[MASOCH-L] Problema com DNS self-hosted

Eduardo Rigler erigler at gmail.com
Tue Oct 11 16:29:38 BRT 2016 

Douglas,

Relaxa, sabe-se lá porque ele acabou respondendo em uma thread nova e
parece que já está tudo certo. A coisa começou com uma uma mudança simples
de servidor de lugar físico e terminou com bogons, às vezes me falta uma
bola de cristal :-)

[]´s


Em 11 de outubro de 2016 16:23, Douglas Fischer <fischerdouglas at gmail.com>
escreveu:

> Estou no celular, logo os testes são difíceis de serem executados...
>
> Mas percebi que na primeira requisição contra teu NS2 eu não obtive
> resposta, mas na segunda a resposta veio corretamente.
>
> Eu já me bati com isso usando PF-Sense e o load blancing para o Dual Wan.
> Como está teu roteamento por origem nesses servers?
>
> Em 10 de out de 2016 6:13 PM, "Eduardo Rigler" <erigler at gmail.com>
> escreveu:
>
> > Acabei colando o link errado do MXToolBox na resposta anterior:
> >
> > http://mxtoolbox.com/SuperTool.aspx?action=a%3aa1.ind.br&run=toolpage#
> >
> > Você tem alguma ferramenta de bloqueio (fail2ban, CSF, iptables) neste
> > Servidor? Talvez valha a pena checá-los e/ou desabilitá-los até
> encontrar o
> > problema.
> >
> > Recomendo um pente fino no NS1 (gateway defalt, rota, firewall, etc) e
> até
> > mesmo abrir outra porta na mesma máquina (ex. SSH, HTTP, etc) para
> > verificar se o roteamento está correto, aparentemente apenas a porta 25
> > (SMTP) está aberta no IP do seu NS1, confere?
> >
> > []´s
> > Eduardo.
> >
> >
> > Em 10 de outubro de 2016 17:57, Eduardo Rigler <erigler at gmail.com>
> > escreveu:
> >
> > >
> > > Márcio,
> > >
> > > Oct 10 17:51:33 ns1 named[2057]: client 46.43.8.64#46971: zone transfer
> > > xxxxxx.com.br/AXFR/IN' denied
> > >
> > > Vc acessou uma pagina de teste, é normal que apareça esse tipo de coisa
> > > nos logs :-)
> > >
> > >
> > > Domínio: a1.ind.br
> > > DNS: ns1.a1.ind.br
> > > Conexão recusada
> > > Versão: 0
> > > Tempo de resposta: 0.01 s
> > >
> > > Domínio: a1.ind.br
> > > DNS: ns2.a1.ind.br
> > > Autoridade sobre o domínio
> > > Versão: 2016101002
> > > Tempo de resposta: 0.01 s
> > >
> > > Outro site interessante:
> > >
> > > http://mxtoolbox.com/SuperTool.aspx?action=a%3aa1.ind.br&run=toolpage#
> > >
> > > Reported by ns2.a1.ind.br on 10/10/2016
> > >
> > > Não consegue colocar teu NS1 "de cara" pra internet? Pergunto pois fiz
> um
> > > teste para o IP dele e a porta 53 (TCP/UDP) estão fechadas, falamos
> sobre
> > > isso em algumas respostas anteriores na thread.
> > >
> > > Um tail -f no /var/log/syslog (ou onde estiver seu log) já retorna
> > > bastante coisa interessante também ;)
> > >
> > >
> > > []´s
> > >
> > >
> > >
> > > Em 10 de outubro de 2016 17:32, Marcio Vogel Merlone dos Santos <
> > > marcio.merlone at a1.ind.br> escreveu:
> > >
> > >> Opa!
> > >>
> > >> Mais informações: usando o site howismydns.com como cobaia subi o
> named
> > >> em foreground (/usr/sbin/named -f -u bind -d 200 -g 2>&1 | tee -a
> > /tmp/log)
> > >> e tive esta informação relevante:
> > >>
> > >> 10-Oct-2016 17:15:23.449 client 46.43.8.64#17763: received DSCP 0
> > >> 10-Oct-2016 17:15:23.449 client 46.43.8.64#17763: UDP request
> > >> 10-Oct-2016 17:15:23.449 client 46.43.8.64#17763: *blackholed UDP
> > >> datagram*
> > >> 10-Oct-2016 17:15:23.449 client 46.43.8.64#17763: next
> > >> 10-Oct-2016 17:15:23.449 client 46.43.8.64#17763: endrequest
> > >> 10-Oct-2016 17:15:23.449 client @0x7f4dc80aec50: udprecv
> > >>
> > >> Pesquisando rapidamente no Google tive somente uma página de
> resultados
> > >> só com código fonte do client.c e um link para malware. Obviamente não
> > pus
> > >> o ip do howismydns (46.43.8.64) em nenhuma lista de bloqueio. Alguém
>> > viu
> > >> isto, tem alguma ideia?
> > >>
> > >> Grato por any pitaco.
> > >>
> > >>
> > >> Em 07/10/2016 17:25, Marcio Vogel Merlone dos Santos escreveu:
> > >>
> > >>> Olá Pessoal,
> > >>>
> > >>> Somos uma pequena empresa de engenharia mas mantemos nossa estrutura
> > >>> pública de internet (NS, MX, etc) internamente por um link Copel e
> > outro
> > >>> Algar, cada um com um NS e MX. O MX1 e NS1 estão no mesmo
> endereço/link
> > >>> desde o começo do ano.
> > >>>
> > >>> Esta semana tive que mudar apenas o MX2 e NS2 de local e então
> > >>> aproveitei para implementar o DNSSEC.
> > >>>
> > >>> Há dois dias estou tendo problemas em que alguns domínios na internet
> > >>> não conseguem consultar nosso DNS e como consequência perdemos
> > comunicação
> > >>> por email com estes domínios. Primeira medida foi dar rollback no
> > DNSSEC
> > >>> mas sem sucesso.
> > >>>
> > >>> Testando com ferramentas online algumas reportam tudo OK e outras
> não:
> > >>>
> > >>> OK:
> > >>>
> > >>>  * http://dnscheck.iis.se/
> > >>>  * https://intodns.com/a1.ind.br
> > >>>  * https://www.dnssniffer.com/tools/dnscheck
> > >>>  * http://www.kloth.net/services/dig.php
> > >>>
> > >>> Erro:
> > >>>
> > >>>  * http://www.ipok.com.br/dnsreportcgi.php?tool=dnsreport&valor
> > >>> =a1.ind.br
> > >>>  * http://www.howismydns.com/dns-dnstest
> > >>>  * http://dnscheck.pingdom.com/?domain=a1.ind.br
> > >>>  * http://www.dnsstuff.com/tools/dnsreport.ch/#dnsReport|type=d
> > >>> omain&&value=a1.ind.br
> > >>>
> > >>> Curioso que no caso do IPOK o teste de ping no 187.72.92.2 (
> > >>> ns1.a1.ind.br) vai com sucesso. Já falei com a operadora e me
> > >>> garantiram que não tem nenhum problema do lado deles. Em meu firewall
> > >>> (pfSense) puxei a regra que dá acesso pro topo, antes de qualquer
> > bloqueio,
> > >>> sem resultado.
> > >>>
> > >>> Alguém consegue fazer algum sentido nisto? Se alguém puder me ajudar
> > >>> fico muito grato, não consigo mais imaginar onde está o problema.
> > >>>
> > >>> Grato e bom fim de semana.
> > >>>
> > >>>
> > >>>
> > >> --
> > >> *Marcio Merlone*
> > >> TI - Administrador de redes
> > >>
> > >> *A1 Engenharia - Unidade Corporativa*
> > >> Fone:   +55 41 3616-3797
> > >> Cel:    +55 41 9689-0036
> > >>
> > >> http://www.a1.ind.br/ <http://www.a1.ind.br>
> > >>
> > >> __
> > >> masoch-l list
> > >> https://eng.registro.br/mailman/listinfo/masoch-l
> > >>
> > >
> > >
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>

More information about the masoch-l mailing list