Mailinglist Archive: opensuse-es (1145 mails)
| < Previous | Next > |
Re: [opensuse-es] Consultas DNS mediante TCP
- From: Victor Hugo dos Santos <listas.vhs@xxxxxxxxx>
- Date: Tue, 3 Mar 2009 11:05:17 -0300
- Message-id: <5dce4940903030605y231f1b47hd8209af3bb01cc2d@xxxxxxxxxxxxxx>
2009/3/3 jose maria <letrados@xxxxxxxxxxx>:
[...]
nooo.. no funciona asi !!! :-(
vea:
en el servidor bloqueo el puerto 53 udp para mi IP (segunda linea)
=============
$sudo iptables -L -n | grep "dpt:53"
REJECT udp -- 172.16.100.150 0.0.0.0/0 udp
dpt:53 reject-with icmp-port-unreachable
allowed tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
=============
ahora, comento la linea que mencionas en /etc/services (en mi equipo)
=============
$ cat /etc/services | grep domain
domain 53/tcp # name-domain server
#domain 53/udp
=============
y hago una consulta al dominio:
=============
$ dig @10.0.0.98 www.google.com
; <<>> DiG 9.5.1-P1 <<>> @10.0.0.98 www.google.com
; (1 server found)
;; global options: printcmd
;; connection timed out; no servers could be reached
=============
se "especifico" que la consulta sea por TCP, entonces funciona:
=============
$ dig @10.0.0.98 www.google.com +vc +short
www.l.google.com.
209.85.195.104
209.85.195.99
=============
o sea:
el cliente utiliza TCP una vez que el servidor indica que la respuesta
a su consulta debe de ir por TCP porque el tamano maximo permitido
supera el limite por UDP... pero el cliente antes necesita conectarse
por UDP al servidor (a no ser que se especifique el contrario, como en
el segun ejemplo)..
pero solamente bloquear el UDP en el cortafuegos "no" funciona.
salu2
--
--
Victor Hugo dos Santos
Linux Counter #224399
--
Para dar de baja la suscripción, mande un mensaje a:
opensuse-es+unsubscribe@xxxxxxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
opensuse-es+help@xxxxxxxxxxxx
[...]
* Tcp se utiliza para las transferencias de zonas y excepcionalmente para
tamaños de trama lo que evita consultas a los root servers, es decir
es "obligatorio" tenerlo disponible, actualmente se esta obligando a este
tipo de consulta, como medida de seguridad ante el problema, recientemente
descubierto, en el protocolo.
* Cierra en el cortafuegos del servidor UDP 53 y abre el tcp 53 , borra
de /etc/services la linea domain para UDP, sobre todo en los clientes.
nooo.. no funciona asi !!! :-(
vea:
en el servidor bloqueo el puerto 53 udp para mi IP (segunda linea)
=============
$sudo iptables -L -n | grep "dpt:53"
REJECT udp -- 172.16.100.150 0.0.0.0/0 udp
dpt:53 reject-with icmp-port-unreachable
allowed tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
=============
ahora, comento la linea que mencionas en /etc/services (en mi equipo)
=============
$ cat /etc/services | grep domain
domain 53/tcp # name-domain server
#domain 53/udp
=============
y hago una consulta al dominio:
=============
$ dig @10.0.0.98 www.google.com
; <<>> DiG 9.5.1-P1 <<>> @10.0.0.98 www.google.com
; (1 server found)
;; global options: printcmd
;; connection timed out; no servers could be reached
=============
se "especifico" que la consulta sea por TCP, entonces funciona:
=============
$ dig @10.0.0.98 www.google.com +vc +short
www.l.google.com.
209.85.195.104
209.85.195.99
=============
o sea:
el cliente utiliza TCP una vez que el servidor indica que la respuesta
a su consulta debe de ir por TCP porque el tamano maximo permitido
supera el limite por UDP... pero el cliente antes necesita conectarse
por UDP al servidor (a no ser que se especifique el contrario, como en
el segun ejemplo)..
pero solamente bloquear el UDP en el cortafuegos "no" funciona.
salu2
--
--
Victor Hugo dos Santos
Linux Counter #224399
--
Para dar de baja la suscripción, mande un mensaje a:
opensuse-es+unsubscribe@xxxxxxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
opensuse-es+help@xxxxxxxxxxxx
| < Previous | Next > |