[MASOCH-L] Problema com DNS self-hosted

Douglas Fischer fischerdouglas at gmail.com
Tue Oct 11 16:23:46 -03 2016


Estou no celular, logo os testes são difíceis de serem executados...

Mas percebi que na primeira requisição contra teu NS2 eu não obtive
resposta, mas na segunda a resposta veio corretamente.

Eu já me bati com isso usando PF-Sense e o load blancing para o Dual Wan.
Como está teu roteamento por origem nesses servers?

Em 10 de out de 2016 6:13 PM, "Eduardo Rigler" <erigler at gmail.com> escreveu:

> Acabei colando o link errado do MXToolBox na resposta anterior:
>
> http://mxtoolbox.com/SuperTool.aspx?action=a%3aa1.ind.br&run=toolpage#
>
> Você tem alguma ferramenta de bloqueio (fail2ban, CSF, iptables) neste
> Servidor? Talvez valha a pena checá-los e/ou desabilitá-los até encontrar o
> problema.
>
> Recomendo um pente fino no NS1 (gateway defalt, rota, firewall, etc) e até
> mesmo abrir outra porta na mesma máquina (ex. SSH, HTTP, etc) para
> verificar se o roteamento está correto, aparentemente apenas a porta 25
> (SMTP) está aberta no IP do seu NS1, confere?
>
> []´s
> Eduardo.
>
>
> Em 10 de outubro de 2016 17:57, Eduardo Rigler <erigler at gmail.com>
> escreveu:
>
> >
> > Márcio,
> >
> > Oct 10 17:51:33 ns1 named[2057]: client 46.43.8.64#46971: zone transfer
> > xxxxxx.com.br/AXFR/IN' denied
> >
> > Vc acessou uma pagina de teste, é normal que apareça esse tipo de coisa
> > nos logs :-)
> >
> >
> > Domínio: a1.ind.br
> > DNS: ns1.a1.ind.br
> > Conexão recusada
> > Versão: 0
> > Tempo de resposta: 0.01 s
> >
> > Domínio: a1.ind.br
> > DNS: ns2.a1.ind.br
> > Autoridade sobre o domínio
> > Versão: 2016101002
> > Tempo de resposta: 0.01 s
> >
> > Outro site interessante:
> >
> > http://mxtoolbox.com/SuperTool.aspx?action=a%3aa1.ind.br&run=toolpage#
> >
> > Reported by ns2.a1.ind.br on 10/10/2016
> >
> > Não consegue colocar teu NS1 "de cara" pra internet? Pergunto pois fiz um
> > teste para o IP dele e a porta 53 (TCP/UDP) estão fechadas, falamos sobre
> > isso em algumas respostas anteriores na thread.
> >
> > Um tail -f no /var/log/syslog (ou onde estiver seu log) já retorna
> > bastante coisa interessante também ;)
> >
> >
> > []´s
> >
> >
> >
> > Em 10 de outubro de 2016 17:32, Marcio Vogel Merlone dos Santos <
> > marcio.merlone at a1.ind.br> escreveu:
> >
> >> Opa!
> >>
> >> Mais informações: usando o site howismydns.com como cobaia subi o named
> >> em foreground (/usr/sbin/named -f -u bind -d 200 -g 2>&1 | tee -a
> /tmp/log)
> >> e tive esta informação relevante:
> >>
> >> 10-Oct-2016 17:15:23.449 client 46.43.8.64#17763: received DSCP 0
> >> 10-Oct-2016 17:15:23.449 client 46.43.8.64#17763: UDP request
> >> 10-Oct-2016 17:15:23.449 client 46.43.8.64#17763: *blackholed UDP
> >> datagram*
> >> 10-Oct-2016 17:15:23.449 client 46.43.8.64#17763: next
> >> 10-Oct-2016 17:15:23.449 client 46.43.8.64#17763: endrequest
> >> 10-Oct-2016 17:15:23.449 client @0x7f4dc80aec50: udprecv
> >>
> >> Pesquisando rapidamente no Google tive somente uma página de resultados
> >> só com código fonte do client.c e um link para malware. Obviamente não
> pus
> >> o ip do howismydns (46.43.8.64) em nenhuma lista de bloqueio. Alguém já
> viu
> >> isto, tem alguma ideia?
> >>
> >> Grato por any pitaco.
> >>
> >>
> >> Em 07/10/2016 17:25, Marcio Vogel Merlone dos Santos escreveu:
> >>
> >>> Olá Pessoal,
> >>>
> >>> Somos uma pequena empresa de engenharia mas mantemos nossa estrutura
> >>> pública de internet (NS, MX, etc) internamente por um link Copel e
> outro
> >>> Algar, cada um com um NS e MX. O MX1 e NS1 estão no mesmo endereço/link
> >>> desde o começo do ano.
> >>>
> >>> Esta semana tive que mudar apenas o MX2 e NS2 de local e então
> >>> aproveitei para implementar o DNSSEC.
> >>>
> >>> Há dois dias estou tendo problemas em que alguns domínios na internet
> >>> não conseguem consultar nosso DNS e como consequência perdemos
> comunicação
> >>> por email com estes domínios. Primeira medida foi dar rollback no
> DNSSEC
> >>> mas sem sucesso.
> >>>
> >>> Testando com ferramentas online algumas reportam tudo OK e outras não:
> >>>
> >>> OK:
> >>>
> >>>  * http://dnscheck.iis.se/
> >>>  * https://intodns.com/a1.ind.br
> >>>  * https://www.dnssniffer.com/tools/dnscheck
> >>>  * http://www.kloth.net/services/dig.php
> >>>
> >>> Erro:
> >>>
> >>>  * http://www.ipok.com.br/dnsreportcgi.php?tool=dnsreport&valor
> >>> =a1.ind.br
> >>>  * http://www.howismydns.com/dns-dnstest
> >>>  * http://dnscheck.pingdom.com/?domain=a1.ind.br
> >>>  * http://www.dnsstuff.com/tools/dnsreport.ch/#dnsReport|type=d
> >>> omain&&value=a1.ind.br
> >>>
> >>> Curioso que no caso do IPOK o teste de ping no 187.72.92.2 (
> >>> ns1.a1.ind.br) vai com sucesso. Já falei com a operadora e me
> >>> garantiram que não tem nenhum problema do lado deles. Em meu firewall
> >>> (pfSense) puxei a regra que dá acesso pro topo, antes de qualquer
> bloqueio,
> >>> sem resultado.
> >>>
> >>> Alguém consegue fazer algum sentido nisto? Se alguém puder me ajudar
> >>> fico muito grato, não consigo mais imaginar onde está o problema.
> >>>
> >>> Grato e bom fim de semana.
> >>>
> >>>
> >>>
> >> --
> >> *Marcio Merlone*
> >> TI - Administrador de redes
> >>
> >> *A1 Engenharia - Unidade Corporativa*
> >> Fone:   +55 41 3616-3797
> >> Cel:    +55 41 9689-0036
> >>
> >> http://www.a1.ind.br/ <http://www.a1.ind.br>
> >>
> >> __
> >> masoch-l list
> >> https://eng.registro.br/mailman/listinfo/masoch-l
> >>
> >
> >
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



More information about the masoch-l mailing list