Re: iptables traag in reverse dns
On Mon, 30 Mar 2020 15:33:03 +0200 mj wrote: > Maar is het punt niet dat ook wanneer lieden hun DNS niet op orde > hebben, een NXDOMAIN nog steeds instant zou moeten komen... Uhhh, nee, een NXDOMAIN is een antwoord van een server, een server die kapot of down is geeft geen antwoord, ook geen NXDOMAIN ;-) > Maar inderdaad: ik doe normaal ook -nL > > Zie bij iptables sowieso altijd liever IP's dan dns namen. Ik weet niet beter :) -- richard lucassen http://contact.xaq.nl/
Re: iptables traag in reverse dns
Hoi! On 3/30/20 2:16 PM, Richard Lucassen wrote: Gebruik iptables -nL dan heb je dat reverse lookup gezeur niet. Er zijn altijd figuren die de boel niet op orde hebben en bovendien gaat -n vele malen sneller, ook al werkt de DNS. Maar is het punt niet dat ook wanneer lieden hun DNS niet op orde hebben, een NXDOMAIN nog steeds instant zou moeten komen... Maar inderdaad: ik doe normaal ook -nL Zie bij iptables sowieso altijd liever IP's dan dns namen. MJ
Re: iptables traag in reverse dns
Hoi allemaal! On 3/30/20 2:35 PM, Richard Lucassen wrote: On Mon, 30 Mar 2020 12:51:54 +0200 mj wrote: Weet iemand waar ik iets zou kunnen checken? Hier geprobeerd, de eerste keer 3 sec, de tweede keer (cache) net zo snel als -n Het lijkt niks met een cache te maken te hebben: tien keer achter elkaar "iptables -L", en tien keer even langzaam op de IP's. Ook nadat ik de cache eerst 'geladen' heb met "host 45.142.195.2" MJ
Re: iptables traag in reverse dns
Hoi, On 3/30/20 2:43 PM, Richard Lucassen wrote: Ik heb wel op een firewall met 3000 rules dat de -L blijft hangen op een server die niet werkt: $ host 198.17.62.23 ;; connection timed out; no servers could be reached Dat is helemaal geen antwoord. Het 17.198.in-addr.arpa domein heeft geen NS record. Is het niet zoiets? Bij mij krijg ik vanaf die server dus wel antwoord van DNS, en telkens ook instant. Er lijkt op zich dus niks met DNS aan de hand te zijn. En inderdaad geen timeout, maar NXDOMAIN. MJ
Re: iptables traag in reverse dns
On Mon, 30 Mar 2020 14:33:32 +0200 Richard Lucassen wrote: > > Echter: beide "not founds" zijn instant. > > En ook als je dat na die "host " doet? Dan zit de NXDOMAIN in de > cache. Ik heb wel op een firewall met 3000 rules dat de -L blijft hangen op een server die niet werkt: $ host 198.17.62.23 ;; connection timed out; no servers could be reached Dat is helemaal geen antwoord. Het 17.198.in-addr.arpa domein heeft geen NS record. Is het niet zoiets? -- richard lucassen http://contact.xaq.nl/
Re: iptables traag in reverse dns
On Mon, 30 Mar 2020 12:51:54 +0200 mj wrote: > Weet iemand waar ik iets zou kunnen checken? Hier geprobeerd, de eerste keer 3 sec, de tweede keer (cache) net zo snel als -n -- richard lucassen http://contact.xaq.nl/
Re: iptables traag in reverse dns
On Mon, 30 Mar 2020 12:51:54 +0200 mj wrote: > Maar: ik verwacht dus dat er op dat systeem een probleem is mbt dns > resolving. Dus verwacht dat het volgnde ook traag is: > > > root@server:/etc# host 45.142.195.2 > > Host 2.195.142.45.in-addr.arpa. not found: 3(NXDOMAIN) > > root@server:/etc# host 45.133.99.3 > > Host 3.99.133.45.in-addr.arpa. not found: 3(NXDOMAIN) > > Echter: beide "not founds" zijn instant. En ook als je dat na die "host " doet? Dan zit de NXDOMAIN in de cache. -- richard lucassen http://contact.xaq.nl/
Re: iptables traag in reverse dns
On Mon, 30 Mar 2020 12:51:54 +0200 mj wrote: > Ik zie op een machine dat iptables -L output blijft hangen op IP > adressen: Gebruik iptables -nL dan heb je dat reverse lookup gezeur niet. Er zijn altijd figuren die de boel niet op orde hebben en bovendien gaat -n vele malen sneller, ook al werkt de DNS. R. -- richard lucassen http://contact.xaq.nl/
Re: iptables traag in reverse dns
On Mon, Mar 30, 2020 at 12:51:54PM +0200, mj wrote: > Hoi, > > Ik zie op een machine dat iptables -L output blijft hangen op IP adressen: > > > target prot opt source destination > **5 sec delay > > REJECT all -- 45.142.195.2 anywhere reject-with > > icmp-port-unreachable > > REJECT all -- ip-38-66.ZervDNS anywhere reject-with > > icmp-port-unreachable > **5 sec delay > > REJECT all -- 45.133.99.3 anywhere reject-with > > icmp-port-unreachable > > REJECT all -- ip-38-82.ZervDNS anywhere reject-with > > icmp-port-unreachable > > RETURN all -- anywhere anywhere > > Ik kan natuurlijk met iptables -L -n zorgen dat de output nummeriek blijft, > en dan is ie inderdaad snel. > > Maar: ik verwacht dus dat er op dat systeem een probleem is mbt dns > resolving. Dus verwacht dat het volgnde ook traag is: > > > root@server:/etc# host 45.142.195.2 > > Host 2.195.142.45.in-addr.arpa. not found: 3(NXDOMAIN) > > root@server:/etc# host 45.133.99.3 > > Host 3.99.133.45.in-addr.arpa. not found: 3(NXDOMAIN) > > Echter: beide "not founds" zijn instant. > > De vraag: waarom zou iptables resolving traag zijn, en 'host' gewoon snel? > > Dns config op de machine al eens gewijzigd naar 8.8.8.8, maar geen verschil. > > Weet iemand waar ik iets zou kunnen checken? Mijn inschatting is dat met `strace` aan te tonen is, dat de verschillende programma's op verschillende manieren name resolving doen. Regards Geert Stappers -- Silence is hard to parse
iptables traag in reverse dns
Hoi, Ik zie op een machine dat iptables -L output blijft hangen op IP adressen: target prot opt source destination **5 sec delay REJECT all -- 45.142.195.2 anywhere reject-with icmp-port-unreachable REJECT all -- ip-38-66.ZervDNS anywhere reject-with icmp-port-unreachable **5 sec delay REJECT all -- 45.133.99.3 anywhere reject-with icmp-port-unreachable REJECT all -- ip-38-82.ZervDNS anywhere reject-with icmp-port-unreachable RETURN all -- anywhere anywhere Ik kan natuurlijk met iptables -L -n zorgen dat de output nummeriek blijft, en dan is ie inderdaad snel. Maar: ik verwacht dus dat er op dat systeem een probleem is mbt dns resolving. Dus verwacht dat het volgnde ook traag is: root@server:/etc# host 45.142.195.2 Host 2.195.142.45.in-addr.arpa. not found: 3(NXDOMAIN) root@server:/etc# host 45.133.99.3 Host 3.99.133.45.in-addr.arpa. not found: 3(NXDOMAIN) Echter: beide "not founds" zijn instant. De vraag: waarom zou iptables resolving traag zijn, en 'host' gewoon snel? Dns config op de machine al eens gewijzigd naar 8.8.8.8, maar geen verschil. Weet iemand waar ik iets zou kunnen checken? MJ
