[Comm] ADS, DNS и iptables

[Comm] ADS, DNS и iptables

[Владимир Гусев]

Здравствуйте!

Столкнулся с проблемой, которую как-то решил, но причины возникновения  
проблемы мне неясны.
Итак, жили-были два компьютера - Windows 2000 server с ADS, MS SQL и  
DNS-сервером и шлюз-сервер на Windows 2000 server и MS ISA Server. Второму  
я втайне желал поскорее "почить в бозе", и, наконец, этот желанный миг  
настал. Соответственно худо-бедно при помощи community и различных HOWTO  
был "поднят" вполне приличный шлюз на Мастере 2.4 - iptables, squid,  
apache (в зачаточной конфигурации).
После настройки iptables (squid'a тогда еще не было) у пользователей в  
локальной сети стали возникать проблемы в виде очень долгой регистрации в  
домене при вводе логина и пароля, а также ненормальная работа клиентских  
программ, основанных на запросах к MS SQL. Пинг сервера с ADS и MS SQL при  
этом выдавал всякую чертовщину, только не IP сервера, хотя у клиентов в  
качестве DNS-сервера прописан IP сервера с запущенной на нем серверной  
службой DNS. Решилось все жестким прописыванием каждому пользователю в  
%windir%/system32/drivers/etc/hosts всех "расшифровок" IP для всех  
серверов. Я сделал скрипт для ADS, который при рестарте машины клиента  
вставлял такой hosts... после этого у всех все нормализовалось... До этого  
же любые действия с сетью, будь то работа с MS SQL, или с сетевыми  
дисками, вход в систему - тянулись вечность...

По времени это совпало с установкой шлюза на линуксе и прописывания всем  
его в качестве шлюза. Samba на шлюзе не установлена, вроде она там не  
нужна.

Что это может быть?


-- 
С уважением, Владимир Гусев

Re: [Comm] ADS, DNS и iptables

[Mike Lykov]

В сообщении от Вторник 12 Апрель 2005 21:50 Владимир Гусев написал:
> Что это может быть?

вы же сами и ответили - неверная работа с dns. 
нормально ли доступен ваш dns-сервер?
или вы его сами закрыли от себя?

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 

Re: [Comm] ADS, DNS и iptables

[Alexey V. Novikov]

12.04.2005 20:50, Владимир Гусев пишет:
> Здравствуйте!
> 
> Столкнулся с проблемой, которую как-то решил, но причины возникновения  
> проблемы мне неясны.
> Итак, жили-были два компьютера - Windows 2000 server с ADS, MS SQL и  
> DNS-сервером и шлюз-сервер на Windows 2000 server и MS ISA Server. 
> Второму  я втайне желал поскорее "почить в бозе", и, наконец, этот 
> желанный миг  настал. Соответственно худо-бедно при помощи community и 
> различных HOWTO  был "поднят" вполне приличный шлюз на Мастере 2.4 - 
> iptables, squid,  apache (в зачаточной конфигурации).
> После настройки iptables (squid'a тогда еще не было) у пользователей в  
> локальной сети стали возникать проблемы в виде очень долгой регистрации 
> в  домене при вводе логина и пароля, а также ненормальная работа 
> клиентских  программ, основанных на запросах к MS SQL. Пинг сервера с 
> ADS и MS SQL при  этом выдавал всякую чертовщину, только не IP сервера, 
> хотя у клиентов в  качестве DNS-сервера прописан IP сервера с запущенной 
> на нем серверной  службой DNS. Решилось все жестким прописыванием 
> каждому пользователю в  %windir%/system32/drivers/etc/hosts всех 
> "расшифровок" IP для всех  серверов. Я сделал скрипт для ADS, который 
> при рестарте машины клиента  вставлял такой hosts... после этого у всех 
> все нормализовалось... До этого  же любые действия с сетью, будь то 
> работа с MS SQL, или с сетевыми  дисками, вход в систему - тянулись 
> вечность...
> 
> По времени это совпало с установкой шлюза на линуксе и прописывания 
> всем  его в качестве шлюза. Samba на шлюзе не установлена, вроде она там 
> не  нужна.
> 
> Что это может быть?

Поднять на шлюзе bind, сделать его slave'ом для локальной зоны
(пакет bind-slave), а win сервере в DHCP(если есть) прописать
2 DNS: 1-шлюз, 2-win сервер.

-- 
WBR, Alexey V. Novikov

Re: [Comm] ADS, DNS и iptables

[Kolotov Alexandr]

> По времени это совпало с установкой шлюза на линуксе и прописывания всем  
> его в качестве шлюза. Samba на шлюзе не установлена, вроде она там не  
> нужна.
> 
> Что это может быть?
Похоже на iptables прикрыла трафик для DNS (может частично)
Например, мой лог tcpdump:

/usr/sbin/tcpdump -i eth0 -n -nn -N 'host 10.0.0.13 and ip proto \udp'
tcpdump: listening on eth0
11:18:43.995 10.0.0.13.1825 > 10.0.0.254.53: 1+ A? Admi. (22)
11:18:43.997 10.0.0.254.53 > 10.0.0.13.1825: 1 NXDomain 0/1/0 (97)(DF)
11:18:44.004 10.0.0.13.1826 > 10.0.0.254.53: 2+ A? Bridge. (24)
11:18:44.006 10.0.0.254.53 > 10.0.0.13.1826: 2 NXDomain 0/1/0 (99)(DF)
11:18:44.014 10.0.0.13.1827 > 10.0.0.254.53: 3+ A? Mily. (22)
11:18:44.015 10.0.0.254.53 > 10.0.0.13.1827: 3 NXDomain 0/1/0 (97)(DF)

Видно, что просматриваю UDP-трафик и запросы идут как к серверу, так и 
обратно... Надо эту ситуацию предусмотреть в правилах iptables...

-- 
С уважением, Kolotov Alexandr aka mr. Эбола
              отвечать: akmypost@mail.ru
                   ICQ: 100349254

    ---------------------------------------
   |  Registered Linux user       # 236664 |
    ---------------------------------------

Re: [Comm] ADS, DNS и iptables

[Владимир Гусев]

On Wed, 13 Apr 2005 07:20:54 +0400, Mike Lykov <combr@vesna.ru> wrote:

> В сообщении от Вторник 12 Апрель 2005 21:50 Владимир Гусев написал:
>> Что это может быть?
>
> вы же сами и ответили - неверная работа с dns.
> нормально ли доступен ваш dns-сервер?
> или вы его сами закрыли от себя?
>

Вот содержимое iptables:

[root@gate root]# iptables-save
# Generated by iptables-save v1.2.11 on Wed Apr 13 13:16:55 2005
*filter
:INPUT DROP [182119:37345549]
:FORWARD ACCEPT [5462205:2180904298]
:OUTPUT ACCEPT [5176209:2593568822]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth0 -j DROP
COMMIT
# Completed on Wed Apr 13 13:16:55 2005
# Generated by iptables-save v1.2.11 on Wed Apr 13 13:16:55 2005
*nat
:PREROUTING ACCEPT [470532:52138660]
:POSTROUTING ACCEPT [264624:14137237]
:OUTPUT ACCEPT [265042:14527879]
-A PREROUTING -s 192.168.1.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.1.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.1.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 8081 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -j SNAT --to-source 62.118.0.130
COMMIT
# Completed on Wed Apr 13 13:16:55 2005

А вот вывод команды:

[root@gate root]# iptables -nvL
Chain INPUT (policy DROP 182K packets, 37M bytes)
  pkts bytes target     prot opt in     out     source               destination
  116K  119M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
2198K 1809M ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2211K  335M ACCEPT     tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED

Chain FORWARD (policy ACCEPT 5463K packets, 2181M bytes)
  pkts bytes target     prot opt in     out     source               destination
     0     0 DROP       all  --  eth0   *       192.168.1.0/24       0.0.0.0/0

Chain OUTPUT (policy ACCEPT 5179K packets, 2595M bytes)
  pkts bytes target     prot opt in     out     source               destination


И потом, вторым у клиентов прописан dns провайдера, если его убрать, то у клиента доступа в интернет, естественно не будет, следовательно он работает.. так что непонятно, как в этом случае выборочно работает DNS...

-- 
С уважением, Владимир Гусев

Re: [Comm] ADS, DNS и iptables

[Kolotov Alexandr]

А как связаны между собой эти два сервера?
ADS стоит за linux? Обрисуйте все по IP, если не секрет?

Может дело все из-за SNAT? Linux представляется для DNS сервером из 
другой сети, а DNS не разрешает резолвиться машинам из другой сети?

-- 
С уважением, Kolotov Alexandr aka mr. Эбола
              отвечать: akmypost@mail.ru
                   ICQ: 100349254

    ---------------------------------------
   |  Registered Linux user       # 236664 |
    ---------------------------------------

Re: [Comm] ADS, DNS и iptables

[Владимир Гусев]

> А как связаны между собой эти два сервера?

Они в одной локальной сети ***.***.***.0/255.255.255.0

> ADS стоит за linux?

В каком смысле "за"? Он в той же локальной сети, за шлюзом, если я  
правильно понял..

> Может дело все из-за SNAT? Linux представляется для DNS сервером из  
> другой сети, а DNS не разрешает резолвиться машинам из другой сети?

Не думаю, что шлюз на линуксе для windows-сервера кажется каким-то  
другим.. С чего бы это? Я даже грешил на "os level" какой-нибудь... но не  
знаю, применяется ли этот параметр где-нибудь еще, кроме samba (которой на  
шлюзе нет)?
Для уточнения к содержимому iptables - eth0 - внешний сет. интерфейс, eth1  
смотрит в локалку..



-- 
С уважением, Владимир Гусев

Re: [Comm] ADS, DNS и iptables

[Kolotov Alexandr]

>>А как связаны между собой эти два сервера?
> Они в одной локальной сети ***.***.***.0/255.255.255.0
>>ADS стоит за linux?
> В каком смысле "за"? Он в той же локальной сети, за шлюзом, если я  
> правильно понял..
  -----          -------            --------------
| ADS | ------ | Linux | -------- { Твоя локалка }
  -----          -------            --------------

или
                           -----
                   ------ | ADS |
  --------------  /        -----
{ Твоя локалка }
  --------------  \        -------
                   ------ | Linux |
                           -------
Если второе тогда не понятно, как Linux может повлиять на ADS?

-- 
С уважением, Kolotov Alexandr aka mr. Эбола
              отвечать: akmypost@mail.ru
                   ICQ: 100349254

    ---------------------------------------
   |  Registered Linux user       # 236664 |
    ---------------------------------------

Re: [Comm] ADS, DNS и iptables

[Владимир Гусев]

>   -----          -------            --------------
> | ADS | ------ | Linux | -------- { Твоя локалка }
>   -----          -------            --------------
>
> или
>                            -----
>                    ------ | ADS |
>   --------------  /        -----
> { Твоя локалка }
>   --------------  \        -------
>                    ------ | Linux |
>                            -------
> Если второе тогда не понятно, как Linux может повлиять на ADS?
>

Если честно - не въезжаю... есть локальная сеть, одна, без подсетей.. и Linux - точнее его внутренний сетевой интерфейс eth1 - ее часть.. Видимо первая схема..

-- 
С уважением, Владимир Гусев

Re: [Comm] ADS, DNS и iptables

[Kolotov Alexandr]

> Если честно - не въезжаю... есть локальная сеть, одна, без
 > подсетей.. и Linux - точнее его внутренний сетевой интерфейс
 > eth1 - ее часть.. Видимо первая схема..
Хорошо, а куда смотрит сетевой интерфейс ADS?

-- 
С уважением, Kolotov Alexandr aka mr. Эбола
              отвечать: akmypost@mail.ru
                   ICQ: 100349254

    ---------------------------------------
   |  Registered Linux user       # 236664 |
    ---------------------------------------

Re: [Comm] ADS, DNS и iptables

[Владимир Гусев]

On Thu, 14 Apr 2005 12:48:38 +0400, Kolotov Alexandr <akmypost@mail.ru> wrote:

>> Если честно - не въезжаю... есть локальная сеть, одна, без
>  > подсетей.. и Linux - точнее его внутренний сетевой интерфейс
>  > eth1 - ее часть.. Видимо первая схема..
> Хорошо, а куда смотрит сетевой интерфейс ADS?
>

Туда же, в локалку...


-- 
С уважением, Владимир Гусев

Re: [Comm] ADS, DNS и iptables

[Владимир Гусев]

>>> Если честно - не въезжаю... есть локальная сеть, одна, без
>>  > подсетей.. и Linux - точнее его внутренний сетевой интерфейс
>>  > eth1 - ее часть.. Видимо первая схема..
>> Хорошо, а куда смотрит сетевой интерфейс ADS?
>>
>
> Туда же, в локалку...
>
>

Значит все же вторая схема? Тогда точно непонятно, почему рубится DNS..


-- 
С уважением, Владимир Гусев

Re: [Comm] ADS, DNS и iptables

[Kolotov Alexandr]

> Туда же, в локалку...
Тогда вторая схема...
Сейчас я не вьезжаю... А если отключить все правила в  iptables, работа 
с ADS будет нормальной? Послушайте на linux трафик - не идут ли к нему 
DNS пакеты предназначенные для ADS?

Или вот еще безумная мысля пришла: ttl linux меньше (по-умолчанию), чем 
Windows. Может это как-то связано? Т.е. проверяется два DNS - внутренний 
и внешний и в зависимости от того какой ближе (по времени), за ни и 
приоритет...

-- 
С уважением, Kolotov Alexandr aka mr. Эбола
              отвечать: akmypost@mail.ru
                   ICQ: 100349254

    ---------------------------------------
   |  Registered Linux user       # 236664 |
    ---------------------------------------

Re: [Comm] ADS, DNS и iptables

[Kolotov Alexandr]

> Или вот еще безумная мысля пришла: ttl linux меньше (по-умолчанию), чем 
> Windows. Может это как-то связано? Т.е. проверяется два DNS - внутренний 
> и внешний и в зависимости от того какой ближе (по времени), за ни и 
> приоритет...
Попробуй сделать форвард с виндового сервака на DNS провайдера, и 
отключить второй DNS (провайдерский) у пользователей.

-- 
С уважением, Kolotov Alexandr aka mr. Эбола
              отвечать: akmypost@mail.ru
                   ICQ: 100349254

    ---------------------------------------
   |  Registered Linux user       # 236664 |
    ---------------------------------------

Re: [Comm] ADS, DNS и iptables

[Владимир Гусев]

>> Или вот еще безумная мысля пришла: ttl linux меньше (по-умолчанию), чем
>> Windows. Может это как-то связано? Т.е. проверяется два DNS - внутренний
>> и внешний и в зависимости от того какой ближе (по времени), за ни и
>> приоритет...
> Попробуй сделать форвард с виндового сервака на DNS провайдера, и
> отключить второй DNS (провайдерский) у пользователей.
>

Я думал об этом, но не хотелось прописывать шлюз на ADS-сервере (windows все-таки), а иначе dns-серверы провайдера ему будут недоступны..

-- 
С уважением, Владимир Гусев

Re: [Comm] ADS, DNS и iptables

[Kolotov Alexandr]

> Я думал об этом, но не хотелось прописывать шлюз
 > на ADS-сервере (windows все-таки), а иначе dns-серверы
 > провайдера ему будут недоступны..

можно не говорить, что это шлюз...
можно сделать:
1. Извратный способ. Сказать ADS, что это Linux - DNS, а на Linux делать 
DNAT всех UDP запросов для 53 порта на DNS сервер провайдера
2. Менее извратный подход. Сказать ADS, что это Linux - DNS, а на Linux 
поднять forward DNS на сервер провайдера
3. Нормальный подход. Отказаться от ADS DNS-сервера и поднять свой на 
Linux-машине...

-- 
С уважением, Kolotov Alexandr aka mr. Эбола
              отвечать: akmypost@mail.ru
                   ICQ: 100349254

    ---------------------------------------
   |  Registered Linux user       # 236664 |
    ---------------------------------------

Re: [Comm] ADS, DNS и iptables

[Alexey V. Novikov]

15.04.2005 11:56, Kolotov Alexandr пишет:
> 3. Нормальный подход. Отказаться от ADS DNS-сервера и поднять свой на 
> Linux-машине...
4. Еще более нормальный способ.:) Сделать на шлюзе DNS-slave для
локальной зоны, записав у него в мастеры ADS.

-- 
WBR, Alexey V. Novikov

Re: [Comm] ADS, DNS и iptables

[Владимир Гусев]

> можно сделать:
> 1. Извратный способ. Сказать ADS, что это Linux - DNS, а на Linux делать  
> DNAT всех UDP запросов для 53 порта на DNS сервер провайдера
> 2. Менее извратный подход. Сказать ADS, что это Linux - DNS, а на Linux  
> поднять forward DNS на сервер провайдера
> 3. Нормальный подход. Отказаться от ADS DNS-сервера и поднять свой на  
> Linux-машине...
>

Спасибо за участие.. :) буду думать..

-- 
С уважением, Владимир Гусев

Re: [Comm] ADS, DNS и iptables

[Владимир Гусев]

>> 3. Нормальный подход. Отказаться от ADS DNS-сервера и поднять свой на  
>> Linux-машине...
> 4. Еще более нормальный способ.:) Сделать на шлюзе DNS-slave для
> локальной зоны, записав у него в мастеры ADS.
>

Спасибо!


-- 
С уважением, Владимир Гусев