problema bind y solucion

Discussion:

Alejandro Vargas

2012-04-13 09:51:49 UTC

Hoy les escribo no para preguntarles por un problema sino para contarles la
solución.

Resulta que hoy me preguntaba el administrador del servidor de correo de la
empresa por un problema que tenía. Resulta que se quejaban de que no podían
mandarnos mail desde un servidor de Brasil. El error que daba era este:

451 #4.1.8 Domain of sender address <***@xxxxx> does not resolve

(he reemplazado el dominio real por xxx)

El servidor este lo que hace es verificar que exista un registro MX. Así
que se me ocurrió hacer un tcpdump y mirar a ver qué pasaba. Resulta que
enviaba el pedido al DNS pero el bind nunca respondía. Hurgando por ahí
descubrí que la configuración incuida por defecto tiene una lista de
direcciones a ignorar:

blackhole { bogon; };

y esa lista incluye un montón de direcciones ip que se describen acá:
http://www.cymru.com/Documents/secure-bind-template.html y acá:
http://www.team-cymru.org/Services/Bogons/

Yo sospecho que con la reciente escacéz de direcciones IPV4, habrán
empezado a usar esas direcciones reservadas, y por lo visto las listas de
RedHat no estan muy bien actualizadas...

--
Qapla'
Alejandro Vargas

Pablo Fredrikson

2012-04-13 11:38:06 UTC

Permalink

El día 13 de abril de 2012 06:51, Alejandro Vargas

Post by Alejandro Vargas
Hoy les escribo no para preguntarles por un problema sino para contarles la
solución.
Resulta que hoy me preguntaba el administrador del servidor de correo de la
empresa por un problema que tenía. Resulta que se quejaban de que no podían
(he reemplazado el dominio real por xxx)
El servidor este lo que hace es verificar que exista un registro MX. Así
que se me ocurrió hacer un tcpdump y mirar a ver qué pasaba. Resulta que
enviaba el pedido al DNS pero el bind nunca respondía. Hurgando por ahí
descubrí que la configuración incuida por defecto tiene una lista de
blackhole { bogon; };
http://www.team-cymru.org/Services/Bogons/
Yo sospecho que con la reciente escacéz de direcciones IPV4, habrán
empezado a usar esas direcciones reservadas, y por lo visto las listas de
RedHat no estan muy bien actualizadas...
--
Qapla'
Alejandro Vargas

Excelente! muchas gracias

--
Pablo Fredrikson

Fede

2012-04-13 12:34:18 UTC

Permalink

Y cual era la IP que estaba en la lista y que usa el servidor de brasil?

Alejandro Vargas

2012-04-14 09:43:38 UTC

Permalink

Post by Fede

Post by Alejandro Vargas
Yo sospecho que con la reciente escacéz de direcciones IPV4, habrán
empezado a usar esas direcciones reservadas, y por lo visto las listas de
RedHat no estan muy bien actualizadas...

Y cual era la IP que estaba en la lista y que usa el servidor de brasil?

Una que empezaba con 177.algo. La lista de "bogon" ips que venía con el
bind incluia 177.0.0.0/8 y muchas más.

A ver... que la copio:

acl "bogon" {
// Filter out the bogon networks. These are networks
// listed by IANA as test, RFC1918, Multicast, experi-
// mental, etc. If you see DNS queries or updates with
// a source address within these networks, this is likely
// of malicious origin. CAUTION: If you are using RFC1918
// netblocks on your network, remove those netblocks from
// this list of blackhole ACLs!
0.0.0.0/8;
1.0.0.0/8;
2.0.0.0/8;
5.0.0.0/8;
10.0.0.0/8;
14.0.0.0/8;
23.0.0.0/8;
27.0.0.0/8;
31.0.0.0/8;
36.0.0.0/8;
37.0.0.0/8;
39.0.0.0/8;
42.0.0.0/8;
46.0.0.0/8;
49.0.0.0/8;
50.0.0.0/8;
100.0.0.0/8;
101.0.0.0/8;
102.0.0.0/8;
103.0.0.0/8;
104.0.0.0/8;
102.0.0.0/8;
103.0.0.0/8;
104.0.0.0/8;
105.0.0.0/8;
106.0.0.0/8;
107.0.0.0/8;
108.0.0.0/8;
109.0.0.0/8;
110.0.0.0/8;
111.0.0.0/8;
169.254.0.0/16;
172.16.0.0/12;
175.0.0.0/8;
176.0.0.0/8;
177.0.0.0/8;
178.0.0.0/8;
179.0.0.0/8;
180.0.0.0/8;
181.0.0.0/8;
182.0.0.0/8;
183.0.0.0/8;
184.0.0.0/8;
185.0.0.0/8;
192.0.2.0/24;
// 192.168.0.0/16;
197.0.0.0/8;
198.18.0.0/15;
223.0.0.0/8;
224.0.0.0/3;
};

Fede

2012-04-16 16:20:59 UTC

Permalink

Post by Alejandro Vargas

Post by Fede

Post by Alejandro Vargas
Yo sospecho que con la reciente escacéz de direcciones IPV4, habrán
empezado a usar esas direcciones reservadas, y por lo visto las listas

Post by Fede

Post by Alejandro Vargas
RedHat no estan muy bien actualizadas...

Y cual era la IP que estaba en la lista y que usa el servidor de brasil?

Una que empezaba con 177.algo. La lista de "bogon" ips que venía con el
bind incluia 177.0.0.0/8 y muchas más.
acl "bogon" {
// Filter out the bogon networks. These are networks
// listed by IANA as test, RFC1918, Multicast, experi-
// mental, etc. If you see DNS queries or updates with
// a source address within these networks, this is likely
// of malicious origin. CAUTION: If you are using RFC1918
// netblocks on your network, remove those netblocks from
// this list of blackhole ACLs!
0.0.0.0/8;
1.0.0.0/8;
2.0.0.0/8;
5.0.0.0/8;
10.0.0.0/8;
14.0.0.0/8;
23.0.0.0/8;
27.0.0.0/8;
31.0.0.0/8;
36.0.0.0/8;
37.0.0.0/8;
39.0.0.0/8;
42.0.0.0/8;
46.0.0.0/8;
49.0.0.0/8;
50.0.0.0/8;
100.0.0.0/8;
101.0.0.0/8;
102.0.0.0/8;
103.0.0.0/8;
104.0.0.0/8;
102.0.0.0/8;
103.0.0.0/8;
104.0.0.0/8;
105.0.0.0/8;
106.0.0.0/8;
107.0.0.0/8;
108.0.0.0/8;
109.0.0.0/8;
110.0.0.0/8;
111.0.0.0/8;
169.254.0.0/16;
172.16.0.0/12;
175.0.0.0/8;
176.0.0.0/8;
177.0.0.0/8;
178.0.0.0/8;
179.0.0.0/8;
180.0.0.0/8;
181.0.0.0/8;
182.0.0.0/8;
183.0.0.0/8;
184.0.0.0/8;
185.0.0.0/8;
192.0.2.0/24;
// 192.168.0.0/16;
197.0.0.0/8;
198.18.0.0/15;
223.0.0.0/8;
224.0.0.0/3;
};

Si! Esta re desactualizada.

Esta es la lista actualizada ref.
http://www.team-cymru.org/Services/Bogons/bogon-bn.html

0.0.0.0/8
10.0.0.0/8
127.0.0.0/8
169.254.0.0/16
172.16.0.0/12
192.0.0.0/24
192.0.2.0/24
192.168.0.0/16
198.18.0.0/15
198.51.100.0/24
203.0.113.0/24
224.0.0.0/3