nixp.ru v3.0

21 января 2017,
суббота,
07:29:51 MSK

DevOps с компанией «Флант»
Uncle Theodore написал 3 июня 2004 года в 07:32 (400 просмотров) Ведет себя неопределенно; открыл 58 тем в форуме, оставил 1537 комментариев на сайте.

Что-то я туплю… Ситуация такая. Мой ISP (университетский DSL) запрещает мне гонять DNS сервер на моей машине. Но их DNS глючен до безобразия, иной раз приходится по пять раз коннектиться к одной странице, пробиваясь через Resolving-Not Found. Соответственно,

я поствил named (caching only) на свой DSL router (на нем две ethernet-карточки, у одной 192.168.0.1, у другой routable IP от моего ISP). На нем кроме named бегает sshd. Так вот,

sshd настоен так, что он слушает только на 192.168.0.1, т.е. на внутренней сети. Снаружи, т.е. nmap <внешний IP> не показывает ни одного открытого порта. Это было в настройках сервера (sshd).

Теперь, я включаю named, и nmap показывает, что 53 порт на внешнем IP открыт.

Я пишу iptables -A INPUT -d $INETADDR -p tcp —dport 53 -j DROP и nmap говорит

Port State Service

53/tcp filtered domain

telnet не подсоединяется к 53 порту на внешнем IP, но порт все равно виден! и моему ISP будет понятно, что я гоняю запрещеный сервис…

Никто не знает как сделать, чтобы named был вообще невиден снаружи, как sshd, который тоже бегает на этой машине?

Good Luck,

UT

Дмитрий Шурупов

-j REJECT —reject-with icmp-port-unreachable?

Longobard

А через настройки самого named это никак не сделать?

Negative
SHuRuP
-j REJECT —reject-with icmp-port-unreachable?

неа, filtered

кстати, светить вот так закрытые порты может по-моему только nmap, остальные обламываются

Longobard
Negative
неа, filtered

кстати, светить вот так закрытые порты может по-моему только nmap, остальные обламываются

Гы. Дык это просто. На такие порты сокет открывается но FIN не получается. Там просто таймер и усе.

Uncle Theodore

Я тоже покрутил разные опции, в том числе SHuRuPов совет, все одно filtered :-(

Ну, в принципе, не будь они там такими идиотами, я б мог сказать, что filtered порт для них не опасен, поскольку запросов снаружи не принимает, и развернуть трафик не может. С другой стороны, если они такие идиоты, может они и про nmap не знают?

Надо подумать, может есть какой хитрый способ заставить named не слушать на одном интерфейсе…

Good Luck,

UT

anonymous

Временное решение запустить dns сервак на другом порту.

В настройках iptables должна быть по идеи опция, которая не позволяла бы nmap определять filtered порты.

P.S. А теперь самое идиотское решение:) Запускать DNS сервак до того, как стартанул eth1.

Longobard
test
Временное решение запустить dns сервак на другом порту.

В настройках iptables должна быть по идеи опция, которая не позволяла бы nmap определять filtered порты.

P.S. А теперь самое идиотское решение:) Запускать DNS сервак до того, как стартанул eth1.

Это не будет работать. Потому что он все равно потом получит пакеты с запущенного позже eth1.

Попробуй может MIRROR действие? Или сделай REDIRECT всех пакетов из внешней сети, приходящих на 53 порт, на какой-нить закрытый порт. По идее должно сработать :)

Uncle Theodore
LONGOBARD
Это не будет работать. Потому что он все равно потом получит пакеты с запущенного позже eth1.

Попробуй может MIRROR действие? Или сделай REDIRECT всех пакетов из внешней сети, приходящих на 53 порт, на какой-нить закрытый порт. По идее должно сработать :)

Ура!! Заработало!!

iptables -t nat -A PREROUTING -d $INETADDR -p tcp —dport 53 -j\

REDIRECT —to-ports 60000

All 1659 scanned ports on <…> are: closed

Nmap run completed — 1 IP address (1 host up) scanned in 0.714 seconds

Большое спасибо.

Good Luck,

UT

Longobard

Всегда рад помочь :)

anonymous

в named.conf добавить:

options {

listen-on { 192.168.0.1; };

};

Uncle Theodore
Backspace
в named.conf добавить:

options {

listen-on { 192.168.0.1; };

};

Только что прочитал. Работает! Спасибо. :-)

Good Luck,

UT

Genie

вообще бы еще и 127.0.0.1 разрешить :)

и вставить forwarders

Uncle Theodore

Да я разрешил… Только работать он стал медленнее значительно. Наверное, я вернусь к старой системе.

Good Luck,

UT

Genie

что значит медленне значительно?»

чего говорят netstat -a|grep ':53\′?

у меня:

options {
        directory "/var/cache/bind";
        forwarders {
                193.232.88.17;
                217.118.66.243;
        };
        auth-nxdomain no;    # conform to RFC1035
        listen-on {
                127.0.0.1;
                192.168.0.2;
        };
};
#.. стандартное
zone "local.net" {
        type slave;
        file "/etc/bind/db.local.net";
        masters {
                 192.168.0.1;
        };
};
zone "168.192.in-addr.arpa" {
        type slave;
        file "/etc/bind/db.168.192";
        masters {
                 192.168.0.1;
        };
};

работает без торможения…

Uncle Theodore

Да, только у меня форвардеров нету (ну нафик, связываться). Почему-то dig yahoo.com, скажем, в моем случае занимает 150 msec, а с «listen-on» — около 3000 msec. Может, конечно, когда я тестил, связь медленнее была…

Я переезжаю через неделю, на новом месте буду все конфигурить с нуля, там кабельный модем будет, и я подумываю о новом компьютере, так что там все настроим по высшему разряду. Я еще надоем своими вопросами :-)

Good Luck,

UT

Genie

Дык поставь в forwarders ближайщие к тебе стабильные dns-сервера и не мучься.

Не обязательно университетские, можно более другие.

Найти провайдера и пользоваться его dns-серверами, к примеру — очень неплохой выбор..

Оно и понятно, что без forwarders при включении listen-on сервер bind (предположительно) пытается отослать пакеты с ранее открытых сокетов, и лишь потом открывает новый сокет на нужном интерфейсе и лезет до корневых серверов.

ecobeingecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.