Experiencia rara con dns-caching al actualizar de Centos 4.4 A 5

Imagen de damage

Tema: 

Hola amigos, les voy a comentar algo raro que me acabo de pasar hace unas horas, le hice un update a mi Centos por medio del DVD de instalaciòn, actualice el Centos 4.4 a la versiòn 5, todo procedio con normalidad, de principio a fin, no hubo ninguna cosa rara.
El momento de terminar la instalaciòn y luego de volver a configurar ciertos servicios como squid, etc, me di cuenta de que mis clientes no estaban teniendo actividad (navegaciòn), solo tenian conectividad, mas nada.
Entonces me puse a chequar todas las cosas, proxy, luego firewall, rutas, segmentaciòn,etc y nada todo seguia igual y todo lo chequeado estaba bien, hasta que me acorde de "Named", le hice un service status y me salia que estab corriendo normalmente, pero aun asi, nadie podia navegar, concete mi laptop, para porbar ya que mi desktop, la estaba recien armando (esta brand new jeje :))y procedi hacer ping a google y todo lo demas, pero me salia que no conocia al host, por lo que de una dije "esto es cuestion de dns", procedi a hacer un "yum -y" de bind y todos sus secuaces para poder estar seguro que el cacheo de dns funcionara bien, temino la actualizaciòn y pues volvi hacer un restart de named y nada, comprobe con "nmap" y el puerto 53 no estaba en la lista de puertos, me decidi a mirar los log's y justamente el log me decia que el puerto 53 estaba habilitado par el "loopback" y no para mi ip de eth1 (lan) que estaba declarada en el resolv.conf, entonces dije no pues esto es cosa del named, le di un vi al named.caching-nameserver.conf y cambie la direcciòn 127.0.0.1 por la ip de mi eth1, guarde, reinicie named, comprobe con nmap y listo aparecio el bendito puerto 53.
Ahora mi pregunta es porque tuve que modificar el named.conf cuando en Centos 4.4 solo era cuestion de instalar los paquetes pertinentes, colocar la ip en resolv.conf y nada mas?? :?.

Saludos y espero que a alguien le sirva de guia este caso en particular.

Comentarios

hola porque centos-5 ha

Imagen de Epe

hola

porque centos-5 ha incluido esa características de seguridad..

1- solamente escucha en 127.0.0.1 a no ser quel e digas que escuche en otra interfaz (o en any)
2- solamente permite queries desde 127.0.0.1 a no ser que le digas que permita queries desde otras redes.

El problema es que named estaba viniendo muy abierto antes.. y cualquiera podía usar cualquier servidor para hacer queries y esto era potencialmente peligroso (desde envenenar la caché hasta el mero hecho de consumirte recursos).


vi /var/named/chroot/etc/named.caching-nameserver.conf

y dentro cambio estos parámetros:

listen-on port 53 { 127.0.0.1; };
allow-query { localhost; };
match-clients { localhost; };
match-destinations { localhost; };

poniendolos así:

listen-on port 53 { 192.168.57.3; 127.0.0.1; };
allow-query { 192.168.57.0/24; localhost; };
match-clients { 192.168.57.0/24; localhost; };
match-destinations { 192.168.57.0/24; localhost; };

192.168.57.3 es la IP del servidor de named (la IP interna).. 192.168.57.0/24 es toda la red interna.

Así me funciona, quizá puse algo de más, pero me funciona. Justo hoy lo hice por primera vez, qué casualidad que salió tu post también hoy.. al menos ya queda para la historia el cómo hacerlo.

Saludos
epe
--
EcuaLinux.com
Ecuador: +(593) 9 9246504, +(593) 2 3412402
USA: +1 305 359 4495, España: +34 91 7617884


Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Hola EPE, si mira como es la

Imagen de damage

Hola EPE, si mira como es la vida jeje :cool:, te cuento que despues de pensar un rato, si se me vino a la mente de que podia ser por cuestiones de seguridad, pero ahora con lo que tu comentas, confirmo mi sospecha.
Te comento que yo solo cambie la ip en el puerto de escucha y me funciono, ya voy a darle una mirada mas precisa al archivo.

Saludos y gracias por compartir tu experiencia.

Keep The Fire Burning.....
Stryper 1988
http://counter.li.org/

voy a reconfirmar luego,

Imagen de Epe

voy a reconfirmar luego, porque en verdad lo primero que hice fue permitir el puerto de escucha pero me salía REFUSED cuando yo preguntaba.

prueba así:

[code]
nslookup - IPDELSERVER
[/code]

ahi pregunta por www.google.com

cuando yo preguntaba me tiraba un refused horrible, hasta que abrí las otras tres lineas, insisto, creo que ahi sobra al menos una línea (en mi ejemplo).

sabes, era la última duda que me quedaba respecto a los dns, por fin la solucioné. Era la última que me faltaba para poderle instalar en cualquier servidor (no me gusta instalar algo sin probarlo previamente conmigo)

saludos!
epe

--
EcuaLinux.com
Ecuador: +(593) 9 9246504, +(593) 2 3412402
USA: +1 305 359 4495, España: +34 91 7617884


Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Una nueva acotación,

Imagen de damage

Una nueva acotación, despúes de unas horas de habe hecho los cambios en el archivo en mención, las conexiones del lado lan dejaron de resolver una vez más, volvi al archivo y lo configure con los que EPE ha suguerido, pero no ha dado resultado, ahora si estoy hecho bola :?

Keep The Fire Burning.....
Stryper 1988
http://counter.li.org/

Hola ACL, mira, esto es lo

Imagen de damage

Hola ACL, mira, esto es lo que sale con netstat, seria interesante saber tus recomendaciones:
[root@srv ~]# netstat -tupan
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 192.168.100.1:8080 0.0.0.0:* LISTEN 2150/(squid)
tcp 0 0 201.218.40.152:60865 65.55.152.121:80 ESTABLISHED 2150/(squid)
tcp 0 0 201.218.40.152:44214 72.14.247.104:80 TIME_WAIT -
tcp 0 0 192.168.100.1:8080 192.168.100.9:49183 FIN_WAIT2 -
tcp 0 0 201.218.40.152:55348 204.2.240.25:80 ESTABLISHED 2150/(squid)
tcp 0 0 192.168.100.1:8080 192.168.100.4:2579 ESTABLISHED 2150/(squid)
tcp 0 7735 192.168.100.1:8080 192.168.100.4:2576 ESTABLISHED 2150/(squid)
tcp 0 0 201.218.40.152:50101 64.233.187.165:80 TIME_WAIT -
tcp 0 0 192.168.100.1:8080 192.168.100.4:2580 ESTABLISHED 2150/(squid)
tcp 1 0 201.218.40.152:56808 64.50.238.52:80 CLOSE_WAIT 2230/python
tcp 0 0 192.168.100.1:8080 192.168.100.4:2570 ESTABLISHED 2150/(squid)
tcp 0 0 192.168.100.1:8080 192.168.100.4:2571 ESTABLISHED 2150/(squid)
tcp 0 0 192.168.100.1:8080 192.168.100.4:2569 ESTABLISHED 2150/(squid)
tcp 0 0 192.168.100.1:8080 192.168.100.4:2574 ESTABLISHED 2150/(squid)
tcp 0 0 201.218.40.152:35816 207.68.173.76:80 ESTABLISHED 2150/(squid)

y en los logs tenia esto:

client 192.168.100.8#1087: view localhost_resolver: query (cache) 'www.symantec.com/A/IN' denied
Sep 2 13:05:05 srv named[28074]: client 192.168.100.8#1087: view localhost_resolver: query (cache) 'liveupdate.symantecliveupdate.com/A/IN' denied
Sep 2 13:05:20 srv named[28074]: client 192.168.100.254#49197: view localhost_resolver: query (cache) 'es-ar.start2.mozilla.com/A/IN' denied
Sep 2 13:05:20 srv named[28074]: client 192.168.100.254#49198: view localhost_resolver: query (cache) 'es-ar.fxfeeds.mozilla.com/A/IN' denied
Sep 2 13:05:23 srv named[28074]: client 192.168.100.254#49199: view localhost_resolver: query (cache) 'ecualug.org/A/IN' denied
Sep 2 13:05:25 srv named[28074]: client 192.168.100.254#49200: view localhost_resolver: query (cache) 'pagead2.googlesyndication.com/A/IN' denied
Sep 2 13:05:26 srv named[28074]: client 192.168.100.254#49201: view localhost_resolver: query (cache) 'www.google-analytics.com/A/IN' denied
Sep 2 13:05:31 srv named[28074]: client 192.168.100.254#49202: view localhost_resolver: query (cache) 'www.clarin.com/A/IN' denied
Sep 2 13:05:31 srv named[28074]: client 192.168.100.254#49203: view localhost_resolver: query (cache) 'counter.li.org/A/IN' denied

Aunque ya no sale el denied, ahora si envio una peticion de navegación desde cualquier cliente, en el log, no registra nada :?, en verdad me tiene confundido.

Saludos.

Keep The Fire Burning.....
Stryper 1988
http://counter.li.org/

problemas con el named

Imagen de acl

Por lo que veo, named no esta corriendo. Abre en una terminal una sesion de 'tail -f /var/log/messages' y en otra mandale 'service named restart'

Podemos ver tu named.conf?

Te envio el log cuando lo

Imagen de damage

Te envio el log cuando lo reinicio el named:

Sep 3 11:02:37 srv named[871]: shutting down: flushing changes
Sep 3 11:02:37 srv named[871]: stopping command channel on 127.0.0.1#953
Sep 3 11:02:37 srv named[871]: stopping command channel on ::1#953
Sep 3 11:02:37 srv named[871]: no longer listening on 192.168.100.1#53
Sep 3 11:02:37 srv named[871]: exiting
Sep 3 11:02:39 srv named[922]: starting BIND 9.3.3rc2 -u named -c /etc/named.caching-nameserver.conf -t /var/named/chroot
Sep 3 11:02:39 srv named[922]: found 2 CPUs, using 2 worker threads
Sep 3 11:02:39 srv named[922]: loading configuration from '/etc/named.caching-nameserver.conf'
Sep 3 11:02:39 srv named[922]: listening on IPv4 interface eth1, 192.168.100.1#53
Sep 3 11:02:39 srv named[922]: command channel listening on 127.0.0.1#953
Sep 3 11:02:39 srv named[922]: command channel listening on ::1#953
Sep 3 11:02:39 srv named[922]: zone 0.in-addr.arpa/IN/localhost_resolver: loaded serial 42
Sep 3 11:02:39 srv named[922]: zone 0.0.127.in-addr.arpa/IN/localhost_resolver: loaded serial 1997022700
Sep 3 11:02:39 srv named[922]: zone 255.in-addr.arpa/IN/localhost_resolver: loaded serial 42
Sep 3 11:02:39 srv named[922]: zone 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN/localhost_resolver: loaded serial 1997022700
Sep 3 11:02:39 srv named[922]: zone localdomain/IN/localhost_resolver: loaded serial 42
Sep 3 11:02:39 srv named[922]: zone localhost/IN/localhost_resolver: loaded serial 44
Sep 3 11:02:39 srv named[922]: running

No tengo muhca experiencia con el Bind, pero creo que hay que declarar alguna zona :?.

Salud2 y gracias por acolitar. :)

Keep The Fire Burning.....
Stryper 1988
http://counter.li.org/

Segun parece arranco

Imagen de acl

Segun parece arranco tranquilo, pero yo que tu me sentiria maejor si named escuchara en 127.0.0.1 *y* en la 192.168.100.1. Solo parece que esta en la 192.168.100.1

No necesitas declarar ninguna zona si el servidor va a hacer solo de cache. Verifica si netstat ahora si te muestra procesos named en LISTEN y en que direcciones escuchan. Chequea tambien que tu /etc/resolv.conf tenga una linea con 'nameserver 0.0.0.0', de preferncia la primera.

Páginas