"Залип" резолвер в ubuntu server 20.04

[InsomniaNsk]

Всем доброго времени суток!

В общем, опишу суть загадочной проблемы. Сломался резолвер на ubuntu server 20.04, именно на txt записи для yandex.ru.

Началось, всё с того, что провайдерский днс, который был указан на сервере, с этой записью глючил.

Я поменял днсы на гугловские, применил netplan, почистил днс кэш командой sudo systemd-resolve --flush-caches , перезагружал сервер. Но он теперь ни в какую не хочет резолвить txt запись для yandex.ru (даже через другие днсы):

Код: [Выделить]

nslookup  -type=txt gmail.com
Server:         127.0.0.53
Address:        127.0.0.53#53

Non-authoritative answer:
gmail.com       text = "globalsign-smime-dv=CDYX+XFHUw2wml6/Gb8+59BsH31KzUr6c1l2BPvqKX8="
gmail.com       text = "v=spf1 redirect=_spf.google.com"


nslookup  -type=txt yandex.ru
;; connection timed out; no servers could be reached

nslookup  -type=txt yandex.ru 8.8.8.8
;; Truncated, retrying in TCP mode.
;; Connection to 8.8.8.8#53(8.8.8.8) for yandex.ru failed: timed out.
;; Connection to 8.8.8.8#53(8.8.8.8) for yandex.ru failed: timed out.
^C

nslookup  -type=txt mail.ru 8.8.8.8
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
mail.ru text = "mailru-verification: 43e81e646c1675e5"
mail.ru text = "v=spf1 redirect=_spf.mail.ru"
mail.ru text = "google-site-verification=3Pifghdk3UShd7gzYd0Bjfqrq8Mn3bQAVonGr3xb9qg"


Куда копать? Сервер тестовый пока что
Пользователь добавил сообщение 07 Ноября 2020, 18:49:03:Проблема была в размере ответа DNS-сервера. При размере больше 512 байт идёт переключение на протокол TCP, который был закрыт на межсетевом экране

[valrust]

Могу предположить, что связана проблема с размером ответа, который приходит от DNS сервера. DNS сервер присылает ответ одной датаграммой UDP, так вот у yandex.ru очень много TXT записей и размер ответа получается намного больше чем у других. Возможно такой большой UDP пакет не может прорваться через роутеры до вашего компьютера.

(Нажмите, чтобы показать/скрыть)

; <<>> DiG 9.16.1-Ubuntu <<>> txt google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26049
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;google.com.                    IN      TXT

;; ANSWER SECTION:
google.com.             0       IN      TXT     "docusign=05958488-4752-4ef2-95eb-aa7ba8a3bd0e"
google.com.             0       IN      TXT     "v=spf1 include:_spf.google.com ~all"
google.com.             0       IN      TXT     "globalsign-smime-dv=CDYX+XFHUw2wml6/Gb8+59BsH31KzUr6c1l2BPvqKX8="
google.com.             0       IN      TXT     "facebook-domain-verification=22rm551cu4k0ab0bxsw536tlds4h95"
google.com.             0       IN      TXT     "docusign=1b0a6754-49b1-4db5-8540-d2c12664b289"

;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Sun Nov 08 01:04:25 MSK 2020
;; MSG SIZE  rcvd: 352

; <<>> DiG 9.16.1-Ubuntu <<>> txt mail.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55803
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;mail.ru.                       IN      TXT

;; ANSWER SECTION:
mail.ru.                0       IN      TXT     "v=spf1 redirect=_spf.mail.ru"
mail.ru.                0       IN      TXT     "google-site-verification=3Pifghdk3UShd7gzYd0Bjfqrq8Mn3bQAVonGr3xb9qg"
mail.ru.                0       IN      TXT     "mailru-verification: 43e81e646c1675e5"

;; Query time: 39 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Sun Nov 08 01:05:21 MSK 2020
;; MSG SIZE  rcvd: 208

; <<>> DiG 9.16.1-Ubuntu <<>> txt yandex.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21359
;; flags: qr rd ra; QUERY: 1, ANSWER: 9, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;yandex.ru.                     IN      TXT

;; ANSWER SECTION:
yandex.ru.              0       IN      TXT     "have-i-been-pwned-verification=13c7b50cd0b12f85dabe796e6178fb74"
yandex.ru.              0       IN      TXT     "google-site-verification=XyQDB5000-0rTv33yw7AX-EiuH1v5yW5PjkYeYxxPEg"
yandex.ru.              0       IN      TXT     "_globalsign-domain-verification=lD5-OgV_QE93G8rzNaeJKvtqe9tlP5AZtyDodrldYh"
yandex.ru.              0       IN      TXT     "v=spf1 redirect=_spf.yandex.ru"
yandex.ru.              0       IN      TXT     "facebook-domain-verification=e750ewnqm68u4f83wvp6qp7iiphkj0"
yandex.ru.              0       IN      TXT     "MS=ms75457885"
yandex.ru.              0       IN      TXT     "2e35680fa5ac784cf58deca180385b5eff74dfeb831c2d73830425e8a8deb7d5"
yandex.ru.              0       IN      TXT     "f89ef6a7672be0825dd045a0596b6a2c09f82d718dd1889ca09b4188884576e8"
yandex.ru.              0       IN      TXT     "mailru-verification: 530c425b1458283e"

;; Query time: 107 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Sun Nov 08 01:05:56 MSK 2020
;; MSG SIZE  rcvd: 627

[AnrDaemon]

протокол TCP, который был закрыт на межсетевом экране

На будущее - блокировать исходящий трафик лучше через REJECT (либо не блокировать вовсе).

[InsomniaNsk]

valrust, да, спасибо. Я уже написал про это, дополнив первый пост. Вчерашний траблшутинг именно к этому привел)

AnrDaemon, а можно подробнее - почему? Блокировал трафик у меня внешний сервер. Точнее не было разрешающего правила.

[AnrDaemon]

Потому что

1. REJECT сразу говорит отправляющему серверу, что "да, мы поняли, что вы хотели, но вам этого нельзя",
2. Исходящий трафик нет смысла блокировать вообще, если только вы не специально запускаете на своём компе вирусы.
Пользователь добавил сообщение 08 Ноября 2020, 20:12:19:

Код: [Выделить]

-A NOWAY -p tcp -j REJECT --reject-with tcp-reset
-A NOWAY -j REJECT --reject-with icmp-port-unreachable