Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: "Залип" резолвер в ubuntu server 20.04  (Прочитано 779 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн InsomniaNsk

  • Автор темы
  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
"Залип" резолвер в ubuntu server 20.04
« : 07 Ноября 2020, 09:26:09 »
Всем доброго времени суток!

В общем, опишу суть загадочной проблемы. Сломался резолвер на ubuntu server 20.04, именно на txt записи для yandex.ru.

Началось, всё с того, что провайдерский днс, который был указан на сервере, с этой записью глючил.

Я поменял днсы на гугловские, применил netplan, почистил днс кэш командой sudo systemd-resolve --flush-caches , перезагружал сервер. Но он теперь ни в какую не хочет резолвить txt запись для yandex.ru (даже через другие днсы):

nslookup  -type=txt gmail.com
Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
gmail.com       text = "globalsign-smime-dv=CDYX+XFHUw2wml6/Gb8+59BsH31KzUr6c1l2BPvqKX8="
gmail.com       text = "v=spf1 redirect=_spf.google.com"


nslookup  -type=txt yandex.ru
;; connection timed out; no servers could be reached

nslookup  -type=txt yandex.ru 8.8.8.8
;; Truncated, retrying in TCP mode.
;; Connection to 8.8.8.8#53(8.8.8.8) for yandex.ru failed: timed out.
;; Connection to 8.8.8.8#53(8.8.8.8) for yandex.ru failed: timed out.
^C

nslookup  -type=txt mail.ru 8.8.8.8
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
mail.ru text = "mailru-verification: 43e81e646c1675e5"
mail.ru text = "v=spf1 redirect=_spf.mail.ru"
mail.ru text = "google-site-verification=3Pifghdk3UShd7gzYd0Bjfqrq8Mn3bQAVonGr3xb9qg"


Куда копать? Сервер тестовый пока что

Пользователь добавил сообщение 07 Ноября 2020, 18:49:03:
Проблема была в размере ответа DNS-сервера. При размере больше 512 байт идёт переключение на протокол TCP, который был закрыт на межсетевом экране
« Последнее редактирование: 07 Ноября 2020, 18:49:03 от InsomniaNsk »

Оффлайн valrust

  • Активист
  • *
  • Сообщений: 364
    • Просмотр профиля
Re: "Залип" резолвер в ubuntu server 20.04
« Ответ #1 : 08 Ноября 2020, 01:07:53 »
Могу предположить, что связана проблема с размером ответа, который приходит от DNS сервера. DNS сервер присылает ответ одной датаграммой UDP, так вот у yandex.ru очень много TXT записей и размер ответа получается намного больше чем у других. Возможно такой большой UDP пакет не может прорваться через роутеры до вашего компьютера.

(Нажмите, чтобы показать/скрыть)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28402
    • Просмотр профиля
Re: "Залип" резолвер в ubuntu server 20.04
« Ответ #2 : 08 Ноября 2020, 13:38:28 »
протокол TCP, который был закрыт на межсетевом экране
На будущее - блокировать исходящий трафик лучше через REJECT (либо не блокировать вовсе).
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн InsomniaNsk

  • Автор темы
  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
Re: "Залип" резолвер в ubuntu server 20.04
« Ответ #3 : 08 Ноября 2020, 18:43:23 »
valrust, да, спасибо. Я уже написал про это, дополнив первый пост. Вчерашний траблшутинг именно к этому привел)

AnrDaemon, а можно подробнее - почему? Блокировал трафик у меня внешний сервер. Точнее не было разрешающего правила.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28402
    • Просмотр профиля
Re: "Залип" резолвер в ubuntu server 20.04
« Ответ #4 : 08 Ноября 2020, 20:05:23 »
Потому что

1. REJECT сразу говорит отправляющему серверу, что "да, мы поняли, что вы хотели, но вам этого нельзя",
2. Исходящий трафик нет смысла блокировать вообще, если только вы не специально запускаете на своём компе вирусы.

Пользователь добавил сообщение 08 Ноября 2020, 20:12:19:
-A NOWAY -p tcp -j REJECT --reject-with tcp-reset
-A NOWAY -j REJECT --reject-with icmp-port-unreachable
« Последнее редактирование: 08 Ноября 2020, 20:12:19 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.032 секунд. Запросов: 25.