ファイアウォールの背後にあるRHEL6.3でのDNS解決タイムアウト
VMWare仮想マシン内でRedHat 6.3Enterpriseを実行しているサーバーがあります。サーバーとインターネットの間にジュニパーSSG5ファイアウォールがあります。 DNSルックアップタイムアウトのように見えるかどうかを診断しようとしていますが、それを行うために必要な知識がないのではないかと心配しています。
$ wget www.google.com.brを実行したときのtcpdumpの出力は次のとおりです。
$ tcpdump -i eth0 -n -vvv not port ssh 14:15:15.361010 IP(tos 0x0、ttl 64、id 8975、offset 0、flags [DF] 、プロトUDP(17)、長さ63) 192.168.1.12.54835> 200.196.66.30.domain:[bad udp cksum f4e1!] 47797+ A? www.google.com.br。 (35) 14:15:15.361195 IP(tos 0x0、ttl 64、id 8976、offset 0、flags [DF]、proto UDP(17)、length 63) 192.168.1.12。 54835> 200.196.66.30.domain:[bad udp cksum 4e62!] 8028+ AAAA? www.google.com.br。 (35) 14:15:15.362122 IP(tos 0x0、ttl 61、id 25375、offset 0、flags [none]、proto UDP(17)、length 283) 200.196.66.30。ドメイン> 192.168.1.12.54835:[udp sum ok] 47797 q:A? www.google.com.br。 4/4/4www.google.com.br。 [1m] CNAME www-cctld.l.google.com。、www-cctld.l.google.com。 [4m47s] A 74.125.234.184、www-cctld.l.google.com。 [4m47s] A 74.125.234.191、www-cctld.l.google.com。 [4分47秒] 74.125.234.183 ns:google.com。 [20h11m12s] NS ns1.google.com。、google.com。[20h11m12s] NS ns2.google.com。、google.com。[20h11m12s ] NS ns3.google.com。、google.com。[20h11m12s] NS ns4.google.com。ar:ns1.google.com。[ 3d1h39m] A 216.239.32.10、ns2.google.com。[3d23h47m54s] A 216.239.34.10、ns3.google.com。[3d21h48m53s] A 216.239.36.10、ns4.google.com。[3d14h11m28s] A 216.239.38 ) 14:15:20.365434 IP(tos 0x0、ttl 64、id 8977、offset 0、flags [DF]、proto UDP(17)、length 63) 192.168.1.12.54835> 200.196.66.30.domain:[bad udp cksum f4e1!] 47797+ A?www.google.com.br。(35) 14:15:20.366657 IP(tos 0x0、ttl 61、id 25377、offset 0、フラグ[なし]、プロトUDP(17)、長さ283) 200.196.66.30.domain> 192.168.1.12.54835:[udp sum ok] 47797 q:A?www.google.com.br 。4/ 4/4www.google.com.br。[55s] CNAME www-cctld.l.google.com。、www-cctld.l.google.com。[4m42s] A 74.125.234.191、www-cctld .l.google.com。[4m42s] A 74.125.234.183、www-cctld.l.google.com。[4m42s ] A 74.125.234.184 ns:google.com。 [20h11m7s] NS ns4.google.com。、google.com。[20h11m7s] NS ns2.google.com。、google.com。[20h11m7s ] NS ns3.google.com。、google.com。[20h11m7s] NS ns1.google.com。ar:ns1.google.com。[ 3d1h38m55s] A 216.239.32.10、ns2.google.com。[3d23h47m49s] A 216.239.34.10、ns3.google.com。[3d21h48m48s] A 216.239.36.10、ns4.google.com。[3d14h11m23s] A 216.239 ) 14:15:20.366760 IP(tos 0x0、ttl 64、id 8978、offset 0、flags [DF]、proto UDP(17)、length 63) 192.168.1.12.54835> 200.196.66.30.domain:[bad udp cksum 4e62!] 8028+ AAAA?www.google.com.br。(35) 14:15:20.368486 IP(tos 0x0、ttl 61、id 25378、offset 0、フラグ[なし]、プロトUDP(17)、長さ263) 200.196.66.30.domain> 192.168.1.12.54835:[udp sum ok] 8028 q:AAAA?www.google.com.br 。2/ 4/4www.google.com.br。[55s] CNAME www-cctld.l.google.com。、www-cctld.l.google.com。[3m7s] AAAA 2800:3f0:4001:805 :: 1017 ns:google.com。[20h11m7s] NS ns3.google.com。、google.com。 [20h11m7s] NS ns2.google.com。、google.com。[20h11m7s] NS ns4.google.com。、google.com。[20h11m7s ] NS ns1.google.com。ar:ns1.google.com。[3d1h38m55s] A 216.239.32.10、ns2.google.com。[3d23h47m49s] A 216.239.34.10、ns3.google .com。[3d21h48m48s] A 216.239.36.10、ns4.google.com。[3d14h11m23s] A 216.239.38.10(235) 14:15:20.368936 IP(tos 0x0、ttl 64、id 36272、offset 0 、フラグ[DF]、プロトTCP(6)、長さ60) 192.168.1.12.58407> 74.125.234.191.http:フラグ[S]、cksum 0xa695(正解)、seq 2103294767、win 14600、options [mss 1460、sackOK、TS val 499988127 ecr 0、nop、wscale 7]、length 0 14:15:20.370424 IP(tos 0x0、ttl 58、id 12210、オフセット0、フラグ[なし]、プロトTCP(6)、長さ60) 74.125.234.191.http> 192.168.1.12.58407:フラグ[S。]、cksum 0x2a65(正しい)、seq 1378505609、ack 2103294768、win 14180、options [mss 1430、sackOK、TS val 4016826562 ecr 499988127、nop、wscale 6]、長さ0 [...]
3行目と4行目の間の5秒の遅延は一貫して発生します。
I cannotnslookup、Dig、またはDig +dnssecを使用して遅延を再現するため、アイデアがありません。
何が問題になるのか、誰か手がかりがありますか?
これは、DNSルックアップを実行するマシンが同じソケットでAAAAレコードとAレコードの要求を送信し、2つの応答を受信することを期待するデュアルスタックIPv4/IPv6環境で発生します。これは デフォルトの動作 比較的最近のバージョンのglibcの場合です。ただし、ジュニパーファイアウォールは、最初の応答が戻った後、接続を切断します。
ジュニパーのナレッジベースには、 この問題を回避するようにファイアウォールを構成する の方法を説明する記事があります。
@BMDanが指摘したように、行を/etc/resolv.confに追加することもできます。
options single-request-reopen
これは、AAAAレコードとAレコードを検索するために2つの接続を開くことにより、ファイアウォールの破損動作を回避します。