26 Oct
2023
26 Oct
'23
2:03 p.m.
Tak jen pro info, kdyby to nekde chtel zkoumat, prisel jsem na to.
Stupidni firewall, nastaveny tak ze propousti port 53, ale jen pres UDP,
ne pres TCP. Takze zonovy transfer, ktery pouziva TCP, je okamzite
odmitnuty...
Akorat ze v nftables to neni moc dobre videt... :/
Petr
On 10/26/23 08:52, Petr Barta wrote:
Ahoj,
mam stupidni problem, ktery se mi ale z nejakeho duvodu nedari vyresit.
- mam nekolik soukromych domen, u kterych chci primar na VPS serveru
- server ma nainstalovany bind9 (1:9.18.19-1~deb12u1)
- zona je korektne nadefinovana
- firewall neblokuje zadny provoz na/z portu 53, ani pro UD, ani pro TCP
- normalni dotazy (NS/A/AAA/SOA/MX) bez problemu funguji
- axfr transfer zony z localhostu funguje, at pouziju "localhost" nebo
jmeno sever jako cil dotazu
- definice zony povoluje zone transfer odkudkoliv:
zone "black-sky.cz." { type master; file
"/var/cache/bind/PRIM/black-sky.cz."; allow-transfer { any; }; };
- Pri pokusu o zone transfer ($ dig -4 @essi.netas.cz black-sky.cz.
axfr) odkukoliv jinde nez je server sam dostavam na TCP urovni
okamzity TCP reset jako odpoved na SYN packet, ani 3-way handshake
neprojde.
$ tshark -r /tmp/dns.capture.pcap
1 0.000000 193.165.110.226 → 185.8.165.100 TCP 80 52 45609 → 53
[SYN] Seq=0 Win=64660 Len=0 MSS=1220 SACK_PERM TSval=3039304980
TSecr=0 WS=128
2 0.000029 185.8.165.100 → 193.165.110.226 TCP 60 64 53 → 45609
[RST, ACK] Seq=1 Ack=1 Win=0 Len=0
3 0.025302 193.165.110.226 → 185.8.165.100 TCP 80 52 39449 → 53
[SYN] Seq=0 Win=64660 Len=0 MSS=1220 SACK_PERM TSval=3039305002
TSecr=0 WS=128
4 0.025334 185.8.165.100 → 193.165.110.226 TCP 60 64 53 → 39449
[RST, ACK] Seq=1 Ack=1 Win=0 Len=0
5 0.050245 193.165.110.226 → 185.8.165.100 TCP 80 52 38693 → 53
[SYN] Seq=0 Win=64660 Len=0 MSS=1220 SACK_PERM TSval=3039305027
TSecr=0 WS=128
6 0.050278 185.8.165.100 → 193.165.110.226 TCP 60 64 53 → 38693
[RST, ACK] Seq=1 Ack=1 Win=0 Len=0
Nema nekdo predstavu jakou (asi naprosto blbou) chybu delam?
Prede diky za tipy...
Petr