Lokálny DNS server neforwarduje Gmail

Re:Lokálny DNS server neforwarduje Gmail
« Odpověď #15 kdy: 27. 09. 2012, 14:13:16 »
Tak to teraz mám nastavené.
Ešte by mi pomohlo, keby som mohol nastaviť bind9, aby prechádzal cez socks proxy, akurát že to asi nejde.
Asi sa vykašlem na DNS a napíšem si generátor hosts...


Re:Lokálny DNS server neforwarduje Gmail
« Odpověď #16 kdy: 28. 09. 2012, 11:51:01 »
Tak dump jasně ukazuje, že máš firewall, co zahazuje fragmenty. A nejspíš je i problém s TCP spojením. Zkus přidat do options:
Kód: [Vybrat]
edns-udp-size 1200;
Pak jsem taky nějak nepochopil, když píšeš, že firemní server má adresu 10.0.120.8,  proč forwarduješ na adresy 10.0.10.8 a 10.0.10.4. Jak už bylo napsáno, dej tam adresu svého nadřazeného serveru. Pokud nemáš otevřené přímé spojení na port 53 do Internetu, přidej do options ještě:
Kód: [Vybrat]
forward only;
Ničemu to asi nepomůže, ale v případě neúspěchu se to nebude snažit spojit se přímo s root servery.

Re:Lokálny DNS server neforwarduje Gmail
« Odpověď #17 kdy: 28. 09. 2012, 14:05:07 »
10.0.10.8 bol len zbytočný pokus o anonymizáciu. V reáli to je 120.

Tie nastavenia nepomohli. V prílohe posielam znovu pcap - najprv forwardonly, v ďalšom príspevku aj s udp size

Re:Lokálny DNS server neforwarduje Gmail
« Odpověď #18 kdy: 28. 09. 2012, 14:05:40 »
ďalší pcap

Re:Lokálny DNS server neforwarduje Gmail
« Odpověď #19 kdy: 28. 09. 2012, 17:40:18 »
10.0.10.8 bol len zbytočný pokus o anonymizáciu. V reáli to je 120.
A je ti jasný, že zbytečně plýtváš časem lidí, kteří se ti snaží pomoct?!


Re:Lokálny DNS server neforwarduje Gmail
« Odpověď #20 kdy: 29. 09. 2012, 16:56:01 »
Dumpy vypadají dobře. Ještě prosím, tenhle příkaz taky vytimeoutuje?
Kód: [Vybrat]
$ dig gmail.com a +cdflag @127.0.0.1
Pokud ne, pak je asi potřeba vypnout DNSSEC validaci, protože nadřazený server mrší DNS provoz.
Pokud jsi v takto uzamčeném prostředí a nemůžeš požádat někoho, aby ti otevřel firewall, fakt bude asi lepší udělat si generátor souboru /etc/hosts.

Nebo můžeš vyzkoušet unbound a jeho tunelování DNS provozu pomocí TCP a/nebo TLS. Pak by stačil volný přístup na port 80 nebo 443, i to ale může být problém :)