[MASOCH-L] RESOLVIDO - era: Re: Problema com DNS self-hosted

[Marcio Vogel Merlone dos Santos]

Olá,

Vergonhosamente (claro!) encontrei o problema depois de rodar o bind em 
foreground, tcpdump, estudar cada opção do firewall, só faltou rodar o 
bind sob strace. No final a solução foi comentar a linha abaixo no 
named.conf.options:

blackhole            { bogon; };

O que me gera a dúvida: no pfsense, por exemplo, há uma rotina para 
atualização da lista de bogons, de onde o BIND pega a lista dele? Será 
que estou usando uma lista desatualizada? Onde encontro esta lista de 
bogons que o bind usa? Tantas questões para o Google.... mas se alguém 
puder dizer algo sobre o assunto agradeço.

Grato a todos pelo empenho.

Em 10/10/2016 17:32, Marcio Vogel Merlone dos Santos escreveu:
> Opa!
>
> Mais informações: usando o site howismydns.com como cobaia subi o 
> named em foreground (/usr/sbin/named -f -u bind -d 200 -g 2>&1 | tee 
> -a /tmp/log) e tive esta informação relevante:
>
> 10-Oct-2016 17:15:23.449 client 46.43.8.64#17763: received DSCP 0
> 10-Oct-2016 17:15:23.449 client 46.43.8.64#17763: UDP request
> 10-Oct-2016 17:15:23.449 client 46.43.8.64#17763: *blackholed UDP 
> datagram*
> 10-Oct-2016 17:15:23.449 client 46.43.8.64#17763: next
> 10-Oct-2016 17:15:23.449 client 46.43.8.64#17763: endrequest
> 10-Oct-2016 17:15:23.449 client @0x7f4dc80aec50: udprecv
>
> Pesquisando rapidamente no Google tive somente uma página de 
> resultados só com código fonte do client.c e um link para malware. 
> Obviamente não pus o ip do howismydns (46.43.8.64) em nenhuma lista de 
> bloqueio. Alguém já viu isto, tem alguma ideia?
>
> Grato por any pitaco.
>
>
> Em 07/10/2016 17:25, Marcio Vogel Merlone dos Santos escreveu:
>> Olá Pessoal,
>>
>> Somos uma pequena empresa de engenharia mas mantemos nossa estrutura 
>> pública de internet (NS, MX, etc) internamente por um link Copel e 
>> outro Algar, cada um com um NS e MX. O MX1 e NS1 estão no mesmo 
>> endereço/link desde o começo do ano.
>>
>> Esta semana tive que mudar apenas o MX2 e NS2 de local e então 
>> aproveitei para implementar o DNSSEC.
>>
>> Há dois dias estou tendo problemas em que alguns domínios na internet 
>> não conseguem consultar nosso DNS e como consequência perdemos 
>> comunicação por email com estes domínios. Primeira medida foi dar 
>> rollback no DNSSEC mas sem sucesso.
>>
>> Testando com ferramentas online algumas reportam tudo OK e outras não:
>>
>> OK:
>>
>>  * http://dnscheck.iis.se/
>>  * https://intodns.com/a1.ind.br
>>  * https://www.dnssniffer.com/tools/dnscheck
>>  * http://www.kloth.net/services/dig.php
>>
>> Erro:
>>
>>  * http://www.ipok.com.br/dnsreportcgi.php?tool=dnsreport&valor=a1.ind.br
>>  * http://www.howismydns.com/dns-dnstest
>>  * http://dnscheck.pingdom.com/?domain=a1.ind.br
>>  * 
>> http://www.dnsstuff.com/tools/dnsreport.ch/#dnsReport|type=domain&&value=a1.ind.br
>>
>> Curioso que no caso do IPOK o teste de ping no 187.72.92.2 
>> (ns1.a1.ind.br) vai com sucesso. Já falei com a operadora e me 
>> garantiram que não tem nenhum problema do lado deles. Em meu firewall 
>> (pfSense) puxei a regra que dá acesso pro topo, antes de qualquer 
>> bloqueio, sem resultado.
>>
>> Alguém consegue fazer algum sentido nisto? Se alguém puder me ajudar 
>> fico muito grato, não consigo mais imaginar onde está o problema.
>>
>> Grato e bom fim de semana.
>>
>>
>

-- 
*Marcio Merlone*
TI - Administrador de redes

*A1 Engenharia - Unidade Corporativa*
Fone: 	+55 41 3616-3797
Cel: 	+55 41 9689-0036

http://www.a1.ind.br/ <http://www.a1.ind.br>