October 23rd, 2008

KESHA
  • reedcat

DNS... Загадка...

Столкнулся тут со странным фактом:
bind, который работает совершенно одинаково в разных местах, под разными ОС, в разных условиях, в одном случае никак не хочет работать...

Проявляется это в том, что на честные его первые запросы к root-серверам, он от всех их получает Refused.

Ничего не менялось в логике работы DNS-root-серверов за последнее время? Может они теперь не всем отвечают? Если да, то какие у них критерии для разделения на "белых" и "черных"?
Пока не удалось запустить bind на машине, которая подключена через Stream.


З.Ы. Очевидные вещи типа настроек bind, файла root.hints, файрволлов и т.п. проверены.
Ситуация выглядит именно так, как описано: bind посылает пакеты с запросами по правильным адресам root-серверов и от всех root-серверов получает пакет с  кодом ответа DNS "Refused".

UPDATE: Уважаемые собеседники! Читайте внимательно.... Особенно выделенное... Чтобы не зашумлять канал...

RESOLVED: Stream:
 1) нахально перехватывает пакеты на root-сервера DNS и:
 2) отказывается давать ответы про эти root-сервера, чем сводит с ума bind
 3) отвечает от имени этих root-серверов на запросы по поводу _любых_ записей.
Примерно понятно зачем это было сделано, но подстава, конечно, конкретная... :(

UPDATE2: Stream - невиновен!!! И выпущен на свободу под подписку о невыезде... :) 
Ответственной за этот финт ушами оказалась функция "DNS redirection" в устройстве COMPEX Netpassage 28G, которая проделывала вот такие странные штуки при её включении.



  • Current Mood
    embarrassed embarrassed

страннейшие глюки в работе почты

Добрый день всем мегаадминам,
проблема моя настолько странная, что только сообщество умнейших сможет помочь.

Есть украинский провайдер Телесистемы (telesystems.ua), от них к нашему роутеру с честным IP 77.91.149.50 под управлением FreeBSD  6.3 лежит ADSL. Их модем, понятно, в режиме бриджа. В качестве фаервола pf, в котором задан режим  пересборки пакетов scrub in all, optimization aggressive.

На нашем сервере правильно настроенный почтовик exim+spamassasin+clamav.

Теперь о странном.

Почта уходит во все стороны корректно, приходит ото всех (корпоративные почтовики, mail.ru, ukr.net, yahoo, hotmail) кроме гугловых серверов! Почтовое соединение же от гугла завершается по таймауту.

Вооружившись tcpdump стало видно, что гугл открывает соединение к серверу, пытается послать HELO, и не получает ответа от нашего сервера. В такой ситуации можно было бы подумать на фаервол и блокировки почтовых портов, ан нет, все промежуточные провайдеры подтверждают отсутствие блокировок, да и с других почтовых серверов почта то ходит.

Такая же ситуация была месяц назад, но ее удалось побороть путем выдачи другого IP(!) для нашего сервера провайдером. Связь почты от гугл со сменой IP адреса в мой маленький мозг укладывается слабо.
И вот ситуация полностью повторяется спустя месяц успешной работы почтовика.

Если кто-то сталкивался с подобным, или знает куда кого пнуть, или что можно сделать, - буду крайне признателен.

Дамп сессии дебага прилагаю.

[root@generali-ppfam /usr/home/nexus]# tshark -i bge0 -f "tcp port 25"
Capturing on bge0
  0.000000 66.249.82.230 -> 77.91.149.50 SMTP Command: EHLO wx-out-0506.google.com
 19.999853 66.249.82.230 -> 77.91.149.50 SMTP [TCP Retransmission] Command: EHLO wx-out-0506.google.com
 39.999512 66.249.82.230 -> 77.91.149.50 SMTP [TCP Retransmission] Command: EHLO wx-out-0506.google.com
 59.997266 66.249.82.230 -> 77.91.149.50 SMTP [TCP Retransmission] Command: EHLO wx-out-0506.google.com
barrowman

Странная проблема с дисками

В прошлую среду началась довольно необычная проблема на наших серверах. Линукс стал писать в логи

ata2.00: exception Emask 0x0 SAct 0x0 SErr 0x0 action 0x0 
ata2.00: (irq_stat 0x40000001) 
ata2.00: cmd b0/d5:01:09:4f:c2/00:00:00:00:00/00 tag 0 cdb 0x0 data 512 in 
res 51/04:05:b3:4f:c2/00:00:00:00:00/00 Emask 0x1 (device error) 
ata2.00: configured for UDMA/133 
ata2: EH complete 
SCSI device sdb: 976773168 512-byte hdwr sectors (500108 MB) 
SCSI device sdb: drive cache: write back 


Происходит это только на дисках WD вне зависимости от модели. В одном сервере даже стоят 2 Seagate и 1 WD. В логи пишется только о WD. SMART ошибок не показывает.
SMART Self-test log structure revision number 1 
Num  Test_Description    Status                  Remaining  LifeTime(hours)  LBA_of_first_error 
# 1  Extended offline    Completed without error       00%      1340         - 

Что это может быть? Проблемы с электричеством?
404

Windows PKI / IIS

Есть следующая проблема: сайт (https) доступен из интернета не под тем именем, под которым доступен в локальной сети (во внешнюю сеть отдаётся другое DNS-имя для ИП-адреса, который прокидывается на NAT'е на нужный сервер).

SSL-сертификат для сервера на местном (доменном) PKI я выписал (для внешнего имени), однако, хочется иметь сертификаты для обоих имён. Существует ли возможность убедить IIS, что он должен обслуживать два разных доменных имени с двумя разными SSL-сертификатами?

Пока я вижу один вариант: с двумя IP-адресами, двумя сайтами на одном и том же сервере и двумя различными сертификатами. Однако, этот вариант выглядит "last hope". Есть ли более красивые варианты?

Как насолить соседу

Имеем доступ к узловым ciscoaм к шлюзу, к проксям, но нету доступа к остальным свитчам, есть соседи в комнате, коллеги, которые играют в CS, все бы ничего но, блин, мат-перемат во время игры достает, просьба заткнуться действует ровно на 3 мин... мне это очень мешает, когда пытаюсь что-то понять, что до меня не доходит с первого раза   .... как бы не хочется жаловаться на коллег начальству, есть конечно возможность попросить другого коллегу опустить порт на свитче, но как то пока не хочется...

Какие есть варианты воздействия на коллег? флуд? как его организовать не повредив другим? коллеги достаточно умные, с файрволлом разберутся... машины все под виндовс

или не морочиться этим и купить беруши?

Коллеги условно-вменяемые т.е. с 5 раза слушаються
  • dil

полуработающий wifi

поставил на ноутбук Dell Latitude D630 убунту, и после апгрейда до 8.10 получил занимательный эффект: wifiная карта напрочь перестала видеть мою домашнюю точку доступа, хотя соседские три прекрасно продолжает видеть. ядро 2.6.27-generic, карта Intel 3945abg, драйвер iwl3945.

Collapse )

помог откат на предыдущее ядро, сохранившееся от 8.04 - 2.6.24-21-generic. У него так:
Collapse )
и всё прекрасно работает.

Что это за вредность такая? Я понял бы, если б оно совсем перестало работать, но вот так избирательно..

Upd: проблема оказалась в канале. В старом ядре 12 и 13 каналы включаются нормально, а в новом - максимум 11. Начиная с 12 уже не хочет:
# iwconfig eth1 channel 12
Error for wireless request "Set Frequency" (8B04) :
    SET failed on device eth1  ; Invalid argument.


Что интересно: kismet с новым ядром точку доступа на 12 канале видит. Загадка.