Check on VOl 45 issue 13
From: swinog-request@lists.swinog.ch Subject: swinog Digest, Vol 65, Issue 13 To: swinog@lists.swinog.ch Date: Wed, 16 Jun 2010 12:00:01 +0200
Send swinog mailing list submissions to swinog@lists.swinog.ch
To subscribe or unsubscribe via the World Wide Web, visit http://lists.swinog.ch/cgi-bin/mailman/listinfo/swinog or, via email, send a message with subject or body 'help' to swinog-request@lists.swinog.ch
You can reach the person managing the list at swinog-owner@lists.swinog.ch
When replying, please edit your Subject line so it is more specific than "Re: Contents of swinog digest..."
Today's Topics:
- Re: www.eda.admin.ch down? (Peter Keel)
- Probleme mit Resolving nic.ch (Klaus Ethgen)
- Re: Probleme mit Resolving nic.ch (Pim van Pelt)
- Re: Probleme mit Resolving nic.ch (Steven Glogger)
- Re: Probleme mit Resolving nic.ch (Beat Siegenthaler)
Message: 1 Date: Wed, 16 Jun 2010 07:01:04 +0200 From: Peter Keel seegras@discordia.ch Subject: Re: [swinog] www.eda.admin.ch down? To: swinog@swinog.ch Message-ID: 20100616050104.GB24418@discordia.ch Content-Type: text/plain; charset=iso-8859-1
- on the Wed, Jun 16, 2010 at 02:11:30AM +0200, Linus Wegmann wrote:
I understand now about the ICMP blocking... i guess it's because they wanna protect from DoS attacks (or other frauds)....
Actually, it's because they don't understand IP. http://www.phildev.net/mss/mss-talk.pdf
Cheers Seegras -- "Those who give up essential liberties for temporary safety deserve neither liberty nor safety." -- Benjamin Franklin "It's also true that those who would give up privacy for security are likely to end up with neither." -- Bruce Schneier
Message: 2 Date: Wed, 16 Jun 2010 09:22:41 +0100 From: Klaus Ethgen Klaus+swinog@ethgen.de Subject: [swinog] Probleme mit Resolving nic.ch To: swinog@swinog.ch Message-ID: 20100616082241.GA15276@tha.ethgen.de Content-Type: text/plain; charset=iso-8859-1; x-action=pgp-signed
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Hi,
ich habe seit einiger Zeit auf allen meinen Nameservern Probleme, die komplette Zone nic.ch zu resolven. Diese Probleme beschr?nken sich ausschlie?lich auf nic.ch, mir ist keine andere Zone aufgefallen, die Probleme macht. Vermutlich treten die Probleme seit September 2009, also mit Umstellung auf DNSSec, auf. (Ich kann es leider nicht hundertprozent genau datieren.)
Nach einigen Debuggingschritten bin ich etwas ratlos. Meine Firewall l??t in beiden F?llen (bei jeweils auch einem komplett anderen Provider) alles durch, was Port 53 anbelangt. Auch ein Ausschalten der Firewall bringt die selben ergebnisse. Auch ein Test mit verschiedenen anderen DNSSec-Domainen, auch solchen, die gro? sind und somit fragmentiert werden (sollten, meine MTU ist 1500), stellen keine Probleme dar. Ein tcpdump zeigt aber recht schnell, da? von den UDP-Paketen von nic.ch immer nur das erste ankommt und alle weiteren nicht auf meinem Netzwerkinterface aufschlagen.
Nun meine Frage: Hat oder hatte jemand von euch schon ?hnliche Probleme und wie wurden sie behoben? Wenn es sich bei nic.ch um eine unwichtige Domain handeln w?rde, w?re es mir ja egal, aber sie ist ja doch nicht ganz so unwichtig.
Gru? Klaus Ethgen
Klaus Ethgen http://www.ethgen.de/ pub 2048R/D1A4EDE5 2000-02-26 Klaus Ethgen Klaus@Ethgen.de Fingerprint: D7 67 71 C4 99 A6 D4 FE EA 40 30 57 3C 88 26 2B -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.10 (GNU/Linux)
iQEVAwUBTBiJ0Z+OKpjRpO3lAQKt6gf/W9+ftdXlrmK8jaW1zgGEhZvu0oOm/tpl Wq+7u3GhlA08lIFSNeZxYQrs2Fea4rDVHQkxQvAHZogwvmIqNm7DemgnB1REKUD+ gUI4OPtE29npnUdKEUUSLm/XsL8bSpbKX1ESTAx44uWegVS5LDHy+1lnjOfF29In L91VUroTvfbu5Odm5/82sR7UrYMbJeR2X/3oEtONbFR8xXOW4Eguxx1eOszUS7DQ BFN+AT6+A3g+ECn1WDCvrposYIC3YLu3V1qLSY5RzoDmuGxonbJv6zRCrTODp/9i KATfUPQvvVdh6FFwc4WA7pSYZHmTnl6+YFWk7lIhU5F1pGBHbSiYtA== =DVDj -----END PGP SIGNATURE-----
Message: 3 Date: Wed, 16 Jun 2010 10:39:24 +0200 From: Pim van Pelt pim@ipng.nl Subject: Re: [swinog] Probleme mit Resolving nic.ch To: Klaus Ethgen Klaus+swinog@ethgen.de Cc: swinog@swinog.ch Message-ID: AANLkTikU-QjIPhBYs7GAyaoyucMNamgajaXgAuF5p0zA@mail.gmail.com Content-Type: text/plain; charset="iso-8859-1"
Does your firewall also allow egress tcp sessions on port 53? Can you run tcpdump while trying to resolve? And what address(es) specifically fail for you?