2009/3/3 jose maria
* Tcp se utiliza para las transferencias de zonas y excepcionalmente para tamaños de trama lo que evita consultas a los root servers, es decir es "obligatorio" tenerlo disponible, actualmente se esta obligando a este tipo de consulta, como medida de seguridad ante el problema, recientemente descubierto, en el protocolo.
* Cierra en el cortafuegos del servidor UDP 53 y abre el tcp 53 , borra de /etc/services la linea domain para UDP, sobre todo en los clientes.
nooo.. no funciona asi !!! :-( vea: en el servidor bloqueo el puerto 53 udp para mi IP (segunda linea) ============= $sudo iptables -L -n | grep "dpt:53" REJECT udp -- 172.16.100.150 0.0.0.0/0 udp dpt:53 reject-with icmp-port-unreachable allowed tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 ============= ahora, comento la linea que mencionas en /etc/services (en mi equipo) ============= $ cat /etc/services | grep domain domain 53/tcp # name-domain server #domain 53/udp ============= y hago una consulta al dominio: ============= $ dig @10.0.0.98 www.google.com ; <<>> DiG 9.5.1-P1 <<>> @10.0.0.98 www.google.com ; (1 server found) ;; global options: printcmd ;; connection timed out; no servers could be reached ============= se "especifico" que la consulta sea por TCP, entonces funciona: ============= $ dig @10.0.0.98 www.google.com +vc +short www.l.google.com. 209.85.195.104 209.85.195.99 ============= o sea: el cliente utiliza TCP una vez que el servidor indica que la respuesta a su consulta debe de ir por TCP porque el tamano maximo permitido supera el limite por UDP... pero el cliente antes necesita conectarse por UDP al servidor (a no ser que se especifique el contrario, como en el segun ejemplo).. pero solamente bloquear el UDP en el cortafuegos "no" funciona. salu2 -- -- Victor Hugo dos Santos Linux Counter #224399 -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org