Не работает DNS resolver, как правильно настроить или проверить?

0

kutytac

9 февраля 2018, 10:13

1225

Пробую настроить виртуализацию на сервере SoyouStart (OVH) - вроде всё настроил правильно, но не работает резолв адресов.

* Пинг из виртуалки в интернет идет

* Сама виртуальная машина пингуется.

При этом подключиться к виртуалке по SSH не могу - таймаут.

DNS для витруалки ovh 213.186.33.99 из виртуалки пингуется и host машина тоже.

dns-nameservers прописаны и доступны.

vi /etc/resolv.conf

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)

# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN

nameserver 213.186.33.99

nameserver 8.8.8.8

nameserver 8.8.4.4

search ovh.net

Как узнать в чем проблема?

---

# iptables-save 

# Generated by iptables-save v1.6.0 on Thu Feb  8 23:41:26 2018

*filter

:INPUT ACCEPT [120860:8623886]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [224629:10165495]

COMMIT

# Completed on Thu Feb  8 23:41:26 2018

При этом сканер портов говорит что все порты закрыты - а там дефолтная Ubuntu server 16.04 - там ничего не закрывалось.

На гипервизоре тоже дефолтная установка Ubuntu server 16.04

K

0

kutytac

9 февраля 2018, 12:21

#1

Дополнительно из VM

# netstat -tuwpln
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 919/sshd
tcp6 0 0 :::22 :::* LISTEN 919/sshd

396

Оптимизайка

9 февраля 2018, 12:35

#2

ну это уберите:

nameserver 213.186.33.99

search ovh.net

потом попробуйте

host www.yandex.ru

⭐ BotGuard (https://botguard.net) ⭐ — защита вашего сайта от вредоносных ботов, воровства контента, клонирования, спама и хакерских атак!

K

0

kutytac

9 февраля 2018, 12:56

#3

Оптимизайка, одинаково. Изначально настраивал по гугловским днс. Это уже потом по их рекомендациям добавил.

396

Оптимизайка

9 февраля 2018, 13:33

#4

kutytac, одинаково что? команда host www.yandex.ru выдает что после удаления этих строк?

K

0

kutytac

9 февраля 2018, 13:53

#5

Оптимизайка,

# host www.yandex.ru
;; connection timed out; no servers could be reached

396

Оптимизайка

9 февраля 2018, 14:07

#6

kutytac, а команда telnet 8.8.8.8 53 ?

K

0

kutytac

9 февраля 2018, 14:10

#7

НАШЕЛ :) - Проблема в предустановленном хостером конфиге iptables

Но в чем именно затык в этом конфиге так и не понял...

Я сбросил все настройки до - разрешить всё. Резолв в виртуалке заработал.

Помогите пожалуйста понять, какое именно правило мешает нормальной работе виртуалки.

# Generated by iptables-save v1.6.0 on Fri Feb 9 17:02:38 2018
*raw
:PREROUTING ACCEPT [45528:3229067]
:OUTPUT ACCEPT [28390:6649125]
COMMIT
# Completed on Fri Feb 9 17:02:38 2018
# Generated by iptables-save v1.6.0 on Fri Feb 9 17:02:38 2018
*nat
:PREROUTING ACCEPT [18482:1078668]
:INPUT ACCEPT [5690:338420]
:OUTPUT ACCEPT [2108:902153]
:POSTROUTING ACCEPT [5977:1025961]
-A POSTROUTING -s 192.168.122.0/24 -d 224.0.0.0/24 -j RETURN
-A POSTROUTING -s 192.168.122.0/24 -d 255.255.255.255/32 -j RETURN
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p tcp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p udp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE
COMMIT
# Completed on Fri Feb 9 17:02:38 2018
# Generated by iptables-save v1.6.0 on Fri Feb 9 17:02:38 2018
*mangle
:PREROUTING ACCEPT [45375:3210124]
:INPUT ACCEPT [29888:2424251]
:FORWARD ACCEPT [16592:937537]
:OUTPUT ACCEPT [28254:6638049]
:POSTROUTING ACCEPT [35993:6885863]
-A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill
COMMIT
# Completed on Fri Feb 9 17:02:38 2018
# Generated by iptables-save v1.6.0 on Fri Feb 9 17:02:38 2018
*filter
:INPUT DROP [20:2120]
:FORWARD DROP [972:79998]
:OUTPUT ACCEPT [0:0]
:f2b-ssh - [0:0]
:f2b-ssh-ddos - [0:0]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 22 -j f2b-ssh-ddos
-A INPUT -p tcp -m multiport --dports 22 -j f2b-ssh
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -d 192.168.122.0/24 -o virbr0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.122.0/24 -i virbr0 -j ACCEPT
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -o virbr0 -p udp -m udp --dport 68 -j ACCEPT
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A f2b-ssh -j RETURN
-A f2b-ssh-ddos -s 159.89.7.14/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-ssh-ddos -j RETURN
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j DROP
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 22 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 4949 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 53 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 53 -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
COMMIT
# Completed on Fri Feb 9 17:02:38 2018

396

Оптимизайка

9 февраля 2018, 14:17

#8

Ну так актуальное состояние надо смотреть командой iptables -L -n -v и iptables -L -n -v -t nat

В файлах конфигурации может быть что угодно написано :)

"Мешает" INPUT DROP наверное :D

K

0

kutytac

9 февраля 2018, 14:40

#9

Оптимизайка, у меня есть ещё сервер у другого провайдера. там секция файрвола аналогичная присутствует и настроена идентично. В целом конфиги обоих серверов идентичны кроме секции *raw - здесь она идет в самом начале.

*filter
:INPUT DROP [26:1529]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]

Но в том конфиге отсутствует секция *raw - помогите пожалуйста понять, для чего она присутствует в конфиге OVH сервера

*raw
:PREROUTING ACCEPT [1138698:90217038]
:OUTPUT ACCEPT [470140:123989098]
COMMIT

K

0

kutytac

9 февраля 2018, 17:38

#10

:FORWARD DROP

Проблема здесь. Но не понятно чем это вызвано.

Есть сервера на online.net - там прописано аналогично

*filter
:INPUT DROP [26:1529]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]

Но там всё работает. Настройки сети точно такие же.

По какой-то причини в OVH нужно :FORWARD ACCEPT ...

Помогите понять причину пожалуйста.

Требование к запросу согласия: Вывод на КредитЕвропаБанк Посоветуйте российский хостинг

Все что нужно знать о DDоS-атаках грамотному менеджеру

Вышел новый Яндекс Браузер с YandexGPT и YandexART