LINUX.ORG.RU
ФорумAdmin

Не поднимается порт DNS 53 на одном из интерфейсов.

 ,


0

1

Имеется CentOS 6.2 x64
Стоит named
Обнаружил что арендованный slave сервер да и вообще любой сервер DNS не забирает зону с моего master-a...

Просканировал порт 53, на внешнем интерфейсе 212.0.88.xx порт закрыт.
На всех остальных внутренних порт 53 открыт.

Перепробовал все... В чем причина?

[root@euro-gw ~]# service iptables status
iptables: Межсетевой экран не запущен.

[root@euro-gw ~]# service named restart
Останавливается named: .                                   [  OK  ]
Запускается named:                                         [  OK  ]
[root@euro-gw ~]# tail -n 30 /var/log/messages
Feb  4 21:28:32 euro-gw named[2576]: corporation.  Support and training for BIND 9 are
Feb  4 21:28:32 euro-gw named[2576]: available at https://www.isc.org/support
Feb  4 21:28:32 euro-gw named[2576]: ----------------------------------------------------
Feb  4 21:28:32 euro-gw named[2576]: adjusted limit on open files from 4096 to 1048576
Feb  4 21:28:32 euro-gw named[2576]: found 8 CPUs, using 8 worker threads
Feb  4 21:28:32 euro-gw named[2576]: using up to 4096 sockets
Feb  4 21:28:32 euro-gw named[2576]: loading configuration from '/etc/named.conf'
Feb  4 21:28:32 euro-gw named[2576]: using default UDP/IPv4 port range: [1024, 65535]
Feb  4 21:28:32 euro-gw named[2576]: using default UDP/IPv6 port range: [1024, 65535]
Feb  4 21:28:32 euro-gw named[2576]: listening on IPv4 interface lo, 127.0.0.1#53
Feb  4 21:28:32 euro-gw named[2576]: listening on IPv4 interface eth0, 10.0.0.1#53
Feb  4 21:28:33 euro-gw named[2576]: listening on IPv4 interface br0, 192.168.1.1#53
Feb  4 21:28:33 euro-gw named[2576]: listening on IPv4 interface ppp0, 212.0.88.xx#53
Feb  4 21:28:33 euro-gw named[2576]: generating session key for dynamic DNS
Feb  4 21:28:33 euro-gw named[2576]: sizing zone task pool based on 5 zones
Feb  4 21:28:33 euro-gw named[2576]: zone '1.168.192.in-addr.arpa' allows updates by IP address, which is insecure
Feb  4 21:28:33 euro-gw named[2576]: using built-in DLV key for view _default
Feb  4 21:28:33 euro-gw named[2576]: set up managed keys zone for view _default, file 'dynamic/managed-keys.bind'
Feb  4 21:28:33 euro-gw named[2576]: command channel listening on 127.0.0.1#953
Feb  4 21:28:33 euro-gw named[2576]: command channel listening on ::1#953

[root@euro-gw ~]# netstat -ln | grep 53
tcp        0      0 212.0.88.xx:53              0.0.0.0:*                   LISTEN
tcp        0      0 192.168.1.1:53              0.0.0.0:*                   LISTEN
tcp        0      0 10.0.0.1:53                 0.0.0.0:*                   LISTEN
tcp        0      0 127.0.0.1:53                0.0.0.0:*                   LISTEN
tcp        0      0 0.0.0.0:53848               0.0.0.0:*                   LISTEN
tcp        0      0 127.0.0.1:953               0.0.0.0:*                   LISTEN
tcp        0      0 ::1:953                     :::*                        LISTEN
udp        0      0 212.0.88.xx:53              0.0.0.0:*
udp        0      0 192.168.1.1:53              0.0.0.0:*
udp        0      0 10.0.0.1:53                 0.0.0.0:*
udp        0      0 127.0.0.1:53                0.0.0.0:*
udp        0      0 0.0.0.0:5353                0.0.0.0:*

Ответ на: комментарий от ii343hbka

Читай выше :) service iptables stop, порты сканировал с остановленым iptables
Ну так он никогда их ни резал и тут вдруг начал резать? И именно только 53 порт... Странно, думаю исключено...

notlive ()
Ответ на: комментарий от ii343hbka

Если уж так хочется...

Таблица: filter
Chain INPUT (policy DROP)
num  target     prot opt source               destination
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
2    ACCEPT     tcp  --  10.0.0.0/24          10.0.0.1            tcp dpt:53
3    ACCEPT     udp  --  10.0.0.0/24          10.0.0.1            udp dpt:53
4    ACCEPT     icmp --  10.0.0.0/24          10.0.0.1
5    DROP       all  --  10.0.0.0/24          0.0.0.0/0
6    ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0
7    ACCEPT     47   --  0.0.0.0/0            0.0.0.0/0
8    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
9    ACCEPT     47   --  0.0.0.0/0            0.0.0.0/0
10   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53
11   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:53

notlive ()
Ответ на: комментарий от notlive

хз тогда
ща придут товарищи опытнее и помогут
наверное

ii343hbka ★★★ ()
Ответ на: комментарий от notlive

Чтобы проверить, провайдер или нет, возьми другой комп и подключись ко внешнему интерфейсу. На хосте, кстати, можешь tcpdump ради интереса запустить.

никогда их ни резал и тут вдруг начал резать

А кстати, откуда инфа, что «провайдер никогда не резал»? Возможно, так от усиления DNS защищаются.

Kiborg ★★★ ()

Сделай снаружи
nmap -sS 212.0.88.xx -p53
и проверь
allow-recursion {
any;
};
У меня без этого сервер на 2 интерфейса сразу не отвечал.

fractaler ★★★★★ ()

ЕМНИП, для передачи зоны используется 953 порт, а его твой бинд слушает только на локалхосте.

anonymous ()

у днс сервера есть логи — сюрприз!

sdio ★★★★★ ()

Обнаружил что арендованный slave сервер да и вообще любой сервер DNS не забирает зону с моего master-a

стесняюсь спросить, а тут

/var/named/chroot/etc/named.conf
у тебя указано, кому bind имеет право давать зону?

novitchok ★★★★★ ()
Ответ на: комментарий от novitchok
allow-recursion {
any;
};

Конечно есть...

ЕМНИП, для передачи зоны используется 953 порт, а его твой бинд слушает только на локалхосте

Дорогой, наиумнейший анонимус, почитай для чего нужен порт 953! И еще, если вы не знаете зона забирается слейвом с 53 порта по tcp протоколу. Запрос имени происходит через udp протокол так же на 53 порту.

стесняюсь спросить, а тут

Конечно же да...

Еще раз пишу, сервер работал зоны затягивались... Конфиги ни кто не трогал...

notlive ()
Ответ на: комментарий от notlive

Ок, ок, твоя правда. Я все равно не был в этом до конца уверен, проверять было влом, но решил-таки написать на всякий случай :D

anonymous ()

1. tcpdump на внешнем интерфейсе, и запросись с внешнего же адреса (например, через 8.8.4.4 или 8.8.8.8) на какое-нибудь несуществующее имя, чтобы в кэш не попасть

2. показывай named.conf

no-dashi ★★★★★ ()
Ответ на: комментарий от notlive

Если уж приводить правила iptables, то в нормальном виде, с указанием интерфейсов (опция -v), или ″iptables-save″.

И, когда сканируете снаружи, запустите ″tcpdump″, если не увидите tcp-пакетов на 53 порт, значит режет провайдер.

mky ★★★★★ ()

named вроде надо перезапустить чтоб он начал слушать на новом интерфейсе.

а еще я бы посмотрел с помощью lsof слушает ли named нужный интерфейс

victorb ★★ ()
Последнее исправление: victorb (всего исправлений: 2)
29 апреля 2015 г.
Ответ на: комментарий от no-dashi

Решено

Забыл отметить пост решеным... Проблема была в рекурсивных запросах named.conf убрал рекурсию... Вторым делом позвонил провайдеру оказывается мне прикрыли 53 порт из-за рекурсии... Всем спасибо.

notlive ()
Ответ на: Решено от notlive

Провайдеру начистить рыло, ногами. Ты ещё проверь, чтобы они тебя через прокси «из лучших пожеланий» пускать не начали.

no-dashi ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.