[MASOCH-L] Problema com DNS self-hosted

Douglas Fischer fischerdouglas at gmail.com
Tue Oct 11 16:26:03 BRT 2016 

Desculpe, só ví que a resposta sobre solução do problema(bogon) havia vindo
numa queda de thread...

Em 11 de out de 2016 4:23 PM, "Douglas Fischer" <fischerdouglas at gmail.com>
escreveu:

> Estou no celular, logo os testes são difíceis de serem executados...
>
> Mas percebi que na primeira requisição contra teu NS2 eu não obtive
> resposta, mas na segunda a resposta veio corretamente.
>
> Eu já me bati com isso usando PF-Sense e o load blancing para o Dual Wan.
> Como está teu roteamento por origem nesses servers?
>
> Em 10 de out de 2016 6:13 PM, "Eduardo Rigler" <erigler at gmail.com>
> escreveu:
>
>> Acabei colando o link errado do MXToolBox na resposta anterior:
>>
>> http://mxtoolbox.com/SuperTool.aspx?action=a%3aa1.ind.br&run=toolpage#
>>
>> Você tem alguma ferramenta de bloqueio (fail2ban, CSF, iptables) neste
>> Servidor? Talvez valha a pena checá-los e/ou desabilitá-los até encontrar
>> o
>> problema.
>>
>> Recomendo um pente fino no NS1 (gateway defalt, rota, firewall, etc) e até
>> mesmo abrir outra porta na mesma máquina (ex. SSH, HTTP, etc) para
>> verificar se o roteamento está correto, aparentemente apenas a porta 25
>> (SMTP) está aberta no IP do seu NS1, confere?
>>
>> []´s
>> Eduardo.
>>
>>
>> Em 10 de outubro de 2016 17:57, Eduardo Rigler <erigler at gmail.com>
>> escreveu:
>>
>> >
>> > Márcio,
>> >
>> > Oct 10 17:51:33 ns1 named[2057]: client 46.43.8.64#46971: zone transfer
>> > xxxxxx.com.br/AXFR/IN' denied
>> >
>> > Vc acessou uma pagina de teste, é normal que apareça esse tipo de coisa
>> > nos logs :-)
>> >
>> >
>> > Domínio: a1.ind.br
>> > DNS: ns1.a1.ind.br
>> > Conexão recusada
>> > Versão: 0
>> > Tempo de resposta: 0.01 s
>> >
>> > Domínio: a1.ind.br
>> > DNS: ns2.a1.ind.br
>> > Autoridade sobre o domínio
>> > Versão: 2016101002
>> > Tempo de resposta: 0.01 s
>> >
>> > Outro site interessante:
>> >
>> > http://mxtoolbox.com/SuperTool.aspx?action=a%3aa1.ind.br&run=toolpage#
>> >
>> > Reported by ns2.a1.ind.br on 10/10/2016
>> >
>> > Não consegue colocar teu NS1 "de cara" pra internet? Pergunto pois fiz
>> um
>> > teste para o IP dele e a porta 53 (TCP/UDP) estão fechadas, falamos
>> sobre
>> > isso em algumas respostas anteriores na thread.
>> >
>> > Um tail -f no /var/log/syslog (ou onde estiver seu log) já retorna
>> > bastante coisa interessante também ;)
>> >
>> >
>> > []´s
>> >
>> >
>> >
>> > Em 10 de outubro de 2016 17:32, Marcio Vogel Merlone dos Santos <
>> > marcio.merlone at a1.ind.br> escreveu:
>> >
>> >> Opa!
>> >>
>> >> Mais informações: usando o site howismydns.com como cobaia subi o
>> named
>> >> em foreground (/usr/sbin/named -f -u bind -d 200 -g 2>&1 | tee -a
>> /tmp/log)
>> >> e tive esta informação relevante:
>> >>
>> >> 10-Oct-2016 17:15:23.449 client 46.43.8.64#17763: received DSCP 0
>> >> 10-Oct-2016 17:15:23.449 client 46.43.8.64#17763: UDP request
>> >> 10-Oct-2016 17:15:23.449 client 46.43.8.64#17763: *blackholed UDP
>> >> datagram*
>> >> 10-Oct-2016 17:15:23.449 client 46.43.8.64#17763: next
>> >> 10-Oct-2016 17:15:23.449 client 46.43.8.64#17763: endrequest
>> >> 10-Oct-2016 17:15:23.449 client @0x7f4dc80aec50: udprecv
>> >>
>> >> Pesquisando rapidamente no Google tive somente uma página de resultados
>> >> só com código fonte do client.c e um link para malware. Obviamente não
>> pus
>> >> o ip do howismydns (46.43.8.64) em nenhuma lista de bloqueio. Alguém
>> já viu
>> >> isto, tem alguma ideia?
>> >>
>> >> Grato por any pitaco.
>> >>
>> >>
>> >> Em 07/10/2016 17:25, Marcio Vogel Merlone dos Santos escreveu:
>> >>
>> >>> Olá Pessoal,
>> >>>
>> >>> Somos uma pequena empresa de engenharia mas mantemos nossa estrutura
>> >>> pública de internet (NS, MX, etc) internamente por um link Copel e
>> outro
>> >>> Algar, cada um com um NS e MX. O MX1 e NS1 estão no mesmo
>> endereço/link
>> >>> desde o começo do ano.
>> >>>
>> >>> Esta semana tive que mudar apenas o MX2 e NS2 de local e então
>> >>> aproveitei para implementar o DNSSEC.
>> >>>
>> >>> Há dois dias estou tendo problemas em que alguns domínios na internet
>> >>> não conseguem consultar nosso DNS e como consequência perdemos
>> comunicação
>> >>> por email com estes domínios. Primeira medida foi dar rollback no
>> DNSSEC
>> >>> mas sem sucesso.
>> >>>
>> >>> Testando com ferramentas online algumas reportam tudo OK e outras não:
>> >>>
>> >>> OK:
>> >>>
>> >>>  * http://dnscheck.iis.se/
>> >>>  * https://intodns.com/a1.ind.br
>> >>>  * https://www.dnssniffer.com/tools/dnscheck
>> >>>  * http://www.kloth.net/services/dig.php
>> >>>
>> >>> Erro:
>> >>>
>> >>>  * http://www.ipok.com.br/dnsreportcgi.php?tool=dnsreport&valor
>> >>> =a1.ind.br
>> >>>  * http://www.howismydns.com/dns-dnstest
>> >>>  * http://dnscheck.pingdom.com/?domain=a1.ind.br
>> >>>  * http://www.dnsstuff.com/tools/dnsreport.ch/#dnsReport|type=d
>> >>> omain&&value=a1.ind.br
>> >>>
>> >>> Curioso que no caso do IPOK o teste de ping no 187.72.92.2 (
>> >>> ns1.a1.ind.br) vai com sucesso. Já falei com a operadora e me
>> >>> garantiram que não tem nenhum problema do lado deles. Em meu firewall
>> >>> (pfSense) puxei a regra que dá acesso pro topo, antes de qualquer
>> bloqueio,
>> >>> sem resultado.
>> >>>
>> >>> Alguém consegue fazer algum sentido nisto? Se alguém puder me ajudar
>> >>> fico muito grato, não consigo mais imaginar onde está o problema.
>> >>>
>> >>> Grato e bom fim de semana.
>> >>>
>> >>>
>> >>>
>> >> --
>> >> *Marcio Merlone*
>> >> TI - Administrador de redes
>> >>
>> >> *A1 Engenharia - Unidade Corporativa*
>> >> Fone:   +55 41 3616-3797
>> >> Cel:    +55 41 9689-0036
>> >>
>> >> http://www.a1.ind.br/ <http://www.a1.ind.br>
>> >>
>> >> __
>> >> masoch-l list
>> >> https://eng.registro.br/mailman/listinfo/masoch-l
>> >>
>> >
>> >
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>

More information about the masoch-l mailing list