Discussione:
stupido problema DNS
(troppo vecchio per rispondere)
Roberto -MadBob- Guido
2005-04-09 17:01:31 UTC
Permalink
Sono incappato in uno stupidissimo problema con la risoluzione DNS: fino a
ieri il client di posta, connesso direttamente all'Internet, reperiva gli
indirizzi IP dei server con cui doveva comunicare in tutta tranquillita',
mentre ora non ne vuol piu' sapere: per postare questo messaggio devo
ricorrere all'interfaccina web di arianna.libero.it mediante Firefox (che
grazie al cielo passa per il proxy della mia LAN. Non chiedetemi perche' non
ci faccio passare anche Thunderbird: dopo numerosi tentativi non ci sono mai
riuscito...).

Il fatto strano e' che nell'/etc/resolv.conf ci sono gli stessi server che
stanno sul resolv.conf del gateway della LAN, e se il gateway riesce a
comunicare vuol dire che non e' un problema di quelli.

Se provo a sniffare il mio stesso traffico con tcpdump vedo che
effettivamente i server rispondono, ma con messaggi del tipo
"18:21:46.147573 IP 80.18.136.22 > madbob.viabevilacqua: icmp 77:
80.18.136.22 udp port domain unreachable": perche'??? Perche' rispondono
cosi' quando faccio una richiesta dall'interno della LAN, e non dal
gateway???

Non e' un problema di firewall (ripeto che fino a ieri andava tutto, ed in
ogni caso ho provato pure togliendo tutte le rules di filtraggio e lasciando
una policy ACCEPT come default per tutto), non e', come sopra specificato,
un problema dei server DNS, suppongo non sia neppure un problema di
Thunderbird...
Cosa potrebbe essere???

Grazie :-)


--------------------------------
Inviato via http://arianna.libero.it/usenet/
Davide Bianchi
2005-04-09 17:30:57 UTC
Permalink
Post by Roberto -MadBob- Guido
Il fatto strano e' che nell'/etc/resolv.conf ci sono gli stessi server che
stanno sul resolv.conf del gateway della LAN, e se il gateway riesce a
Magari il gateway ci riesce ma il tuo server no. Che succede se usi
molto banalmente dig?
Post by Roberto -MadBob- Guido
80.18.136.22 udp port domain unreachable": perche'???
Se ti dice 'port unreachable' significa che hai un firewall che blocca le
porte.

Davide
--
Q: What's another name for the "Intel Inside" sticker they put on Pentiums?
A: Warning label.
Roberto -MadBob- Guido
2005-04-09 18:34:12 UTC
Permalink
Post by Davide Bianchi
Se ti dice 'port unreachable' significa che hai un firewall che blocca le
porte.
Come gia' spiegato sopra l'ho gia' tirato giu' per evitare eventuali pecche
(non assolutamente giustificate, considerando che non ho messo mano alla
configurazione...)


--------------------------------
Inviato via http://arianna.libero.it/usenet/
Roberto -MadBob- Guido
2005-04-09 21:39:13 UTC
Permalink
Addenda:
posto qui le rules di iptables relative al DNS impostate sul firewall che
sta a monte della LAN:

iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp -i eth0 -o eth1 --dport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp -i eth0 -o eth1 --dport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp -i eth1 -o eth0 --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp -i eth1 -o eth0 --sport 53 -j ACCEPT

Come si puo' vedere sono addirittura ridondanti, dunque non credo proprio
che, anche con il firewall su, ci possano essere problemi...

E comunque non ci sono stati fino a ieri!!!


--------------------------------
Inviato via http://arianna.libero.it/usenet/
dmec
2005-04-09 21:51:38 UTC
Permalink
Post by Roberto -MadBob- Guido
posto qui le rules di iptables relative al DNS impostate sul firewall che
iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp -i eth0 -o eth1 --dport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp -i eth0 -o eth1 --dport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp -i eth1 -o eth0 --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp -i eth1 -o eth0 --sport 53 -j ACCEPT
Come si puo' vedere sono addirittura ridondanti, dunque non credo proprio
che, anche con il firewall su, ci possano essere problemi...
E comunque non ci sono stati fino a ieri!!!
Le reti non sono il mio forte, ma un route -n che ti risponde ?

un ping www.google.it che dice ?
ping www.google.it
PING www.l.google.com (66.249.85.99) 56(84) bytes of data.
64 bytes from 66.249.85.99: icmp_seq=1 ttl=246 time=154 ms
64 bytes from 66.249.85.99: icmp_seq=2 ttl=246 time=431 ms
64 bytes from 66.249.85.99: icmp_seq=3 ttl=246 time=136 ms

rtt min/avg/max/mdev = 127.980/196.104/431.944/118.307 ms
--
http://distrowatch.com
Roberto -MadBob- Guido
2005-04-09 22:25:37 UTC
Permalink
Post by dmec
Le reti non sono il mio forte, ma un route -n che ti risponde ?
***@madbob:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.1.1 0.0.0.0 UG 1 0 0 eth0

Tutto in regola. In ogni caso, non e' un fatto di routing: con Firefox
comunico alla perfezione col proxy (e grazie al cielo: questi post li mando
dal web ;-) !), che si occupa della risoluzione DNS sebbene utilizzi, alla
fin fine, gli stessi server del PC all'interno della LAN.
Post by dmec
un ping www.google.it che dice ?
***@madbob:~# ping google.com
ping: unknown host google.com

Ulteriori suggerimenti?


--------------------------------
Inviato via http://arianna.libero.it/usenet/
mario rossi
2005-04-09 21:15:06 UTC
Permalink
Post by Roberto -MadBob- Guido
Sono incappato in uno stupidissimo problema con la risoluzione DNS: fino a
ieri il client di posta, connesso direttamente all'Internet, reperiva gli
indirizzi IP dei server con cui doveva comunicare in tutta tranquillita',
mentre ora non ne vuol piu' sapere: per postare questo messaggio devo
ricorrere all'interfaccina web di arianna.libero.it mediante Firefox (che
grazie al cielo passa per il proxy della mia LAN. Non chiedetemi perche'
non ci faccio passare anche Thunderbird: dopo numerosi tentativi non ci
sono mai riuscito...).
Il fatto strano e' che nell'/etc/resolv.conf ci sono gli stessi server che
stanno sul resolv.conf del gateway della LAN, e se il gateway riesce a
comunicare vuol dire che non e' un problema di quelli.
Se provo a sniffare il mio stesso traffico con tcpdump vedo che
effettivamente i server rispondono, ma con messaggi del tipo
80.18.136.22 udp port domain unreachable": perche'??? Perche' rispondono
cosi' quando faccio una richiesta dall'interno della LAN, e non dal
gateway???
Non e' un problema di firewall (ripeto che fino a ieri andava tutto, ed in
ogni caso ho provato pure togliendo tutte le rules di filtraggio e
lasciando una policy ACCEPT come default per tutto), non e', come sopra
specificato, un problema dei server DNS, suppongo non sia neppure un
problema di Thunderbird...
Cosa potrebbe essere???
Grazie :-)
--------------------------------
Inviato via http://arianna.libero.it/usenet/
il firewall crea prob su winsozz figurati sulla tua distro.....
Roberto -MadBob- Guido
2005-04-13 00:42:37 UTC
Permalink
Per la cronaca: era un problema del firewall, non perche' bloccava le
richieste da e per la porta 53 ma per una stupida rule di prerouting che
avevo settato.

Perdonate il disturbo :-P
--
Roberto -MadBob- Guido
mail bob4mail***@***gmail.com
web http://madbob.homelinux.com
BrainTop Project maintainer - http://braintop.sf.net
Loading...