Toon posts:

Kan geen domeinen meer pingen?

Pagina: 1
Acties:
  • 112 views sinds 30-01-2008
  • Reageer

vrijdag 27 oktober 2006 08:59

Acties:

Verwijderd

Topicstarter
Ik heb een linux servertje waarbij ik alle poorten (van inkomende packages) geblokkeerd heb behalve de poorten die nodig zijn voor een mail/ftp/http/ssh/etc server.

Nu werkt vrijwel alles nog, aleen kwam ik er sinds kort achter dat ik geen mail meer kon ontvange. Uit de logs bleek dat hij de host van de afzende elke keer niet kan vinden, en dus de e-mail weigerd.

Het blijkt dus, dat doordat ik alle poorten dicht heb gezet behalve degene die ik nodig heb, ervoor gezorgd heeft dat mijn server geen domeinnamen meer kan resolven.

Als ik bv google probeer te pingen via de domeinnaam, kan hij de host niet vinden, via IP gaat het wel prima (ICMP protocol toegelaten). Met me firewall rules uit, werkt alles overigens ook weer prima.

Heeft dit met bepaalde dichte poorten/protocols? Zoja, welke?

[ Voor 8% gewijzigd door Verwijderd op 27-10-2006 09:04 ]

vrijdag 27 oktober 2006 09:05

Acties:
  • lier
  • Registratie: Januari 2004
  • Laatst online: 19:52

lier

MikroTik nerd

Het lijkt erop dat geresolved wordt op basis van domeinnaam: controle of het domeinnaam correspondeert met het IP adres ?

Kijk of het wel werkt als je de DNS poort (53) naar buiten open zet.

Eerst het probleem, dan de oplossing

vrijdag 27 oktober 2006 09:05

Acties:
  • Reptile209
  • Registratie: Juni 2001
  • Laatst online: 20:40

Reptile209

- gers -

TCP 53 (DNS) is dus geblocked? Zet die eens open... :)

Zo scherp als een voetbal!

vrijdag 27 oktober 2006 09:09

Acties:

Verwijderd

Topicstarter
Geen effect, helaas. :'(

-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
code:
1
2

webserver:/etc# ping google.nl
ping: unknown host google.nl

[ Voor 81% gewijzigd door Verwijderd op 27-10-2006 09:11 ]

vrijdag 27 oktober 2006 09:13

Acties:
  • Reptile209
  • Registratie: Juni 2001
  • Laatst online: 20:40

Reptile209

- gers -

Is verkeer van en naar de DNS servers toegestaan? DNS resolving (settings) onder linux kan je onder andere bekijken en testen via nslookup.

Zo scherp als een voetbal!

vrijdag 27 oktober 2006 09:13

Acties:
  • lier
  • Registratie: Januari 2004
  • Laatst online: 19:52

lier

MikroTik nerd

Probeer eens in plaats van TCP UDP. UDP is het standaard protocol dat door DNS gebruikt wordt.

Oeps...:
The DNS uses TCP and UDP on port 53 to serve requests. Almost all DNS queries consist of a single UDP request from the client followed by a single UDP reply from the server. TCP typically comes into play only when the response data size exceeds 512 bytes, or for such tasks as zone transfer. Some operating systems such as HP-UX are known to have resolver implementations that use TCP for all queries, even when UDP would suffice.

[ Voor 71% gewijzigd door lier op 27-10-2006 09:33 ]

Eerst het probleem, dan de oplossing

vrijdag 27 oktober 2006 09:14

Acties:
  • MadMurdock
  • Registratie: Oktober 2000
  • Niet online

MadMurdock

Het probleem is niet je inkomende poort, maar je uitgaande poort (of de configuratie van de dns-servers die jij gebruikt).
Werkt jouw pc met dhcp of static ips? Doe eens een ifconfig om te kijken of je dns servers dus wel ingesteld staan..

En als je uitgaande poorten geblokkeert hebt, dan moet je die dus openzetten..

vrijdag 27 oktober 2006 09:20

Acties:

Verwijderd

Topicstarter
Me uitgaande poorten worden niet geblokeerd, en me dns staat gewoon goed ingesteld, anders zou het zonder firewall ook niet moeten werken.

vrijdag 27 oktober 2006 09:29

Acties:
  • lier
  • Registratie: Januari 2004
  • Laatst online: 19:52

lier

MikroTik nerd

Verwijderd schreef op vrijdag 27 oktober 2006 @ 09:20:
Me uitgaande poorten worden niet geblokeerd, en me dns staat gewoon goed ingesteld, anders zou het zonder firewall ook niet moeten werken.
Hoe verklaar je dan dat je iets simpels als een ping op domeinnaam niet kan uitvoeren ?

Eerst het probleem, dan de oplossing

vrijdag 27 oktober 2006 09:32

Acties:
  • burne
  • Registratie: Maart 2000
  • Niet online

burne

Mine! Waah!

Dat valt ook niet te verklaren. Wat wel te verklaren zou zijn is waarom je geen machines kunt pingen. 'nutz.nl' is een domeinnnaam en is niet te pingen. www.nutz.nl is een machinenaam en is wel te pingen.

I don't like facts. They have a liberal bias.

vrijdag 27 oktober 2006 09:34

Acties:
  • lier
  • Registratie: Januari 2004
  • Laatst online: 19:52

lier

MikroTik nerd

burne schreef op vrijdag 27 oktober 2006 @ 09:32:
Dat valt ook niet te verklaren. Wat wel te verklaren zou zijn is waarom je geen machines kunt pingen. 'nutz.nl' is een domeinnnaam en is niet te pingen. www.nutz.nl is een machinenaam en is wel te pingen.
Maar google.nl is:
1) te resolven
2) geeft response op een ping request

Eerst het probleem, dan de oplossing

vrijdag 27 oktober 2006 09:37

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

lier schreef op vrijdag 27 oktober 2006 @ 09:34:
[...]

Maar google.nl is:
1) te resolven
Google is helemaal niet te resolven ;)

't Kan zijn dat de TS z'n firewall een returning UDP-packet niet echt snapt en dat ie die blocked, denk ik.. Dus inkomende UDP-pakketjes met source-port 53 toestaan :)

[ Voor 31% gewijzigd door Osiris op 27-10-2006 09:38 ]

vrijdag 27 oktober 2006 09:38

Acties:
  • Arnout
  • Registratie: December 2000
  • Laatst online: 07:45

Arnout

Verwijderd schreef op vrijdag 27 oktober 2006 @ 09:20:
Me uitgaande poorten worden niet geblokeerd, en me dns staat gewoon goed ingesteld, anders zou het zonder firewall ook niet moeten werken.
Wat is de inhoud van je resolv.conf? Draai je zelf een DNS server (bind9) ?

Een goede firewall laat natuurlijk request van binnenuit gewoon door en ook weer terug (iptables related).

vrijdag 27 oktober 2006 09:39

Acties:
  • soulrider
  • Registratie: April 2005
  • Laatst online: 27-11-2017

soulrider

burne schreef op vrijdag 27 oktober 2006 @ 09:32:
Dat valt ook niet te verklaren. Wat wel te verklaren zou zijn is waarom je geen machines kunt pingen. 'nutz.nl' is een domeinnnaam en is niet te pingen. www.nutz.nl is een machinenaam en is wel te pingen.
dit hangt maar af van de nameservers hoor.

probeer het zelf maar eens uit

code:
1
2
3
4
5
6
7
8
9
10
11
12
13

C:\>ping google.be

Pinging google.be [66.102.9.104] with 32 bytes of data:

Control-C
^C
C:\>ping distributed.be

Pinging distributed.be [66.98.208.34] with 32 bytes of data:

Control-C
^C
C:\>


maw: als de nameservers staan ingesteld dat *.google.be ook naar de www.google.be moeten verwijzen dan kan die ook geresolved worden en dan werkt een ping op het domein, net zo goed als een ping naar een specifieke host van het domein... :+
(maw: gewoon een extra regeltje voor de nameservers)


zal idd eerder aan de terugkomende packetjes liggen of 't werkt of niet...

dns draait op poort 53, maar dat wilt niet zeggen dat een aanvraag verstuurd wordt vanaf die poort eh,
enkel dat ie naar die poort moet...

anders effe sniffen eh... (en mss tijdelijk router vervangen door switch om te zien wat je terug krijgt)
(of je router de standaard dns laten spelen voor je interne netwerk)

[ Voor 21% gewijzigd door soulrider op 27-10-2006 09:44 ]

vrijdag 27 oktober 2006 09:44

Acties:
  • lier
  • Registratie: Januari 2004
  • Laatst online: 19:52

lier

MikroTik nerd

Osiris schreef op vrijdag 27 oktober 2006 @ 09:37:
[...]

Google is helemaal niet te resolven ;)

't Kan zijn dat de TS z'n firewall een returning UDP-packet niet echt snapt en dat ie die blocked, denk ik.. Dus inkomende UDP-pakketjes met source-port 53 toestaan :)
Help me dan ajb eens met onderstaande:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14

C:\>ping google.nl

Pingen naar google.nl [66.102.9.104] met 32 byte gegevens:

Antwoord van 66.102.9.104: bytes=32 tijd=31 ms TTL=246
Antwoord van 66.102.9.104: bytes=32 tijd=31 ms TTL=246
Antwoord van 66.102.9.104: bytes=32 tijd=145 ms TTL=246
Antwoord van 66.102.9.104: bytes=32 tijd=31 ms TTL=246

Ping-statistieken voor 66.102.9.104:
    Pakketten: verzonden = 4, ontvangen = 4, verloren = 0
    (0% verlies).De gemiddelde tijd voor het uitvoeren van één bewerking in mill
iseconden:
    Minimum = 31ms, Maximum = 145ms, Gemiddelde = 59ms

Eerst het probleem, dan de oplossing

vrijdag 27 oktober 2006 09:50

Acties:

Verwijderd

Topicstarter
Osiris schreef op vrijdag 27 oktober 2006 @ 09:37:
[...]

Google is helemaal niet te resolven ;)

't Kan zijn dat de TS z'n firewall een returning UDP-packet niet echt snapt en dat ie die blocked, denk ik.. Dus inkomende UDP-pakketjes met source-port 53 toestaan :)
Inderdaad, dom van me!

Ik liet aleen pakketjes op destination-port 53 toe. Bedankt mensen! het werkt :)

vrijdag 27 oktober 2006 10:07

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

lier schreef op vrijdag 27 oktober 2006 @ 09:44:
[...]

Help me dan ajb eens met onderstaande:
Ik dacht dat je bedoelde dat de TS google.nl wel kon pingen, mijn excuses :)
Verwijderd schreef op vrijdag 27 oktober 2006 @ 09:50:
[...]

Inderdaad, dom van me!

Ik liet aleen pakketjes op destination-port 53 toe. Bedankt mensen! het werkt :)
Graag gedaan :P

vrijdag 27 oktober 2006 10:17

Acties:

Verwijderd

Topicstarter
Ik heb echter nog 1 klein probleempje, mijn webmail werkt niet, ik krijg namelijk deze error.

ERROR (2): fsockopen(): unable to connect to 127.0.0.1:110 (.old/inc/class.uebimiau_mail.php:78)

Poort 110/143 staat open, de imap server in mijn outlook werkt ook gewoon.

vrijdag 27 oktober 2006 12:51

Acties:
  • Reptile209
  • Registratie: Juni 2001
  • Laatst online: 20:40

Reptile209

- gers -

Verwijderd schreef op vrijdag 27 oktober 2006 @ 10:17:
Ik heb echter nog 1 klein probleempje, mijn webmail werkt niet, ik krijg namelijk deze error.

ERROR (2): fsockopen(): unable to connect to 127.0.0.1:110 (.old/inc/class.uebimiau_mail.php:78)

Poort 110/143 staat open, de imap server in mijn outlook werkt ook gewoon.
Draai je je webmail lokaal dan? Zo ja, dan is er iets mis met je webmail server (op localhost). Als webmail op een andere bak draait, dan is het wel vreemd dat 'ie resolved naar een localhost IP. Dus schets eens wat meer achtergrond over de configuratie. :)

Zo scherp als een voetbal!

vrijdag 27 oktober 2006 14:24

Acties:

Verwijderd

Topicstarter
Webmail draaid lokaal ja, met de firewall uit doet hij het gewoon wel (zie posts hierboven).

vrijdag 27 oktober 2006 14:58

Acties:
  • Reptile209
  • Registratie: Juni 2001
  • Laatst online: 20:40

Reptile209

- gers -

Gebruik dan eens een packetsniffer om te kijken welk verkeer er rondom je webmail plaatsvindt, en dubbelcheck dat dat is toegestaan in je firewall. Een klein beetje eigen initiatief mag wel ;).

In één van je posts heb je het bijvoorbeeld over poort 143, maar ik neem aan dat dat een typo is en dat je 443 bedoelt? Of staat het echt zo in je rules? :)

Edit:
Osiris, ik dacht dat 'ie misschien HTTPS bedoelde en nu ik er over nadenk is dat misschien het probleem :)

[ Voor 14% gewijzigd door Reptile209 op 27-10-2006 16:27 ]

Zo scherp als een voetbal!

vrijdag 27 oktober 2006 15:47

Acties:
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Reptile209 schreef op vrijdag 27 oktober 2006 @ 14:58:
In één van je posts heb je het bijvoorbeeld over poort 143, maar ik neem aan dat dat een typo is en dat je 443 bedoelt? Of staat het echt zo in je rules? :)
143 is gewoon de standaard IMAP-poort hoor ;)
Pagina: 1
Reageer