Re: ssh resolver race

2009-06-21 Пенетрантность Stanislav Maslovski 
On 18/06/2009, Yuri Kozlov yu...@komyakino.ru wrote:
 On Thu, 18 Jun 2009 13:51:17 +0400
 Mikhail A Antonov b...@solarnet.ru wrote:
 Подозреваю что pdnsd просто не знает и знать не хочет ничего про IPv6.
 Кажется, это была и у меня одна из причин почему я отказался от него.

 Из описания пакета в lenny
 
 сервер DNS прокси

 pdnsd -- это IPv6 совместимый сервер DNS прокси с постоянным кэшированием
 ...
 

Да, верно, и в мане тоже IPv6 упоминается. Но, судя по ману, поддерка
IPv6 в нем реализована по принципу или-или, т.е. включив ее (опция
-6), отключается IPv4. Я детально не проверял, но видно, что с -6
pdnsd слушает на ip6-localhost. Надо будет проверить, как он резолвит
запросы в этом слкчае.

-- 
BR,
Stanislav

Re: ssh resolver race

2009-06-18 Пенетрантность Mikhail A Antonov 
18/06/2009 02:24 (GMT +3) Stanislav Maslovski
 2009/6/17 Mikhail A Antonov b...@solarnet.ru:
  -[ Stanislav Maslovski 17/06/2009 13:13 (GMT +3)
 
  11:41:00.071249 IP 127.0.0.1.54270  127.0.0.1.53: 23310+ ? 
  example.domain.com. (30)
  11:41:00.071848 IP 127.0.0.1.53  127.0.0.1.54270: 23310 ServFail 0/0/0 
  (30)
 
  Зачем он так отвечает? Так не должен отвечать нормальный DNS-сервер.

 Это pdnsd. Заглянул в RFC. Почему он шлет именно RCODE=2, а не,
 скажем, RCODE=4, это вопрос... Может быть потому, что записи  в
 кеше нет (так как ее вообще нет для данного домена), и в момент
 наблюдения этого бага я пользовался постоянно отваливающимся wlan-ом,
 так что запросы наружу (вероятно) иногда не проходили.
Подозреваю что pdnsd просто не знает и знать не хочет ничего про IPv6.
Кажется, это была и у меня одна из причин почему я отказался от него.

 Т.е. резолвер вываливается просто по факту первого полученного
 ServFail, и не пытается ждать еще чего-то от возможно нерабочего DNS
 сервера. В этом есть смысл...
Похоже на то.

-- 
Best regards,
         Mikhail
xmpp: ant...@stopicq.ru
irc: Bart-mdv- @ SolarNet
SolarNet: http://www.solarnet.ru/


signature.asc
Description: This is a digitally signed message part.

Re: ssh resolver race

2009-06-18 Пенетрантность Yuri Kozlov 
On Thu, 18 Jun 2009 13:51:17 +0400
Mikhail A Antonov b...@solarnet.ru wrote:
 Подозреваю что pdnsd просто не знает и знать не хочет ничего про IPv6.
 Кажется, это была и у меня одна из причин почему я отказался от него.

Из описания пакета в lenny

сервер DNS прокси

pdnsd -- это IPv6 совместимый сервер DNS прокси с постоянным кэшированием 
...



-- 
Best Regards,
Yuri Kozlov


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

ssh resolver race

2009-06-17 Пенетрантность Stanislav Maslovski 
Доброго времени суток!

Кто-нибудь наблюдает у себя схожую проблему с ssh на sid?
Из лога tcpdump видно, что это race между AA и  запросами.

В логах реальный домен и IP заменены на example.domain.com и 1.2.3.4,
соответственно.

Кто-нибудь в курсе, как ssh резолвит адреса? ldd показывает, что ssh
слинкован с libresolv и баг, вероятно, там.

% ssh example.domain.com
ssh: Could not resolve hostname example.domain.com: Name or service not known

# tcpdump -ni lo
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 96 bytes
/* тут все хорошо, ssh резолвит адрес */
11:41:00.070571 IP 127.0.0.1.54270  127.0.0.1.53: 11125+ A? 
example.domain.com. (30)
11:41:00.070816 IP 127.0.0.1.53  127.0.0.1.54270: 11125 1/5/5 A 1.2.3.4 (226)
11:41:00.071249 IP 127.0.0.1.54270  127.0.0.1.53: 23310+ ? 
example.domain.com. (30)
11:41:00.071848 IP 127.0.0.1.53  127.0.0.1.54270: 23310 ServFail 0/0/0 (30)
/* а тут ssh вываливается с ошибкой */
11:41:03.067423 IP 127.0.0.1.49905  127.0.0.1.53: 39758+ A? 
example.domain.com. (30)
11:41:03.067528 IP 127.0.0.1.49905  127.0.0.1.53: 65475+ ? 
example.domain.com. (30)
11:41:03.067628 IP 127.0.0.1.53  127.0.0.1.49905: 65475 ServFail 0/0/0 (30)
11:41:03.067752 IP 127.0.0.1.53  127.0.0.1.49905: 39758 1/5/5 A 1.2.3.4 (226)

# tcpdump -vv -ni lo
/* тут все хорошо, ssh резолвит адрес */
12:09:55.216536 IP (tos 0x0, ttl 128, id 16075, offset 0, flags [DF], proto UDP 
(17), length 58)
127.0.0.1.60640  127.0.0.1.53: [bad udp cksum d88c!] 26206+ A? 
example.domain.com. (30)
12:09:55.216669 IP (tos 0x0, ttl 128, id 0, offset 0, flags [DF], proto UDP 
(17), length 254)
127.0.0.1.53  127.0.0.1.60640: 26206 q: A? example.domain.com. 1/5/5 
example.domain.com. A 1.2.3.4 ns: domain.com.[|domain]
12:09:55.216710 IP (tos 0x0, ttl 128, id 16076, offset 0, flags [DF], proto UDP 
(17), length 58)
127.0.0.1.60640  127.0.0.1.53: [bad udp cksum 4f38!] 47820+ ? 
example.domain.com. (30)
12:09:55.216856 IP (tos 0x0, ttl 128, id 0, offset 0, flags [DF], proto UDP 
(17), length 58)
127.0.0.1.53  127.0.0.1.60640: [bad udp cksum ccb7!] 47820 ServFail q: 
? example.domain.com. 0/0/0 (30)
/* а тут ssh вываливается с ошибкой */
12:09:56.873750 IP (tos 0x0, ttl 128, id 17732, offset 0, flags [DF], proto UDP 
(17), length 58)
127.0.0.1.57224  127.0.0.1.53: [bad udp cksum e15c!] 41901+ A? 
example.domain.com. (30)
12:09:56.873774 IP (tos 0x0, ttl 128, id 17733, offset 0, flags [DF], proto UDP 
(17), length 58)
127.0.0.1.57224  127.0.0.1.53: [bad udp cksum 9ef!] 4458+ ? 
example.domain.com. (30)
12:09:56.873910 IP (tos 0x0, ttl 128, id 0, offset 0, flags [DF], proto UDP 
(17), length 58)
127.0.0.1.53  127.0.0.1.57224: [bad udp cksum 876e!] 4458 ServFail q: 
? example.domain.com. 0/0/0 (30)
12:09:56.874015 IP (tos 0x0, ttl 128, id 0, offset 0, flags [DF], proto UDP 
(17), length 254)
127.0.0.1.53  127.0.0.1.57224: 41901 q: A? example.domain.com. 1/5/5 
example.domain.com. A 1.2.3.4 ns: domain.com.[|domain]

-- 
Stanislav


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: ssh resolver race

2009-06-17 Пенетрантность Mikhail A Antonov 
-[ Stanislav Maslovski 17/06/2009 13:13 (GMT +3)
 11:41:00.071249 IP 127.0.0.1.54270  127.0.0.1.53: 23310+ ? 
 example.domain.com. (30)
 11:41:00.071848 IP 127.0.0.1.53  127.0.0.1.54270: 23310 ServFail 0/0/0 (30)

Зачем он так отвечает? Так не должен отвечать нормальный DNS-сервер.

-- 
Best regards,
 Mikhail
xmpp: ant...@stopicq.ru
irc: Bart-mdv- @ SolarNet
SolarNet: http://www.solarnet.ru/


signature.asc
Description: This is a digitally signed message part.

ssh resolver race

2009-06-17 Пенетрантность Stanislav Maslovski 
2009/6/17 Mikhail A Antonov b...@solarnet.ru:
 -[ Stanislav Maslovski 17/06/2009 13:13 (GMT +3)
 11:41:00.071249 IP 127.0.0.1.54270  127.0.0.1.53: 23310+ ? 
 example.domain.com. (30)
 11:41:00.071848 IP 127.0.0.1.53  127.0.0.1.54270: 23310 ServFail 0/0/0 (30)
 Зачем он так отвечает? Так не должен отвечать нормальный DNS-сервер.

Это pdnsd. Заглянул в RFC. Почему он шлет именно RCODE=2, а не,
скажем, RCODE=4, это вопрос... Может быть потому, что записи  в
кеше нет (так как ее вообще нет для данного домена), и в момент
наблюдения этого бага я пользовался постоянно отваливающимся wlan-ом,
так что запросы наружу (вероятно) иногда не проходили.

Т.е. резолвер вываливается просто по факту первого полученного
ServFail, и не пытается ждать еще чего-то от возможно нерабочего DNS
сервера. В этом есть смысл...

--
BR,
Stanislav

PS: Убейте создателей вебинтерфейса гмыла.

Re: ssh resolver race

2009-06-17 Пенетрантность Sergey Korobitsin 
Когда-то, а точнее в Thu, Jun 18, 2009 at 02:24 +0400, Stanislav Maslovski 
изволили разразиться высказыванием:
 2009/6/17 Mikhail A Antonov b...@solarnet.ru:
  -[ Stanislav Maslovski 17/06/2009 13:13 (GMT +3)
  11:41:00.071249 IP 127.0.0.1.54270  127.0.0.1.53: 23310+ ? 
  example.domain.com. (30)
  11:41:00.071848 IP 127.0.0.1.53  127.0.0.1.54270: 23310 ServFail 0/0/0 
  (30)
  Зачем он так отвечает? Так не должен отвечать нормальный DNS-сервер.
 
 Это pdnsd. Заглянул в RFC. Почему он шлет именно RCODE=2, а не,
 скажем, RCODE=4, это вопрос... Может быть потому, что записи  в
 кеше нет (так как ее вообще нет для данного домена), и в момент
 наблюдения этого бага я пользовался постоянно отваливающимся wlan-ом,
 так что запросы наружу (вероятно) иногда не проходили.

У меня он тоже недавно начал барагозить подобным же образом, после
длительных раскопок при участии debian-russ...@freenode было решено, что
это бесполезно, и pdnsd был выкинут нафиг, и заменен на pdns-recursor.

Дело, что интересно, происходило на etch.
 
 Т.е. резолвер вываливается просто по факту первого полученного
 ServFail, и не пытается ждать еще чего-то от возможно нерабочего DNS
 сервера. В этом есть смысл...

-- 
Best regards, Sergey Korobitsin
Arta Software, Astana, KZ
mailto:undertaker{at}arta.kz
xmpp:underta...@jabber.arta.kz

--
 Чего надо юзеру
Мозги !
--robot12(linux.org.ru)


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org