Posts tagged Named

Poort 53 open voor UDP en TCP

1

Soms moet je terug komen op een eerdere posting, waarbij ik mijn ongenoegen uitte over Afnic. Zij wouden namelijk met zowel TCP als UDP toegang hebben tot poort 53 waar de DNS deamon luisterd. Normaal gesproken werken aanvragen volgens UDP en wordt TCP enkel gebruikt om verschillende eigen DNS-servers in sync te houden via het AXFR-protocol. Er is echter een maar: UDP pakketten zijn beperkt tot maximaal 1452 bytes (MTU van 1500 minus >= 20 bytes voor de IP-header minus 8 bytes voor de UDP header) maar laten standaard 512 bytes toe.

Nu kun je best wat informatie stoppen in 512 bytes maar dit heeft zijn beperkingen. Als voorbeeld noem ik een SPF-record in de DNS met een grote lijst aan addressen. En met de komst van IPv6 wordt deze lijst alleen maar groter. Nu kom je boven de 512 bytes uit, waardoor je over moet schakelen van TCP naar UDP om alles toch te kunnen verwerken. Met de komst van DNSSEC zullen de paketten alleen maar groter worden. Als voorbeeld een screenshot van het opvragen van informatie bij de root-servers, waarbij het pakket al op 492 bytes uitkomt. Dit is een aanvraag op een server die nog geen DNSSEC toelaat.

Named op IPv6 laten luisteren

3

Vorige week probeerde één van mijn klanten een Frans .fr-domein te registreren en deze te delegeren naar mijn nameservers: ns1.ispi.nl (IPv4 en IPv6) en ns2.ispi.eu. Dit lukte niet, waardoor de klant contact met mij opnam. Hij stuurde een link van de foutmelding die AFNIC, de beheerder van de .fr-domeinen, hen stuurde. Daarin stond dat AFNIC geen toegang had tot poort 53 op het TCP protocol ip IPv6. (Ik laat nog maar even achterwege dat AFNIC helemaal geen toegang hoeft te hebben tot TCP omdat UDP voldoende moet zijn. TCP wordt enkel gebruikt voor recursion en AXFR. Beiden doe je zeker niet publiek met iedereen)

Ik kijk in het systeem. BIND/Named luistert standaard inderdaad niet op IPv6. Een regel in je named.conf lost dit echter op. Vergeet niet je nameserver te restarten. Mensen die DirectAdmin gebruiken  in combinatie met IPv6 moeten deze regel toevoegen aan hun configuratie.

listen-on-v6 {any; };

AFNIC blij, klant blij en ik blij. Al was het wel eventjes zoeken. Hij luistert nu wel netjes op zowel IPv4 als IPv6. En weer zijn we een stap dichterbij de volledige IPv6-ready status. Er staat best nog veel te gebeuren wil ik mijn deadline van Q2-2010 (infrastructuur) of Q3-2010 (alle services) halen.

[root@sv03 ~]# netstat -an | grep ':53'
tcp 0 0 212.79.254.236:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:53      0.0.0.0:* LISTEN
tcp 0 0 :::53             :::*      LISTEN
udp 0 0 212.79.254.236:53 0.0.0.0:*
udp 0 0 127.0.0.1:53      0.0.0.0:*
udp 0 0 0.0.0.0:5353      0.0.0.0:*
udp 0 0 :::53             :::*
udp 0 0 :::5353           :::*

Named op alle IP’s laten luisteren is natuurlijk not done. Dat geldt voor iedere service. Zet je eigen goede IP-adres(sen) even in de configuratie. Ik ga dat hier niet doen omdat sommige n00bs systeembeheerders het dan 1:1 gaan copy/pasten en dat is natuurlijk niet de bedoeling.

Go to Top