Может подключиться к порту 53, но nslookup не удается

1465
Erik Johnson

Попытка восстановить работу DNS после того, как мой сервер был выключен в течение недели. Моя проблема в том, что я могу нормально проверить ping / telnet порт 53 из внешнего мира, и я могу нормально просматривать nsupup изнутри сети, но не могу nslookup извне.

Nslookup изнутри сети:

> nslookup ve4edj.ca 192.168.1.50 Server: 192.168.1.50 Address: 192.168.1.50#53  Name: ve4edj.ca Address: 24.77.125.34

Телнет из внешнего мира:

> telnet 24.77.125.34 53 Trying 24.77.125.34... Connected to 24.77.125.34. Escape character is '^]'. ^]  telnet> q Connection closed.

Nslookup от внешнего мира:

> nslookup ve4edj.ca 24.77.125.34 ;; connection timed out; no servers could be reached
1
Хост также доступен через UDP-порт 53? mtak 6 лет назад 0
Похоже, это сочетание нескольких проблем. В первую очередь UDP не проходит. DNS по умолчанию использует UDP. DNS-распознаватели могут даже не использовать TCP. Далее сервер отстой. Это нужно `копать` с помощью` + noedns`. Он вернет правильный ответ, используя `dig ve4edj.ca @ 24.77.125.34 + tcp + noedns`. Daniel B 6 лет назад 0
@DanielB можете ли вы объяснить, почему сервер отстой? Он работает под управлением 2008R2, поэтому я могу запускать SolidWorks и другие программы Windows через удаленный рабочий стол - что я могу сделать, чтобы он не сосал? Erik Johnson 6 лет назад 0
@DanielB Я попытался проверить порт онлайн, который сказал, что UDP на самом деле открыт Erik Johnson 6 лет назад 0
У UDP есть конечный автомат, отличный от TCP. Вы не можете надежно убедиться, что порт открыт, если служба, которая прослушивает, не отвечает. [Он не отвечает.] (Https://pastebin.com/npafhzBf) // Это отстой, потому что я должен использовать специальные опции, чтобы не сделать запрос неудачным. Это не правильное поведение DNS-сервера. // Вы уверены, что переадресация вашего порта настроена правильно? Daniel B 6 лет назад 0
Хорошо, я начну копать, чтобы посмотреть, что его блокирует. Он открыт в маршрутизаторе, поэтому я предполагаю, что виновным является брандмауэр на сервере. Erik Johnson 6 лет назад 0
Ага! Порт UDP был отключен в брандмауэре сервера - он был определенно включен на прошлой неделе, поэтому это странно. Разрешение теперь работает нормально. Спасибо!!! Erik Johnson 6 лет назад 0

1 ответ на вопрос

1
Daniel B

Ради полноты, как ответ.

Я могу подключиться с помощью TCP:

[root@server ~]# dig ve4edj.ca @24.77.125.34 +noedns +tcp  ; <<>> DiG 9.11.1 <<>> ve4edj.ca @24.77.125.34 +noedns +tcp ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32111 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; WARNING: recursion requested but not available  ;; QUESTION SECTION: ;ve4edj.ca. IN A  ;; ANSWER SECTION: ve4edj.ca. 3600 IN A 24.77.125.34  ;; Query time: 234 msec ;; SERVER: 24.77.125.34#53(24.77.125.34) ;; WHEN: Tue May 23 20:39:24 CEST 2017 ;; MSG SIZE rcvd: 43

Nmap сообщает порт 53 UDP как открытый / отфильтрованный (AKA не отвечает):

[root@server ~]# nmap -p53 -sU -sT -sV 24.77.125.34  Starting Nmap 7.40 ( https://nmap.org ) at 2017-05-23 20:35 CEST Nmap scan report for S01063cce738ef858.wp.shawcable.net (24.77.125.34) Host is up (0.24s latency). PORT STATE SERVICE VERSION 53/tcp open domain Microsoft DNS 6.1.7601 53/udp open|filtered domain Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows  Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 103.28 seconds

tcpdumpАнализ еще раз подтверждает, что никакие ответы не будут получены при использовании протокола UDP.

Это означает, что что-то (например, брандмауэр) не пропускает UDP-трафик. Поскольку это, вероятно, установка с переадресацией портов, вы можете взглянуть на это.

DNS-запросы по умолчанию отправляются с использованием UDP. Кроме того, преобразователи DNS могут не использовать TCP.

Похожие вопросы