El Martes, 3 de Marzo de 2009, Victor Hugo dos Santos escribió:
2009/3/3 jose maria
: [...]
* Tcp se utiliza para las transferencias de zonas y excepcionalmente para tamaños de trama lo que evita consultas a los root servers, es decir es "obligatorio" tenerlo disponible, actualmente se esta obligando a este tipo de consulta, como medida de seguridad ante el problema, recientemente descubierto, en el protocolo.
* Cierra en el cortafuegos del servidor UDP 53 y abre el tcp 53 , borra de /etc/services la linea domain para UDP, sobre todo en los clientes.
nooo.. no funciona asi !!! :-( vea:
en el servidor bloqueo el puerto 53 udp para mi IP (segunda linea) ============= $sudo iptables -L -n | grep "dpt:53" REJECT udp -- 172.16.100.150 0.0.0.0/0 udp dpt:53 reject-with icmp-port-unreachable allowed tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 =============
* 1.- Entonces no lo bloqueas bien, o en /etc/named.conf NO estas obligando a Dns a escuchar obligatoriamente en el 53, aqui y en sebastopol si en udp 53 no hay nada no se contesta nada.
ahora, comento la linea que mencionas en /etc/services (en mi equipo) ============= $ cat /etc/services | grep domain domain 53/tcp # name-domain server #domain 53/udp =============
y hago una consulta al dominio: ============= $ dig @10.0.0.98 www.google.com
; <<>> DiG 9.5.1-P1 <<>> @10.0.0.98 www.google.com ; (1 server found) ;; global options: printcmd ;; connection timed out; no servers could be reached =============
se "especifico" que la consulta sea por TCP, entonces funciona: ============= $ dig @10.0.0.98 www.google.com +vc +short www.l.google.com. 209.85.195.104 209.85.195.99 =============
* 2.- Dig es una herramienta y por tanto hace lo que le dices y si no le dices nada consulta a UDP primero, firefox no usa dig , pregunta al S.O. y este lee /etc/services ve cual es el protocolo "comunmente conocido" lee /etc/host.conf y si el orden es dns, files pues primero dns y luego /etc/hosts e ira al 53 tcp si la aplicacion no tiene implementado en su codigo la consulta dns, si lo tiene lo tendra segun el standard y alli en el udp 53 NO habra nada.