[Techinfo] dns problema win7

ka at mayten.sch.bme.hu ka at mayten.sch.bme.hu
2016. Dec. 13., K, 23:09:21 CET 

On 12/13/2016 13:29, Fodor Zsolt wrote:
> On Tue, 06 Dec 2016 13:31:48 +0000, ka at mayten.sch.bme.hu wrote
>> On 2016-12-06 13:17, Fodor Zsolt wrote:
>
> Most jutottam vissza a problémához, szerencsére a kolléga azóta távol van.
>

a beidezett tartalombol ez az en kerdeseimre valasz.  bar mar fogalmam 
sincs, mi volt az eredeti problema, ha ennyi ideig nem volt fontos a 
hiba, akkor en is elvesztettem az erdeklodesem :)

de azert par dolog:

> Most úgy látom, hogy válasz nem megy... de ha a többi gépnek igen, ennek miért
> nem?
>

hirtelenjeben ket dolog jut eszembe.

1) iptables vagy valami mas szuri a visszairanyu forgalmat.  elemezzuk 
ezt az elmeletet ki.

- akkor a ping miert megy?
- mert a legtobb rendszergazda ugy kezdi az iptables konfigokat, hogy 
iptables -A <INPUT|OUTPUT> -p icmp -j ACCEPT, de meg az is aki tisztaban 
van a path mtu discoveryvel, az is engedi a pingeket az icmp-type -ot 
hasznalva

- miert szurne a visszafele dns forgalmat egy dns szerveren az iptables?
- rosszul bekonfiguralt fail2ban, vagy egy korabbi kosza hadmuveletbol 
szarmazo iptables -A OUTPUT -d $ip -j DROP van, esetleg, INPUT iranyban 
van ugyanez, ergo nem (csak) kifele szursz, hanem befele is. 
loggoltathatnad azt a dnsmasqot, hogy lassuk mit kezd a csomagokkal, 
illetve adhatnal egy masik ip cimet a hibas gepnek, lassuk akkor mi 
tortenik.  sot, akar meg is cserelhetned a ket szerver ip cimet, lassuk, 
a problema is megfordul-e.

felvehetnel egy szabalyt a szerveren, iptables -I OUTPUT 1 -d <ip> -j 
ACCEPT, esetleg tobbet, protokollonkent.  aztan nezd meg a szamlalot, 
novekszik-e ahogy a kifele iranyulo csomag kimegy

2) egyeb L2 szintu problema van, a ping meg megy, de esetleg kiurul az 
arp cache es utana mar nem tud valaszt kuldeni.  esetleg utkozo ip / mac 
cim van a halozaton es csak bizonyos konstellacioban nem mukodik a dns / 
masnak megy a valasz.

> Megváltoztattam a dns szerver címét egy másik létezőre, az eredmény
> változatlan....
>

ebbol a mondatbol nem derul ki, hogy mit csinaltal.

- megvaltoztattad a dnsmasq szervered ip cimet?
- vagy beallitottal egy masik ip cimet dns szervernek?  az is dnsmasq? 
azt is te konfigoltad?  ha kiderul, hogy az elso szerveren a dnsmasq 
hibas, akkor a masodik mitol lenne jobb?

En legalabbis a teszteket igyekszem olyan dolgon csinalni amit nem en 
konfiguraltam, hiszen ha egyet elrontottam akkor valoszinuleg kettot is, 
ergo a tesztem nem lesz fuggetlen...

-- 


udv
Adam

További információk a(z) Techinfo levelezőlistáról