IPTABLES dropando pacotes de Domain controller

[prs_linux]

Boa Tarde para todos...

Meu firewall está dropando pacotes TCP dos meus Domain Cotrollers Windows 2003 conforme abaixo :

DC1 - Matriz - TCP - 1071, porte de destino 53

DC2 - Matriz - TCP - 1079, porte de destino 53

DC - SP - TCP - 1075, porte de destino 53

DC - PR - TCP - 1031, porte de destino 53

DC - RS - TCP - 1053, porte de destino 53

DC - MG - TCP - 1058, porte de destino 53

A rede está funcionando normalmente.

Alguém sabe que pacotes são esses ?

[xstefanox]

Estão tentanto utilizar a máquina em questão para resolver nomes DNS. Lembre-se que se os servidores DNS estão atrás do firewall, você precisa liberar a porta 53 para que eles resolvam nomes para fora.

[prs_linux]

Olá amigo, obrigado por sua resposta.

O que estou estranhando, é que os servidores W2K3, são rsponsáveis por resolver consultas relativas a empresa.net, do meu Active Directory. Caso a consulta não seja relativa a zona empresa.net e nem esteja em chache, configurei o DNS do W2K3 para fazer forward para 1 DNS Linux.

Vasculhando o Log do Firewall constatei que os pacotes dropados, são consultas DNS relativas aos root-servers da Internet.

Minha estrutura de rede :

Clientes XP que possuem como DNS primário e Secundário, os Domain Controlers W2K3.

Os DNS W2K3, controlam a zona empresa.net, que nada mais é que a zona do AD.

configurei os W2K3 para efetuar forward para um DNS Linux com BIND.

Desta forma meu raciocínio, não sei se está corredo ou não é :

O cliente XP precisa resolver o nome City National Bank - California's Premier Private and Business Bank®.

1 - É verificado o chache DNS do XP. Caso não encontrado

2 - O XP encaminha a solicitação ao DNS primário, W2K3.

3 - O W2K3 verifica que não tem autoridade para cbn.com, então procura no seu cache.

4 - Caso a informação não seja encontrada, a consulta é enviada ao servidor forward, no meu caso o Linux.

4 - O processo continua iterativamente até que o Linux tenha o IP de www.cbn.com, passe para o W2K3.

5 - O W2K3 então passa o endereço para o cliente.

Se o meu raciocínio estiver correto, não entendo o porquê de o W2K3 estar tentando consultar os servidores Raiz da Internet.

[xstefanox]

Poxa... o seu raciocínio tá melhor do que o de muita gente, viu? Então, vamos ver se eu consigo te ajudar com os meus conhecimentos.

Eu nunca fiz esse forward de requisições da maneira que eu entendi, do W2K3 repassando as consultas para os domínios que ele não delega para outro servidor, no caso o seu primário.

Mas o quê eu sei é que uma resolução de nome feita para um servidor DNS não para um domínio cujo mesmo não delega não é repassada para o servidor DNS configurado na rede deste servidor, mas sim para a sua lista de endereços IP's dos root servers (que por sua vez, são a base da resolução do mundo da internet). Talvez você esteja se confundindo neste ponto.

[prs_linux]

Obrigado por sua resposta ... e pelo elogio ...

Não sei se estas pesquisas DNS são regularizados por alguma RFC e nem sei se a MS seguiu a RFC, mas do artigo abaixo :

How to configure DNS for Internet access in Windows Server 2003

Retirei a seguinte explicação :

Um servidor DNS executando o Windows Server 2003 segue etapas específicas em seu processo de resolução de nomes. Um servidor DNS primeiro consulta seu cache, verifica seus registros de zona, envia solicitações aos encaminhadores e tenta a resolução através de servidores raiz.

Se o Bind agir de forma que você explicou, ou seja, se não for da sua zona, então consulte os Root-Severs; então o W2K3 ao consultar o Linux recebe de volta o endereço dos Root-Servers, tenta fazer a consulta, e então é barrado do Firewall.

Até aqui tudo bem, mas o que me chama atenção, é que a rede está resolvendo endereços Internet normalmente. Será que o W2K3 está resolvendo estas consultas com os Root-Server por outra porta TCP que o meu Firewall não está barrando ?

[prs_linux]

Olha o que está no mesmo documento :

Como configurar um DNS atrás de um firewall
Os dispositivos de Proxy e NAT (Network Address Translation) podem restringir o acesso às portas. O DNS usa a UDP porta 53 e TCP porta 53. O console de Gerenciamento dos serviço de DNS usa também a RCP. A RCP usa a porta 135. Esses são problemas em potencial que podem ocorrer ao configurar o DNS e os firewalls.

[prs_linux]

Olá amigo, desculpe-me a demora da resposta, mas o serviço do site não me informou que tinha um post seu. Hoje por acaso vi a resposta, pois estou retornando para colocar a solução.

Após ler a documentação do site da MS pude observar que o DNS da MS, após efetuar consultas em cache e nos fowarders, ele tenta os root-hints(caso não tenha obtido a resposta satisfatória para a consulta DNS).

Este é o motivo pelo qual meu firewall dropava os pacotes oriundos dos meus DC'S que tentavam contato com os servidores root da Internet para resolver as consultas. Meu firewall está configurado apenas para aceitar um servidor DNS a fazer consultas na Internet, no caso um CL 9 com o BIND.

Desta forma efetuei as seguintes soluções para evitar que os servidores DNS MS tentem efetuar consultas nos servidores raiz.

Solução 1 : Marcar na guia Encaminhadores (Fowarders) NÂO USAR RECURSIVIDADE PARA ESTE DOMÍNIO.

Solução 2 : Apagar na guia "Dicas Raiz" (Root-Hints), os nome dos servidores RAIZ.

Obrigado pela força.