caching dns timed out

[Giorgos Keramidas]

On 2006-03-20 09:23, Στέλλα Κορακάκη <skor at hellug.gr> wrote:
> Καλημέρα,
>
> εχω ενα πρόβλημα σε εναν caching dns (bind 9.2). Ενω δουλεύει μια χαρα,
> κατα καιρούς εμφανίζονται hostnames που δεν κάνουν resolv ενω θα επρεπε.
> Αν υποθέσουμε οτι ο dns server μου ειναι ο dns.foo.gr και το προβλημα
> ειναι στο hostname www.koukouroukou.gr το οποιο βρησκεται στον dns server
> dns.koukou.gr εχω τα εξης:
>
> dig @dns.foo.gr www.koukouroukou.gr
> ; <<>> DiG 9.2.1 <<>> @dns.foo.gr www.koukouroukou.gr
> ;; global options:  printcmd
> ;; connection timed out; no servers could be reached
>
> dig @dns.koukou.gr www.koukouroukou.gr
> www.koukouroukou.gr.           5       IN      A       192.168.1.1
>
> dig +time=10 @dns.foo.gr www.koukouroukou.gr
> www.koukouroukou.gr.	       5       ΙΝ      Α       192.168.1.1
>
> Απο αυτο καταλαβαινω οτι οτι ο dns.server μου θελει περισσότερο χρόνο για
> να παρει την απάντηση απο τον server dns.koukou.gr. Αυτο ειναι πρόβλημα
> του απεναντι server που ρωτάει ή δικό μου? Μπορώ κάπως να το λύσω?

Λίγο νυχομυριστική, αλλά αν δεν ισχύει αυτό που φαντάστηκα, απλά αγνόησέ
τα παρακάτω...

Χρησιμοποιεί κάποιος από τους 2 (client, server) κάποιο firewall?

Τα DNS queries χρησιμοποιούν UDP και πολλές φορές τέτοια timeouts
οφείλονται στο ότι κάποιο ενδιάμεσο firewall έχει stateful κανόνες για
φιλτράρισμα των UDP πακέτων.  Αυτό σημαίνει πως αν το client σύστημα
π.χ. δημιουργήσει ένα δυναμικό κανόνα για να επιτρέψει στην απάντηση να
περάσει από το firewall κι ο server αργήσει λίγο να απαντήσει, τρώει πόρτα
η απάντηση.

Επειδή το UDP δεν είναι, στην πραγματικότητα, ιδιαίτερα stateful αυτό δεν
υπάρχει καλός τρόπος να το αποφύγεις, εκτός από το να αυξήσεις (αν γίνεται)
το timeout των stateful dynamic rules.

Αν το client σύστημα (ή κάποιο ενδιάμεσο gateway) τρέχει κάποιο firewall,
μπορείς να κοιτάξεις αν το firewall μπλοκάρει UDP πακέτα από DNS;