Problemy s DNS (fwd)

Petr Nachtmann petrnach at web.natur.cuni.cz
Wed Mar 11 23:42:44 CET 1998


Omlouvam se za ponekud delsi prispevek. Objevuji se pripady, kdy se
nekteri lide nemohou dostat na na nektere postovni servery a jsou z toho
neprijemnosti. Poprosil jsem naseho administratora, aby se k tomu
vyjadril.

Ma-li nekdi zajem, necht posle na moji adresu (petrnach at mail.natur.cuni.cz
prazdny estovaci email s nejakym rozumnym subjektem typu Test DNS a bud se
mu to odrazi, nebo ne.

Petr Nachtmann

---------- Forwarded message ----------
Date: Mon, 9 Mar 1998 09:19:08 +0100 (MET)
From: "WWW-admin." <www at mail.natur.cuni.cz>
To: Petr Nachtmann <petrnach at prfdec.natur.cuni.cz>
Subject: Problemy s DNS


Ahoj Petre,

posilam slibeny text, doufam, ze neni moc arogantni :-)

                                            D.


============================
Proc nas Vas server odmita ?
============================

Duvodu pro to muze byt samozrejme mnoho, nicmene mnozi se obvinujici
hlasy, ktere na nas ukazuji prstem a rikaji : "Vam blbne posta,
neprobojuje se k Vam a tudiz to tam mate spatne nastavene ....

.... v tom pripade se podivejte do debugu vraceneho mailu - mnozi z Vas
tam najdou strucnou hlasku o tom, ze

                        "service denied"


Pokud ano, pravdepodobne se k nam nedostanete ani pres jine
protokoly, jmenovite Telnet, FTP, POP3 a dalsi. Rad bych Vam ted ve
strucnosti popsal, co se to u nas vlastne deje a co mate delat Vy, pokud
se chcete techto neprijemnych problemu zbavit.

Nas server prfdec.natur.cuni.cz se tak trochu brani pred neopravnenymi
pristupy. Za 'neopravneny' je povazovan i pristup ze stroje, ktery neni
registrovan v internetu. Tou 'registraci v internetu' mam na mysli zaznam
v databazi DNS (Domain Name Services) u spravce domeny (pro mnoho mensich
organizaci) to zajistuje jejich provider a podotykam, ze to MUSI udelat
jako soucast standardnich sluzeb uzivateli, probuh neplatte jim za to jako
za nejake nadstandardni sluzby !!!!
Ale zpet k teorii - tyhle DNS-databaze se propaguji po siti a vpodstate
rikaji, jak se ma IP-adresa srtoje prelozit do rozumneho jmena a jak
naopak "rozumne" jmeno prelozit na IP-adresu, ktera je pouzivana ke
smerovani paketu v siti. V DNS musi byt tedy kazdy stroj uveden alespon
dvakrat - pro preklad v obou smerech (=> pr~i'ma' a reverzni databaze).
Nas server si pri zadosti o pripojeni zvenku nejprve zkontroluje, zda ma
vzdaleny stroj v DNS oba prislusne zaznamy. Pokud informace neodpovidaji
vyse popsanemu standardu, bude spojeni odepreno. V zasade mne napadaji dva
duvody, proc se to muze stat :

  1) "pirat", ktery si pripojil svuj pocitac bez vedomi spravce domeny a
pouziva ke komunikaci IP-adresu nekoho jineho, jehoz stroj je zrovna
vypnuty, nebo adresu, ktera neni pridelena konkretnimu stroji.

  2) nezkuseny nebo liny spravce domeny (panove, odpustte mi to, prosim,
ale pokud se Vas to tyka, nerespektujete pravidla zivota v si'ti siti'
....). Podotykam, ze v unixu je zavedeni jednoho stroje do obou databazi
otazka cca jedne minuty - staci dopsat po jednom radku do dvou souboru a
jednim prikazem inicializovat proces, ktery databazi propaguje !!!! A mam
dojem, ze napr. ani na INW to neni o moc slozitejsi. Samozrejme, pokud je
v DNS velky neporadek, zebere to o neco vice casu, ale vychazim ze
zkusenosti, ze provideri to maji casto u svych vlastnich stroju vporadku,
ale u svych klientu uvedou zaznam jen v prime databazi, v reverzni se uz
neobtezuji .... nikoho nejmenuji :-)

Jeste mala ukazka - vystup programu 'nslookup'

# nslookup www.natur.cuni.cz
Server:  localhost
Address:  127.0.0.1

Name:    prfdec.natur.cuni.cz
Address:  195.113.56.1
Aliases:  www.natur.cuni.cz

# nslookup 195.113.56.1
Server:  localhost
Address:  127.0.0.1

Name:    prfdec.natur.cuni.cz
Address:  195.113.56.1

..... tak to byla ukazka toho, jak to ma vypadat :-))

A ted jak to vypadat nema (udaj v reverzni databazi chybi :

# nslookup www.magazine.com
Server:  localhost
Address:  127.0.0.1

Name:    www.magazine.com
Address:  207.49.43.73

# nslookup 207.49.43.73
Server:  localhost
Address:  127.0.0.1

*** localhost can't find 207.49.43.73: Non-existent host/domain


Dobre neni ani toto (pozadavky DNS nevyrizuje primarni nameserver
prislusne domeny, ale nejaka jina cache !) :

# nslookup www.grisoft.cz
Server:  localhost
Address:  127.0.0.1

Non-authoritative answer:
Name:    www.grisoft.cz
Address:  194.196.120.27


  A podotykam, ze nejsme zdaleka jedini, kdo tenhle "donucovaci sytem"
pouziva :-)  Takze az se nebudete moci pripojit cca k polovine serveru v
republice a k polovine ano (muj odhad, mozna to neni presne polovina :-)),
kontaktujte nejprve sveho spravce domeny a teprve po overeni vyse
popsanych skutecnosti se obracejte na nas.  Samozrejme, take delame chyby
a nekdy se k nam proste neprobojujete kvuli nasim vlastnim problemum. Ale
jsou i veci, za ktere proste nemuzeme, at uz Vam bude sprava Vasi site
tvrdit cokoliv. Nenechte se odbyt.


Dopisy s vybusninami posilejte na adresu :

                                    David Z. Komanek
                                    www at natur.cuni.cz








More information about the net mailing list