Merhaba Mümin Bey, Normal DNS sorguları UDP protokolü üzerinde <512 byte boyutundadır. 512 byte üzeri boyuta ulaşması durumunda ise EDNS protokolü ile taşınır.
Bu mantıkla aklıma gelen ilk nokta güvenlik duvarınızın 512 byte üzeri UDP paketlerin geçişine izin vermeden çöpe atıyor olması olabilir. Bu da uygulamanın paketin ulaşmadığı bilgisini almak yerine kendisindeki varsayılan zaman aşımı süresine kadar beklemesi ve sorgu yapan açısından da cevabın gecikmesini sağlıyor olabilir. Bunu anlamak için siz kendiniz büyük boyutlu bir sorguyu sizin DNS sunucunuz yerine başka sunuculara sorarak da yapabilirsiniz. Örn: Aşağıdaki komut boyutu 512 byte üzeri olan bir EDNS sorgusunu F kök alan adı sunucularına yapacaktır. Bu sorgunun cevabını alamıyorsanız güvenlik duvarınızda bir sorun olabileceğini gösterir. Deneyip cevabını atabilir misiniz. dig +dnssec @f.root-servers.net -t SOA Bende bu sorgunun cevabı [r...@xxx ~]# dig +dnssec @f.root-servers.net -t SOA ; <<>> DiG 9.3.4-P1 <<>> +dnssec @f.root-servers.net -t SOA ; (2 servers found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46284 ;; flags: qr aa rd; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 21 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;. IN NS ;; ANSWER SECTION: . 518400 IN NS B.ROOT-SERVERS.NET. . 518400 IN NS F.ROOT-SERVERS.NET. . 518400 IN NS L.ROOT-SERVERS.NET. . 518400 IN NS D.ROOT-SERVERS.NET. . 518400 IN NS G.ROOT-SERVERS.NET. . 518400 IN NS A.ROOT-SERVERS.NET. . 518400 IN NS K.ROOT-SERVERS.NET. . 518400 IN NS C.ROOT-SERVERS.NET. . 518400 IN NS M.ROOT-SERVERS.NET. . 518400 IN NS I.ROOT-SERVERS.NET. . 518400 IN NS E.ROOT-SERVERS.NET. . 518400 IN NS J.ROOT-SERVERS.NET. . 518400 IN NS H.ROOT-SERVERS.NET. ;; ADDITIONAL SECTION: A.ROOT-SERVERS.NET. 3600000 IN A 198.41.0.4 B.ROOT-SERVERS.NET. 3600000 IN A 192.228.79.201 C.ROOT-SERVERS.NET. 3600000 IN A 192.33.4.12 D.ROOT-SERVERS.NET. 3600000 IN A 128.8.10.90 E.ROOT-SERVERS.NET. 3600000 IN A 192.203.230.10 F.ROOT-SERVERS.NET. 3600000 IN A 192.5.5.241 G.ROOT-SERVERS.NET. 3600000 IN A 192.112.36.4 H.ROOT-SERVERS.NET. 3600000 IN A 128.63.2.53 I.ROOT-SERVERS.NET. 3600000 IN A 192.36.148.17 J.ROOT-SERVERS.NET. 3600000 IN A 192.58.128.30 K.ROOT-SERVERS.NET. 3600000 IN A 193.0.14.129 L.ROOT-SERVERS.NET. 3600000 IN A 199.7.83.42 M.ROOT-SERVERS.NET. 3600000 IN A 202.12.27.33 A.ROOT-SERVERS.NET. 3600000 IN AAAA 2001:503:ba3e::2:30 F.ROOT-SERVERS.NET. 3600000 IN AAAA 2001:500:2f::f H.ROOT-SERVERS.NET. 3600000 IN AAAA 2001:500:1::803f:235 J.ROOT-SERVERS.NET. 3600000 IN AAAA 2001:503:c27::2:30 K.ROOT-SERVERS.NET. 3600000 IN AAAA 2001:7fd::1 L.ROOT-SERVERS.NET. 3600000 IN AAAA 2001:500:3::42 M.ROOT-SERVERS.NET. 3600000 IN AAAA 2001:dc3::35 ;; Query time: 279 msec ;; SERVER: 192.5.5.241#53(192.5.5.241) ;; WHEN: Fri Mar 20 20:08:44 2009 ;; MSG SIZE rcvd: 643 [r...@yyy ~]# Hakan VELİOĞLU RHCE : 805008587832707 İstanbul Teknik Üniversitesi «««»»» Istanbul Technical University Bilgi İşlem Daire Başkanlığı «««»»» Office of Information Technologies Sistem Destek Grubu «««»»» System Support Team Tlf / Phone : +90 212 285 39 30 Fax : +90 212 285 69 36 ----- [email protected] den ileti --------- Tarih: Fri, 13 Mar 2009 16:44:32 +0200 Kimden: Mümin Ölmez <[email protected]> Yanıt Adresi:[email protected] Konu: [Linux-sunucu] name server üzerinde domain sorgulama sorunu... Kime: [email protected] > Merhabalar, > > BIND named(8) üzerinde bazı adreslerin çözümü uzun zaman sürüyor. > Örneğin "newsrss.bbc.net.uk" adresini çözümlemesi uzun süre alıyor, > bazen de çözemiyor. > Bu konuda fikri olan var mı acaba? > > # nslookup > > newsrss.bbc.net.uk > ;; Got SERVFAIL reply from 10.1.0.5, trying next server > ;; Got SERVFAIL reply from 10.1.0.10, trying next server > ;; connection timed out; no servers could be reached > > > şeklinde hata veriyor. > > /var/log/messages dosyasındaki loglarda ise aşağıdaki bilgiler yer alıyor; > > Mar 12 13:47:06 ns1 named[27732]: too many timeouts resolving > 'newsrss.bbc.net.uk/A' (in 'bbc.net.uk'?): disabling EDNS > Mar 12 13:47:06 ns1 named[27732]: too many timeouts resolving > 'newsrss.bbc.net.uk/A' (in 'bbc.net.uk'?): disabling EDNS > Mar 12 13:47:09 ns1 named[27732]: too many timeouts resolving > 'www.natvet.su.se/A' (in 'se'?): disabling EDNS > Mar 12 13:47:09 ns1 named[27732]: client 193.140.248.41#32940: RFC 1918 > response from Internet for 11.0.1.10.in-addr.arpa > Mar 12 13:47:09 ns1 named[27732]: too many timeouts resolving > 'ns-sec.ripe.net/A' (in 'ripe.net'?): disabling EDNS > Mar 12 13:47:09 ns1 named[27732]: too many timeouts resolving > 'ns-sec.ripe.net/AAAA' (in 'ripe.net'?): disabling EDNS > Mar 12 13:47:10 ns1 named[27732]: too many timeouts resolving > 'SUNIC.SUNET.SE/A' (in 'se'?): disabling EDNS > Mar 12 13:47:10 ns1 named[27732]: too many timeouts resolving > '202.160.191.91.in-addr.arpa/PTR' (in '91.in-addr.arpa'?): disabling EDNS > Mar 12 13:47:10 ns1 named[27732]: too many timeouts resolving > 'SUNIC.SUNET.SE/AAAA' (in 'se'?): disabling EDNS > Mar 12 13:47:10 ns1 named[27732]: too many timeouts resolving > '203.160.191.91.in-addr.arpa/PTR' (in '91.in-addr.arpa'?): disabling EDNS > Mar 12 13:47:10 ns1 named[27732]: too many timeouts resolving > '203.160.191.91.in-addr.arpa/PTR' (in '91.in-addr.arpa'?): disabling EDNS > Mar 12 13:47:10 ns1 named[27732]: too many timeouts resolving > '174.166.191.91.in-addr.arpa/PTR' (in '91.in-addr.arpa'?): disabling EDNS > Mar 12 13:47:10 ns1 named[27732]: too many timeouts resolving > '174.166.191.91.in-addr.arpa/PTR' (in '91.in-addr.arpa'?): disabling EDNS > Mar 12 13:47:10 ns1 named[27732]: too many timeouts resolving > 'www.science.su.se/A' (in 'se'?): disabling EDNS > Mar 12 13:47:10 ns1 named[27732]: too many timeouts resolving > '29.96.101.212.in-addr.arpa/PTR' (in '212.in-addr.arpa'?): disabling EDNS > Mar 12 13:47:10 ns1 named[27732]: too many timeouts resolving > '31.96.101.212.in-addr.arpa/PTR' (in '212.in-addr.arpa'?): disabling EDNS > Mar 12 13:47:10 ns1 named[27732]: too many timeouts resolving > 'NS-EXT.ISC.ORG/A' (in 'ISC.org'?): disabling EDNS > Mar 12 13:47:10 ns1 named[27732]: too many timeouts resolving > 'NS-EXT.ISC.ORG/AAAA' (in 'ISC.org'?): disabling EDNS > Mar 12 13:47:10 ns1 named[27732]: too many timeouts resolving > '26.72.79.77.in-addr.arpa/PTR' (in '77.in-addr.arpa'?): disabling EDNS > Mar 12 13:47:10 ns1 named[27732]: too many timeouts resolving > 'ns2.dns.br/A' (in 'br'?): disabling EDNS > Mar 12 13:47:11 ns1 named[27732]:last message repeated 2 times > Mar 12 13:47:11 ns1 named[27732]: too many timeouts resolving > 'NS-EXT.ISC.ORG/A' (in 'ISC.org'?): disabling EDNS > Mar 12 13:47:11 ns1 named[27732]: too many timeouts resolving > 'NS-EXT.ISC.ORG/AAAA' (in 'ISC.org'?): disabling EDNS > Mar 12 13:47:11 ns1 named[27732]: too many timeouts resolving > '29.96.101.212.in-addr.arpa/PTR' (in '212.in-addr.arpa'?): disabling EDNS > Mar 12 13:47:11 ns1 named[27732]: too many timeouts resolving > 'ns2.dns.br/AAAA' (in 'br'?): disabling EDNS > Mar 12 13:47:12 ns1 named[27732]:last message repeated 2 times > Mar 12 13:47:12 ns1 named[27732]: too many timeouts resolving > '202.160.191.91.in-addr.arpa/PTR' (in '91.in-addr.arpa'?): disabling EDNS > > -- > İzmir Yüksek Teknoloji Enstitüsü > Bilgi İşlem Daire Başkanlığı > Ağ ve Sistem Yönetim Grubu > Mümin ÖLMEZ > Tel: +90-(232)-750 7664 > Email: [email protected] > http://www.iyte.edu.tr > > _______________________________________________ > Linux-sunucu E-Posta Listesi > [email protected] > > Liste kurallarını http://liste.linux.org.tr/kurallar.php > bağlantısından okuyabilirsiniz; > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden > gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini > kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. > http://liste.linux.org.tr/mailman/listinfo/linux-sunucu > > ----- [email protected] den iletiyi bitir ----- _______________________________________________ Linux-sunucu E-Posta Listesi [email protected] Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
