Mailinglist Archive: opensuse-es (1145 mails)
| < Previous | Next > |
Re: [opensuse-es] Consultas DNS mediante TCP
- From: jose maria <letrados@xxxxxxxxxxx>
- Date: Thu, 5 Mar 2009 17:04:25 +0100
- Message-id: <200903051704.43203.letrados@xxxxxxxxxxx>
El Martes, 3 de Marzo de 2009, Victor Hugo dos Santos escribió:
* 1.- Entonces no lo bloqueas bien, o en /etc/named.conf NO estas obligando a
Dns a escuchar obligatoriamente en el 53, aqui y en sebastopol si en udp 53
no hay nada no se contesta nada.
* 2.- Dig es una herramienta y por tanto hace lo que le dices y si no le dices
nada consulta a UDP primero, firefox no usa dig , pregunta al S.O. y este
lee /etc/services ve cual es el protocolo "comunmente conocido"
lee /etc/host.conf y si el orden es dns, files pues primero dns y
luego /etc/hosts e ira al 53 tcp si la aplicacion no tiene implementado en su
codigo la consulta dns, si lo tiene lo tendra segun el standard y alli en el
udp 53 NO habra nada.
2009/3/3 jose maria <letrados@xxxxxxxxxxx>:
[...]
* Tcp se utiliza para las transferencias de zonas y excepcionalmente para
tamaños de trama lo que evita consultas a los root servers, es decir
es "obligatorio" tenerlo disponible, actualmente se esta obligando a este
tipo de consulta, como medida de seguridad ante el problema,
recientemente descubierto, en el protocolo.
* Cierra en el cortafuegos del servidor UDP 53 y abre el tcp 53 , borra
de /etc/services la linea domain para UDP, sobre todo en los clientes.
nooo.. no funciona asi !!! :-(
vea:
en el servidor bloqueo el puerto 53 udp para mi IP (segunda linea)
=============
$sudo iptables -L -n | grep "dpt:53"
REJECT udp -- 172.16.100.150 0.0.0.0/0 udp
dpt:53 reject-with icmp-port-unreachable
allowed tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
=============
* 1.- Entonces no lo bloqueas bien, o en /etc/named.conf NO estas obligando a
Dns a escuchar obligatoriamente en el 53, aqui y en sebastopol si en udp 53
no hay nada no se contesta nada.
ahora, comento la linea que mencionas en /etc/services (en mi equipo)
=============
$ cat /etc/services | grep domain
domain 53/tcp # name-domain server
#domain 53/udp
=============
y hago una consulta al dominio:
=============
$ dig @10.0.0.98 www.google.com
; <<>> DiG 9.5.1-P1 <<>> @10.0.0.98 www.google.com
; (1 server found)
;; global options: printcmd
;; connection timed out; no servers could be reached
=============
se "especifico" que la consulta sea por TCP, entonces funciona:
=============
$ dig @10.0.0.98 www.google.com +vc +short
www.l.google.com.
209.85.195.104
209.85.195.99
=============
* 2.- Dig es una herramienta y por tanto hace lo que le dices y si no le dices
nada consulta a UDP primero, firefox no usa dig , pregunta al S.O. y este
lee /etc/services ve cual es el protocolo "comunmente conocido"
lee /etc/host.conf y si el orden es dns, files pues primero dns y
luego /etc/hosts e ira al 53 tcp si la aplicacion no tiene implementado en su
codigo la consulta dns, si lo tiene lo tendra segun el standard y alli en el
udp 53 NO habra nada.
| < Previous | Next > |