The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"логи tcpdump'a и DNS transfer zone"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"логи tcpdump'a и DNS transfer zone"  
Сообщение от raba (ok) on 16-Апр-08, 13:01 
Пытаюсь скачать dns зону, но при етом tcpdump говорить мне такое:

12:26:29.188824 IP (tos 0x0, ttl 57, id 36059, offset 0, flags [none], proto UDP (17), length 68) 89.136.14.119.63749 > 213.170.115.194.53: [udp sum ok] 35836 [1au] SOA? terys.spb.ru. ar: . OPT UDPsize=2048 (40)

12:26:29.188972 IP (tos 0x0, ttl 64, id 7561, offset 0, flags [none], proto UDP (17), length 196) 213.170.115.194.53 > 89.136.14.119
4.63749: 35836* q: SOA? terys.spb.ru. 1/2/3 terys.spb.ru. SOA[|domain]

, что типа SOA некоректная? Но при етом проверка по named-checkzone... возвращает удачу, как тогда понять написаного? В конечном итоге зона не скачивается, в главном конфиге named убрал все запрещающего. Что посоветуете?


(проблемная SOA)
terys.spb.ru.            IN SOA          mach.terys.spb.ru. machmail.gmail.com. (
                                        2008041201 6h 59m 2w 1d )

                        IN NS           mach.terys.spb.ru.
                        IN NS           ns1.rotty.ru.
                        IN A            213.170.115.194
                        IN MX   10      mach.terys.spb.ru.

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "логи tcpdump'a и DNS transfer zone"  
Сообщение от 1ight_apprentice (ok) on 16-Апр-08, 16:12 
Не очень понятно откуда Вы пытаете скачать зону. Если от себя к себе, то не могли бы Вы выложить named.conf с обоих серверов (primary и slave)?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "логи tcpdump'a и DNS transfer zone"  
Сообщение от raba (ok) on 16-Апр-08, 23:33 
Зону пытаюсь скачать с домашнего на рабочий

named.conf (master)
===================

key "terys.spb.ru" {
      algorithm hmac-md5;
      secret "A8nfsdf7azOXMLMn8ihbbhgY8r5MuQldkokdgfffGddai7QSb8lm5l3HdAtYJZhXF/2WFCIpZ0VSGCT6GG0cw==";
};

controls {
      inet 127.0.0.1 port 953
              allow { 127.0.0.1; } keys { "terys.spb.ru"; };
};

options {
        directory       "/etc/namedb";
        pid-file        "/var/run/named/pid";
        dump-file       "/var/dump/named_dump.db";
        statistics-file "/var/stats/named.stats";

zone "terys.spb.ru" {
        type master;
        file "master/terys.spb.ru";
        notify yes;
};
....

named.conf(slave ), аналогичен только имен соответсвенно другие, ну и само сабой описание требуемой зоны подобно slave описание.

Кстати на заметку, вот тут вспомнил что питался накручивать bind под ldap, и ставил соответственно другую версию, которой уже не использую, хотя в rc.conf прописано что bind должен запускаться по умолчанию (без поддержки ldap), может чего-то где-то осталось или перезаписалось от bind-sdb-ldap, и стары bind его не понимает, поетому и такие проблемы??

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "логи tcpdump'a и DNS transfer zone"  
Сообщение от Pahanivo email(??) on 17-Апр-08, 10:53 
>Зону пытаюсь скачать с домашнего на рабочий
>

Во-превых: трансфер идет по tcp, а не по udp (см дамп)
Во-вторых: tcpdump'ом отслеживать процесс трансфера зоны???? это "%№;:%!"№;
В-третих: для вышасказанного есть лог файл.
В-четвертых: для начала попробуй на мастер-сервере локально протестиь трансфер зоны с помощью dig, если заработает - тогда уже пробуй между серваками.
В-пятых: проверяй фтльтрацию на уровне бинда (неплохо также выставить axfr source port) + фильтрацию на уровне сервака.
В-шестых:

>key "terys.spb.ru" {
>      algorithm hmac-md5;

а можно еще ip сервака и рутовый пароль глянуть? ))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "логи tcpdump'a и DNS transfer zone"  
Сообщение от raba (ok) on 17-Апр-08, 11:29 
1ight_apprentice, всего лишь попросил меня показать содержимое named.conf, я и показал, но после етого почувствовал себя обманутым и мне как-то больше не хочется общатся в форуме!! Спасибо кенечно за ответы, Pahanivo, было бы все круто если небыли последние 3 ваши строки.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "логи tcpdump'a и DNS transfer zone"  
Сообщение от Pahanivo email(??) on 17-Апр-08, 12:35 
>1ight_apprentice, всего лишь попросил меня показать содержимое named.conf, я и показал, но
>после етого почувствовал себя обманутым и мне как-то больше не хочется
>общатся в форуме!! Спасибо кенечно за ответы, Pahanivo, было бы все
>круто если небыли последние 3 ваши строки.

Че ты плачешь как девачко? )))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "логи tcpdump'a и DNS transfer zone"  
Сообщение от raba (ok) on 17-Апр-08, 12:46 
the пошел ты!!!!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "логи tcpdump'a и DNS transfer zone"  
Сообщение от Pahanivo email(??) on 17-Апр-08, 14:06 
>the пошел ты!!!!

Мда. Попахивает критинизмом.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "логи tcpdump'a и DNS transfer zone"  
Сообщение от ShyLion (ok) on 17-Апр-08, 14:10 
>the пошел ты!!!!

товарищ лишь прозрачно намекнул тебе, что ты не подумавши светишь в форуме ключ управления named'ом, а ты сразу в грубости. нехорошо!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "логи tcpdump'a и DNS transfer zone"  
Сообщение от raba (ok) on 17-Апр-08, 14:27 
Вопрос: как тогда надо было ответит на просбе показать named.conf??? вопрос на шестерку!
Ну Неужели вы думаете, что высвечу правдивые данны...все соответсвует реальным, для того чтобы с проблему разобратся, токо данны для таких как "девочко..", выдуманые, и вообще-то по моей позиции можно понять, кто ето начал хитро грубить!
Теперь о проблеме: вы можете что-то подсказать

transfer of 'terys.spb.ru/IN' from 213.170.115.194#53: failed to connect: timed out

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "логи tcpdump'a и DNS transfer zone"  
Сообщение от Pahanivo email(??) on 17-Апр-08, 14:41 
>Вопрос: как тогда надо было ответит на просбе показать named.conf??? вопрос на
>шестерку!
>Ну Неужели вы думаете, что высвечу правдивые данны...все соответсвует реальным, для того
>чтобы с проблему разобратся, токо данны для таких как "девочко..", выдуманые,
>и вообще-то по моей позиции можно понять, кто ето начал хитро
>грубить!

Слухай ShyLion, он дело говорит.

>Теперь о проблеме: вы можете что-то подсказать
>
>transfer of 'terys.spb.ru/IN' from 213.170.115.194#53: failed to connect: timed out

Да, трансфер отвалился по таймауту. Тебе же пишут - для начала пробуй сделать ЛОКАЛЬНО трансфер на мастере! man dig

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "логи tcpdump'a и DNS transfer zone"  
Сообщение от raba (ok) on 17-Апр-08, 14:48 
Ну посмотрел локально, все круто, все есть, все на месте, все корректно. Какой man дальше читат?...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "логи tcpdump'a и DNS transfer zone"  
Сообщение от Pahanivo email(??) on 17-Апр-08, 15:08 
>Ну посмотрел локально, все круто, все есть, все на месте, все корректно.
>Какой man дальше читат?...

Что именно посмотрел?
Дальше что делать - смотри предыдущие посты.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "логи tcpdump'a и DNS transfer zone"  
Сообщение от ShyLion (ok) on 17-Апр-08, 15:13 
>Ну посмотрел локально, все круто, все есть, все на месте, все корректно.
>Какой man дальше читат?...

Посмотри логи фаервола, попробуй его временно отключить. многие разрешая доступ к ДНС открывают только UDP/53, хотя трансфер обычно идет по TCP/53. Смотри tcpdump не только по udp но и по tcp, видно будет состоялось соединение или нет. Проверь фаервол не только на мастере, но и есть ли доступ наружу у слейва.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "логи tcpdump'a и DNS transfer zone"  
Сообщение от raba (ok) on 17-Апр-08, 15:37 
я даже специально ядро пересобирал чтобы отключить его, думаю ему хватить :) на обоих компах нету ничего запрещающего, т.е как, есть, только не могу его найти, соединения видны на обоих компьютеров, наподобие логов выложены при создание темой. У меня руки завязаны! На лету поднимаю dns, за секунды скачиваю зоны, не раз и не два, а тут вот такая батва. даже сборку мира не помогла, из за того что усомнился что bind-sdb-ldap переписал кое какие библиотеки. ..Тоже ничего! ....А как можно посмотрет более детайльно и понятливо содержание того покета при ответе на slave о передаче зоны, или что там должно быть кроме всей абракадаброй, чтоб действительно знать что зона переносится, а провайдер меня ...бац и режет?!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "логи tcpdump'a и DNS transfer zone"  
Сообщение от 1ight_apprentice (ok) on 17-Апр-08, 16:21 
Пришла тут мысль: а если попробовать dig на slave'е?

По поводу tcpdump'а тоже man лучше почитать. Есть у него опции, увеличивающие детализацию (кажется -v и -vv, но лучше всё-таки уточните).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "логи tcpdump'a и DNS transfer zone"  
Сообщение от raba (ok) on 17-Апр-08, 16:37 
да ключики tcpdump'a я знаю позже буду логи анализировать, но если дело дошло до tcpdump, то дело плохо, я так считаю :). Насчет slave, мы думаем почти одновременно :), до того как вы отписались, мне уже пришла мысл, и скачал зону стороннего провайдера, значить проблема на стороне master, ето уже однозначно!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "логи tcpdump'a и DNS transfer zone"  
Сообщение от 1ight_apprentice (ok) on 17-Апр-08, 14:19 
Ответы обоим сразу.

Для Pahanivo.
Какая разница, что хэш ключа засветился, если в конфиге чётко написано, что управление разрешено ТОЛЬКО для адреса 127.0.0.1 ?

Для raba.
Все пункты, перечисленные Pahanivo, кроме во-вторых и в-шестых (ИМХО оба несущественные) правильные.

Всем сразу.
Поскольку на master'е строчки allow-transfer нет, то передача зон разрешена ДЛЯ ВСЕХ. Так что налегаем на пункт "в-четвёртых".

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "логи tcpdump'a и DNS transfer zone"  
Сообщение от mario email(??) on 29-Апр-08, 14:41 
>[оверквотинг удален]
>Для Pahanivo.
>Какая разница, что хэш ключа засветился, если в конфиге чётко написано, что
>управление разрешено ТОЛЬКО для адреса 127.0.0.1 ?
>
>Для raba.
>Все пункты, перечисленные Pahanivo, кроме во-вторых и в-шестых (ИМХО оба несущественные) правильные.
>
>
>Всем сразу.
>Так что налегаем на пункт "в-четвёртых".

действительно автор по чему бы для начала не выложить вывод команды dig c мастера
dig @your_name_server your_zone A

по поводу
>Поскольку на master'е строчки allow-transfer нет, то передача зон разрешена ДЛЯ ВСЕХ.

        allow-query { any; };
        allow-transfer { почему бы не прописать сдесь слайв найм сервер  localhost; };вс общем пропишите сервера которые могут транспортировать зону

да я сейчас посмотрел ваш сервер был найдет соответственно непосредственно он не отдал зону allow-query { any; }; вот этот поставьте


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру