Jump to content
  • 0

Блокируется внешний входящий DNS-трафик, но нужно с ним работать


REVERSE

Question

Здравствуйте!

Хочу запустить у себя за кинетиком авторитативный DNS-сервер, но столкнулся с проблемой - никакие пакеты на 53 порты не доходят, и даже не записываются с помощью захвата пакетов.

Но, кажется, я нашёл причину, эти пакеты, по-видимому, блокируются с помощью iptables:

Chain _NDM_IP_PROTECT (1 references)
 pkts bytes target     prot opt in     out     source               destination
   83  6008 _NDM_IP_PUBLIC  all  --  *      *       0.0.0.0/0            0.0.0.0/0
   82  5956 _NDM_SL_PROTECT  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 _NDM_SL_PROTECT  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53

Можно ли как-то всё же разрешить им проходить, и идти на определённый IP в домашней сети?

Link to comment
Share on other sites

15 answers to this question

Recommended Posts

  • 0
2 часа назад, REVERSE сказал:

Но, кажется, я нашёл причину, эти пакеты, по-видимому, блокируются с помощью iptables:


Chain _NDM_IP_PROTECT (1 references)
 pkts bytes target     prot opt in     out     source               destination
   83  6008 _NDM_IP_PUBLIC  all  --  *      *       0.0.0.0/0            0.0.0.0/0
   82  5956 _NDM_SL_PROTECT  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 _NDM_SL_PROTECT  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53

Эти правила нужны для работы с DNS-прокси роутера в сегменте с security-level protected.

2 часа назад, REVERSE сказал:

Можно ли как-то всё же разрешить им проходить, и идти на определённый IP в домашней сети?

Можно в вебе на странице переадресации портов.

Link to comment
Share on other sites

  • 0
22 минуты назад, rustrict сказал:

Эти правила нужны для работы с DNS-прокси роутера в сегменте с security-level protected.

Можно в вебе на странице переадресации портов.

Да, я ведь уже давно пользуюсь сервером и кинетиком, давно пробросил все порты.

Только именно с ДНС это не работает.

Link to comment
Share on other sites

  • 0
3 часа назад, REVERSE сказал:

Можно ли как-то всё же разрешить им проходить, и идти на определённый IP в домашней сети?

Пробовали в межсетевом экране дополнительно разрешить этот трафик?

Link to comment
Share on other sites

  • 0
25 минут назад, keenet07 сказал:

Пробовали в межсетевом экране дополнительно разрешить этот трафик?

Да, пробовал. Сейчас повторил всю процедуру (источник - соединение с провайдером, выход - сервер в сети, порт 53 udp, потом ещё так же для tcp 53).

Никак не повлияло.

Link to comment
Share on other sites

  • 0
41 минуту назад, REVERSE сказал:

Только именно с ДНС это не работает.

3.4 Beta 2 (незарегистрированный хост в protected-сегменте):

~ # ndmc -c "sh run" | grep static
ip static udp GigabitEthernet1 53 10.1.30.43 !DNS-test
~ # tcpdump -v -i br1 port 53
tcpdump: listening on br1, link-type EN10MB (Ethernet), capture size 262144 bytes
20:17:50.718700 IP (tos 0x0, ttl 56, id 43324, offset 0, flags [none], proto UDP (17), length 81)
    pppoe-static.mosoblast.rt.ru.51823 > 10.1.30.43.domain: 37248+ [1au] A? keenetic.com. (53)
20:17:55.717505 IP (tos 0x0, ttl 56, id 44463, offset 0, flags [none], proto UDP (17), length 81)
    pppoe-static.mosoblast.rt.ru.51823 > 10.1.30.43.domain: 37248+ [1au] A? keenetic.com. (53)
20:18:00.717818 IP (tos 0x0, ttl 56, id 45527, offset 0, flags [none], proto UDP (17), length 81)
    pppoe-static.mosoblast.rt.ru.51823 > 10.1.30.43.domain: 37248+ [1au] A? keenetic.com. (53)
^C
3 packets captured
3 packets received by filter
0 packets dropped by kernel

Не стал поднимать сервер, но, я думаю, что проблем бы не возникло.

С зарегистрированным устройством (в ip static не IP, а MAC целевого хоста) в private-сегменте аналогично.

Link to comment
Share on other sites

  • 0
15 минут назад, REVERSE сказал:

Да, пробовал. Сейчас повторил всю процедуру (источник - соединение с провайдером, выход - сервер в сети, порт 53 udp, потом ещё так же для tcp 53).

Никак не повлияло.

Это похоже на Переадресацию. По идее она и сама открывает доступ к порту в МЭ.

Но вы попробуйте на всякий случай дополнительно создать именно в Межсетевом экране для интерфейса интернета правило:  разрешить, вход - любое, выход - ip выданный провайдером или любое, исх. порт - любой, порт назначения 53, протокол UDP/TCP.

Может сработает.

Edited by keenet07
Link to comment
Share on other sites

  • 0
# ndmc -c "sh run" | grep static
ip static udp GigabitEthernet1 53 52:54:00:c3:xx:yy !DNS
ip static tcp GigabitEthernet1 53 52:54:00:c3:xx:yy !DNS TCP

# tcpdump -v -i br1 port 53
tcpdump: listening on br1, link-type EN10MB (Ethernet), capture size 262144 bytes
^C
0 packets captured
0 packets received by filter
0 packets dropped by kernel

Во время сбора дампа пытался с VPS резолвить домен через внешний айпи Кинетика.

Интересно, может ли это быть связано с тем, что сам Кинетик не знает о настоящем внешнем IP? Мне провайдер поставил Микротик, и сказал прописать статический адрес WLAN 192.168.88.2. И все перенаправления работают нормально. И HTTP/HTTPS/OpenVPN по UDP и TCP, и даже WireGuard. Только вот с ДНС такая беда.

Link to comment
Share on other sites

  • 0
2 минуты назад, REVERSE сказал:

Интересно, может ли это быть связано с тем, что сам Кинетик не знает о настоящем внешнем IP? Мне провайдер поставил Микротик, и сказал прописать статический адрес WLAN 192.168.88.2.

Т.е. у вас перед Кинетиком ещё и Микротик стоит? Это уже двойное перенаправление делать нужно. И на микротике и на кинетике. 

Link to comment
Share on other sites

  • 0
1 минуту назад, keenet07 сказал:

Т.е. у вас перед Кинетиком ещё и Микротик стоит? Это уже двойное перенаправление делать нужно. И на микротике и на кинетике. 

Так ведь провайдер там два года назад пробросил весь трафик на мой адрес за микротиком. И работают, повторюсь, все порты кроме ДНС.

Link to comment
Share on other sites

  • 0
2 минуты назад, REVERSE сказал:

Так ведь провайдер там два года назад пробросил весь трафик на мой адрес за микротиком. И работают, повторюсь, все порты кроме ДНС.

Ну проверьте схему с каким-нибудь мобильным интернетом, если будет работать значит причина где-то у провайдера.

Link to comment
Share on other sites

  • 0

Так, я догадался, что надо было не br1 сниффать, а br0.

19:52:46.561727 IP (tos 0x0, ttl 128, id 55068, offset 0, flags [none], proto UDP (17), length 61)
    192.168.44.191.62130 > 192.168.44.1.domain: 16349+ A? ssl.gstatic.com. (33)
19:52:46.585896 IP (tos 0x0, ttl 64, id 38138, offset 0, flags [DF], proto UDP (17), length 77)
    192.168.44.1.domain > 192.168.44.191.62130: 16349 1/0/0 ssl.gstatic.com. A 172.217.17.131 (49)
19:52:47.180772 IP (tos 0x0, ttl 61, id 8656, offset 0, flags [none], proto UDP (17), length 81)
    10.0.0.1.domain > 192.168.44.120.52673: 15495 1/0/0 user5.newtrack.info. A 185.85.123.21 (53)
19:52:47.318005 IP (tos 0x0, ttl 61, id 8745, offset 0, flags [none], proto UDP (17), length 121)
    10.0.0.1.domain > 192.168.44.120.52673: 20622 0/1/0 (93)
19:52:51.176592 IP (tos 0x0, ttl 64, id 61511, offset 0, flags [none], proto UDP (17), length 96)
    192.168.44.120.28923 > asn-ns2.rspamd.com.domain: 21987% [1au] A? 7-FkkdxTWwUZa-SzM1KKNq.uribl.rspamd.com. (68)
19:52:51.195449 IP (tos 0x0, ttl 53, id 6191, offset 0, flags [DF], proto UDP (17), length 137)
    asn-ns2.rspamd.com.domain > 192.168.44.120.28923: 21987 NXDomain*- 0/1/0 (109)
^C
103 packets captured
136 packets received by filter
29 packets dropped by kernel

Как видно, трафик нормально сниффится и бегает. Но какие-то 29 пакетов дропнуты.

Link to comment
Share on other sites

  • 0

Просниффил ещё на eth3, который 192.168.88.2 - статик к микротику. Тоже трафик летает, но в нём нет внешнего айпишника VPS, с которого я пробую резолвить домен.

И теперь даже больше дропнутого:

105 packets captured
174 packets received by filter
68 packets dropped by kernel

 

Link to comment
Share on other sites

  • 0
5 минут назад, REVERSE сказал:

Так, я догадался, что надо было не br1 сниффать, а br0.


19:52:46.561727 IP (tos 0x0, ttl 128, id 55068, offset 0, flags [none], proto UDP (17), length 61)
    192.168.44.191.62130 > 192.168.44.1.domain: 16349+ A? ssl.gstatic.com. (33)
19:52:46.585896 IP (tos 0x0, ttl 64, id 38138, offset 0, flags [DF], proto UDP (17), length 77)
    192.168.44.1.domain > 192.168.44.191.62130: 16349 1/0/0 ssl.gstatic.com. A 172.217.17.131 (49)
19:52:47.180772 IP (tos 0x0, ttl 61, id 8656, offset 0, flags [none], proto UDP (17), length 81)
    10.0.0.1.domain > 192.168.44.120.52673: 15495 1/0/0 user5.newtrack.info. A 185.85.123.21 (53)
19:52:47.318005 IP (tos 0x0, ttl 61, id 8745, offset 0, flags [none], proto UDP (17), length 121)
    10.0.0.1.domain > 192.168.44.120.52673: 20622 0/1/0 (93)
19:52:51.176592 IP (tos 0x0, ttl 64, id 61511, offset 0, flags [none], proto UDP (17), length 96)
    192.168.44.120.28923 > asn-ns2.rspamd.com.domain: 21987% [1au] A? 7-FkkdxTWwUZa-SzM1KKNq.uribl.rspamd.com. (68)
19:52:51.195449 IP (tos 0x0, ttl 53, id 6191, offset 0, flags [DF], proto UDP (17), length 137)
    asn-ns2.rspamd.com.domain > 192.168.44.120.28923: 21987 NXDomain*- 0/1/0 (109)
^C
103 packets captured
136 packets received by filter
29 packets dropped by kernel

Как видно, трафик нормально сниффится и бегает. Но какие-то 29 пакетов дропнуты.

В логе Кинетика не появилось ничего красного с блокировкой какого-либо DNS трафика? Прошивка у вас какая? 

Link to comment
Share on other sites

  • 0
3 минуты назад, keenet07 сказал:

В логе Кинетика не появилось ничего красного с блокировкой какого-либо DNS трафика? Прошивка у вас какая? 

Проверил - ничего красного, всё вроде нормально. Прошивка 3.3.16, на KN-1810 если что.

Link to comment
Share on other sites

  • 0
40 минут назад, REVERSE сказал:

Просниффил ещё на eth3, который 192.168.88.2 - статик к микротику. Тоже трафик летает, но в нём нет внешнего айпишника VPS, с которого я пробую резолвить домен.

Дёргайте провайдера насчёт настроек их оборудования.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...