (37)
(tos 0x0, ttl 64, id 5377, offset 0, flags [none], proto UDP (17), length 76) 192.168.1.254.44230 > 192.168.1.1.53: [bad udp cksum 7e83!] 35691+ [1au] A? WRK.FIRMA.LOCAL. ar: . OPT UDPsize=4096 OK (48)
(tos 0x0, ttl 128, id 21141, offset 0, flags [none], proto UDP (17), length 92) 192.168.1.1.53 > 192.168.1.254.44230: 35691* q: A? WRK.FIRMA.LOCAL. 1/0/1 WRK.FIRMA.LOCAL.[|domain]
(tos 0x0, ttl 64, id 7044, offset 0, flags [none], proto UDP (17), length 81) 127.0.0.1.53 > 127.0.0.1.48660: 64414 q: A? WRK.FIRMA.LOCAL. 1/0/0 WRK.FIRMA.LOCAL. (53)
похоже что если спрашивает iptables то bind не переспрашивает о wrk.firma.local у 192.168.1.1
а если спросить через nslookup, то спрашивает

Исходное сообщение
"Странно работает резольвинг имен из правил iptables" Отправлено georglk, 16-Авг-10 15:51
>>1) использовать имена в фаерволах - дурной тон и потенциальные грабли >>2) при перестроении фаревола скорей всего закрывается доступ с днс на форвардеров >> > >непохоже... группа правил в которых фигурируют имена выполняется после правил INPUT/OUTPUT, >плюс к этому раз на раз не приходиться >если предварительно сделать для всех "неудачных" умен nslookup, то правила проходят нормально > по всей видимости это вопрос скорее к bind-у вот что показывает tcpdump root@host:~# tcpdump -vv -nn -i any port 53 tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 96 bytes 15:47:26.457997 IP (tos 0x0, ttl 64, id 50382, offset 0, flags [DF], proto UDP (17), length 65) 127.0.0.1.60821 > 127.0.0.1.53: [bad udp cksum 8a50!] 6189+ A? WRK.FIRMA.LOCAL (37) 15:47:26.459642 IP (tos 0x0, ttl 64, id 6871, offset 0, flags [none], proto UDP (17), length 65) 127.0.0.1.53 > 127.0.0.1.60821: [bad udp cksum 7d0!] 6189 ServFail q: A? WRK.FIRMA.LOCAL 0/0/0 (37) 15:47:26.459730 IP (tos 0x0, ttl 64, id 50382, offset 0, flags [DF], proto UDP (17), length 65) 127.0.0.1.47788 > 127.0.0.1.53: [bad udp cksum 7383!] 6189+ A? WRK.FIRMA.LOCAL (37) 15:47:26.461104 IP (tos 0x0, ttl 64, id 6872, offset 0, flags [none], proto UDP (17), length 65) 127.0.0.1.53 > 127.0.0.1.47788: [bad udp cksum f102!] 6189 ServFail q: A? WRK.FIRMA.LOCAL 0/0/0 (37) 15:47:26.462103 IP (tos 0x0, ttl 64, id 50382, offset 0, flags [DF], proto UDP (17), length 65) 127.0.0.1.47653 > 127.0.0.1.53: [bad udp cksum 51b!] 33058+ A? WRK.FIRMA.LOCAL (37) 15:47:26.463726 IP (tos 0x0, ttl 64, id 6873, offset 0, flags [none], proto UDP (17), length 65) 127.0.0.1.53 > 127.0.0.1.47653: [bad udp cksum 829a!] 33058 ServFail q: A? WRK.FIRMA.LOCAL 0/0/0 (37) 15:47:26.463792 IP (tos 0x0, ttl 64, id 50382, offset 0, flags [DF], proto UDP (17), length 65) 127.0.0.1.59710 > 127.0.0.1.53: [bad udp cksum ebeb!] 33058+ A? WRK.FIRMA.LOCAL (37) 15:47:26.465357 IP (tos 0x0, ttl 64, id 6874, offset 0, flags [none], proto UDP (17), length 65) 127.0.0.1.53 > 127.0.0.1.59710: [bad udp cksum 696b!] 33058 ServFail q: A? WRK.FIRMA.LOCAL 0/0/0 (37) причем если у 127.0.0.1 спросить про другой хост из FIRMA.LAN то ответ получаешь нормально А вот выхлоп tcpdump-а после удачного nslookup wrk.firma.local (tos 0x0, ttl 64, id 7043, offset 0, flags [none], proto UDP (17), length 65) 127.0.0.1.48660 > 127.0.0.1.53: [bad udp cksum 999c!] 64414+ A? WS-FRSD-170.frsd.ru. (37) (tos 0x0, ttl 64, id 5377, offset 0, flags [none], proto UDP (17), length 76) 192.168.1.254.44230 > 192.168.1.1.53: [bad udp cksum 7e83!] 35691+ [1au] A? WRK.FIRMA.LOCAL. ar: . OPT UDPsize=4096 OK (48) (tos 0x0, ttl 128, id 21141, offset 0, flags [none], proto UDP (17), length 92) 192.168.1.1.53 > 192.168.1.254.44230: 35691* q: A? WRK.FIRMA.LOCAL. 1/0/1 WRK.FIRMA.LOCAL.[\|domain] (tos 0x0, ttl 64, id 7044, offset 0, flags [none], proto UDP (17), length 81) 127.0.0.1.53 > 127.0.0.1.48660: 64414 q: A? WRK.FIRMA.LOCAL. 1/0/0 WRK.FIRMA.LOCAL. (53) похоже что если спрашивает iptables то bind не переспрашивает о wrk.firma.local у 192.168.1.1 а если спросить через nslookup, то спрашивает

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру