форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"DNS за файрволлом"
Сообщение от Mercurius on 10-Окт-02, 08:42  (MSK)
Есть небольшая сеточка, на входе стоит файрволл, который к сожалению вне моей власти ;( На нем закрыт UDP порт 53 (причем как входящие, так исходящие сообщения на этот порт режутся). За этим файрволлом имеется DNS сервер, у которого из-за этого большие проблемы с вытягиванием зон (он у меня как secondary работает). Каким образом ему можно зоны-то тянуть? DNS может только по TCP работать?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: DNS за файрволлом"
Сообщение от J on 10-Окт-02, 12:51  (MSK)
>Есть небольшая сеточка, на входе стоит файрволл, который к сожалению вне моей >власти ;( На нем закрыт UDP порт 53 (причем как входящие, >так исходящие сообщения на этот порт режутся). За этим файрволлом имеется >DNS сервер, у которого из-за этого большие проблемы с вытягиванием зон >(он у меня как secondary работает). Каким образом ему можно зоны-то >тянуть? DNS может только по TCP работать? вообще-то трансфер зон не по udp, а именно по tcp работает, тоже по 53 порту. можно повесить named на нестандартный порт, утягивать зону dig'ом, указывая порт, потом скармливать это secondary
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: DNS за файрволлом"
	Сообщение от Mercurius on 10-Окт-02, 13:04  (MSK)
	> >вообще-то трансфер зон не по udp, а именно по tcp работает, тоже >по 53 порту. можно повесить named на нестандартный порт, утягивать зону >dig'ом, указывая порт, потом скармливать это secondary Полный трансфер-то да... dig @nameserver domain AXFR работает. А если попробовать запросить чего-нибудь (как от меня на внешний мир как извне на меня), к примеру dig @nameserver domain SOA - то нифига... видать эти вещи по UDP работают. Но, тогда непонятно - что делает ДНС перед тем как странсферрить зону? Может, авторизация какая перед этим идет по UDP? Во всяком случае логи все испещрены timeout'ами... ;( Однако раза с сотого-двухсотого ему каким-то образом удается странсферрить зону... Удивительно вообще. Насчет нестандартного порта.. а откуда внешний мир-то, запрашивающий с меня домены, узнает где у меня DNS?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: DNS за файрволлом"
	Сообщение от LS on 10-Окт-02, 13:59  (MSK)
	>> >>вообще-то трансфер зон не по udp, а именно по tcp работает, тоже >>по 53 порту. можно повесить named на нестандартный порт, утягивать зону >>dig'ом, указывая порт, потом скармливать это secondary > >Полный трансфер-то да... dig @nameserver domain AXFR работает. >А если попробовать запросить чего-нибудь (как от меня на внешний мир как >извне на меня), к примеру dig @nameserver domain SOA - то >нифига... видать эти вещи по UDP работают. Но, тогда непонятно - >что делает ДНС перед тем как странсферрить зону? Может, авторизация какая >перед этим идет по UDP? Во всяком случае логи все испещрены >timeout'ами... ;( Однако раза с сотого-двухсотого ему каким-то образом удается странсферрить >зону... Удивительно вообще. tcp (на сколько я помню) используется в основном при передаче больших объемов информации м/ду dns-серверами. Так что если файл зоны у тебя небольшой, то твой dns может честно попытаться использовать для ее передачи udp, а после некоторого количества неудачных попыток плюнуть на это дело и скачать ее по tcp. >Насчет нестандартного порта.. а откуда внешний мир-то, запрашивающий с меня домены, узнает >где у меня DNS?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: DNS за файрволлом"
	Сообщение от Mercurius on 10-Окт-02, 14:02  (MSK)
	>tcp (на сколько я помню) используется в основном при передаче больших объемов >информации м/ду dns-серверами. Так что если файл зоны у тебя небольшой, >то твой dns может честно попытаться использовать для ее передачи udp, >а после некоторого количества неудачных попыток плюнуть на это дело и >скачать ее по tcp. > Ммм.. а заставить его сразу по tcp все это делать - никак? Просто как юзерам быть.. которые пошлют запрос на мой DNS и получат кукиш с маслом из-за firewall...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: DNS за файрволлом"
	Сообщение от LS on 10-Окт-02, 14:30  (MSK)
	>>tcp (на сколько я помню) используется в основном при передаче больших объемов >>информации м/ду dns-серверами. Так что если файл зоны у тебя небольшой, >>то твой dns может честно попытаться использовать для ее передачи udp, >>а после некоторого количества неудачных попыток плюнуть на это дело и >>скачать ее по tcp. >> > >Ммм.. а заставить его сразу по tcp все это делать - никак? > Честно сказать - не знаю, но сомневаюсь чтобы это было возможно >Просто как юзерам быть.. которые пошлют запрос на мой DNS и получат >кукиш с маслом из-за firewall... Самый правильный выход - договориться с администратором пропускать ч/з firewall запросы к твоему dns-серверу
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "RE: DNS за файрволлом"
	Сообщение от Mercurius on 10-Окт-02, 15:06  (MSK)
	>Честно сказать - не знаю, но сомневаюсь чтобы это было возможно > Я вот, честно говоря, тоже сомневаюсь... Почитал хелпы - не нашел... >>Просто как юзерам быть.. которые пошлют запрос на мой DNS и получат >>кукиш с маслом из-за firewall... > >Самый правильный выход - договориться с администратором пропускать ч/з firewall запросы к >твоему dns-серверу Попробую.. просто видать он зарезал на все хосты. Думаю что прописать правило лично для меня ему труда не составит - тем более на 1 хост.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.