У меня возникла странная проблема, когда мой сервер теперь отказывается выполнять поиск в DNS (используя привязку). Я использую CentOS в качестве шлюза OpenVPN и предоставляю клиентам службу DNS. В течение месяца все работало нормально и по назначению, а сегодня служба DNS больше не работает. Никаких изменений в конфигурацию не вносилось ...
Это файл named.conf:
options {
# Hide bind version
version "Not shown";
# Listen only on localhost and VPN gateway IPv4
listen-on port 53 { 127.0.0.1; 10.44.3.1; };
listen-on-v6 port 53 { ::1; };
# Forward requests to Google public DNS
forwarders { 8.8.8.8; 8.8.4.4; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { localhost; crypto; };
allow-recursion { localhost; crypto; };
recursion yes;
dnssec-enable no;
dnssec-validation no;
dnssec-lookaside auto;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
};
acl crypto{
10.44.3.0/29; // SSL VPN
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN {
type hint;
file "named.ca";
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
Обратите внимание на ACL: сервер должен обслуживать только клиентов из подсети 10.44.3.0/29 (диапазон IP-адресов 10.44.3.1-10.44.3.6, где .1 - шлюз). Теперь, когда я получаю от клиента установку VPN-туннеля, а затем отслеживаю разрешение DNS, я могу сказать, что ему отказали из-за сообщений об ошибках ICMP:
[root@vps50300 ~]# tcpdump -i tun0 host 10.44.3.6
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
10:10:16.735977 IP 10.44.3.6.61219 > 10.44.3.1.domain: 1+ PTR? 1.3.44.10.in-addr.arpa. (40)
10:10:16.736038 IP 10.44.3.1 > 10.44.3.6: ICMP host 10.44.3.1 unreachable - admin prohibited, length 76
10:10:18.736269 IP 10.44.3.6.61220 > 10.44.3.1.domain: 2+ A? www.google.com. (32)
10:10:18.736330 IP 10.44.3.1 > 10.44.3.6: ICMP host 10.44.3.1 unreachable - admin prohibited, length 68
10:10:20.737701 IP 10.44.3.6.61221 > 10.44.3.1.domain: 3+ AAAA? www.google.com. (32)
10:10:20.737758 IP 10.44.3.1 > 10.44.3.6: ICMP host 10.44.3.1 unreachable - admin prohibited, length 68
10:10:22.738068 IP 10.44.3.6.61222 > 10.44.3.1.domain: 4+ A? www.google.com. (32)
10:10:22.738154 IP 10.44.3.1 > 10.44.3.6: ICMP host 10.44.3.1 unreachable - admin prohibited, length 68
10:10:24.737910 IP 10.44.3.6.61223 > 10.44.3.1.domain: 5+ AAAA? www.google.com. (32)
10:10:24.737965 IP 10.44.3.1 > 10.44.3.6: ICMP host 10.44.3.1 unreachable - admin prohibited, length 68
И последнее, но не менее важное: я думаю, что мой iptable выглядит правильно (весь трафик с 10.44.3.0/29 принимается и перенаправляется):
[root@vps50300 ~]# iptables -L -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
1897K 320M ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
229K 14M ACCEPT icmp -- any any anywhere anywhere
10957 820K ACCEPT all -- lo any anywhere anywhere
7128 421K ACCEPT tcp -- venet0 any anywhere anywhere tcp dpt:http state NEW
7166 425K ACCEPT tcp -- venet0 any anywhere anywhere tcp dpt:https state NEW
14457 819K ACCEPT tcp -- venet0 any anywhere anywhere tcp dpt:ssh state NEW
59 2636 ACCEPT tcp -- venet0 any anywhere anywhere tcp dpt:ftp state NEW
0 0 ACCEPT tcp -- venet0 any anywhere anywhere tcp dpt:45632 state NEW
0 0 ACCEPT tcp -- venet0 any anywhere anywhere tcp dpt:45633 state NEW
16 1120 ACCEPT udp -- venet0 any anywhere anywhere udp dpt:openvpn state NEW
47288 3095K REJECT all -- any any anywhere anywhere reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
4062K 3220M ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
43961 2562K ACCEPT all -- any any 10.44.3.0/29 anywhere
0 0 REJECT all -- any any anywhere anywhere reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 3107K packets, 3306M bytes)
pkts bytes target prot opt in out source destination
Но, похоже, я все еще соблюдаю одно из правил, так как получаю сообщение о запрете администратора ICMP?
Я не уверен, как это исправить, любое предложение приветствуется.
Не существует правила, которое разрешало бы трафик DNS на ваш хост (пакет будет обрабатываться цепочкой FORWARD только в том случае, если и источник, и место назначения не являются «не этим компьютером». Если служба DNS работает на сервере, с которого исходят эти правила, вы нужно смотреть на цепочку INPUT).
Попробуйте добавить: iptables -i tun0 -I INPUT 8 -p udp --dsport 53 -j ACCEPT.