Linux PCs enviando “ICMP udp port inacessível” para o servidor DNS

1

Então, pesquisando no meu syslog, tenho notado muitos pacotes ICMP sendo sinalizados pelos nossos ASAs:

 %ASA-4-313005: No matching connection for ICMP error message: icmp src Internet:x.x.21.122 dst MGMT:x.x.36.55 (type 3, code 3) on Internet interface.  Original IP payload: udp src x.x.36.55/53 dst x.x.21.122/47927.

Fazendo um tcpdump no originador (x.x.x.122 uma máquina Linux) da resposta do ICMP Eu noto que uma solicitação de consulta DNS é enviada, e depois de algum tempo, o servidor DNS responde. Imediatamente após a resposta, o servidor Linux envia uma mensagem informando que a porta está inacessível de volta ao servidor DNS. Por favor, veja abaixo:

19:29:06.684523 IP x.x.21.122.47927 > DNS.domain: 7182+ PTR? x.x.x.x.in-addr.arpa. (43)
19:29:11.690336 IP x.x.21.122.33897 > DNS.domain: 58231+ PTR? x.x.x.x.in-addr.arpa. (45)
19:29:13.850887 IP DNS.domain > x.x.21.122.47927: 7182 ServFail 0/0/0 (43)
19:29:13.850929 IP x.x.21.122 > DNS: ICMP x.x.21.122 udp port 47927 unreachable, length 79

19:29:16.692581 IP x.x.21.122.33897 > DNS.domain: 58231+ PTR? x.x.x.x.in-addr.arpa. (45)
19:29:21.697217 IP x.x.21.122.42976 > DNS.domain: 19120+ PTR? x.x.x.x.in-addr.arpa. (45)
19:29:22.977289 IP DNS.domain > x.x.21.122.42976: 19120 ServFail 0/0/1 (56)
19:29:22.977342 IP DNS.domain > x.x.21.122.33897: 58231 ServFail 0/0/0 (45)
19:29:22.977382 IP x.x.21.122 > DNS: ICMP x.x.21.122 udp port 33897 unreachable, length 81

Eu pensei que talvez a máquina Linux simplesmente não estivesse esperando o tempo suficiente para a resposta do DNS, então eu aumentei o tempo de espera em /etc/resolv.conf ... Mas sem sorte.

Eu entendo que o PC Linux está fazendo uma pesquisa reversa de DNS, e o servidor DNS está respondendo que não pode resolver o nome (porque ele não existe no servidor DNS. Os hosts específicos que ele está procurando não têm um entrada no DNS por um motivo). É por isso que o pedido está demorando tanto. Mas eu só quero descobrir como modificar o Linux PC para que ele não envie essas mensagens ICMP toda vez que isso acontecer.

Se alguém puder me ajudar a descobrir como impedir que essas mensagens sejam exibidas, será muito apreciado.

Configurações ASA com show run | inc icmp abaixo

 ASA# show run | inc icmp
    icmp unreachable rate-limit 1 burst-size 1
    icmp permit any echo Internet
    icmp permit any echo-reply Internet
    icmp permit any echo DATA
    icmp permit any echo-reply DATA
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
    
por JustNobody30 26.08.2015 / 22:18

2 respostas

1

Parece familiar e vi o mesmo comportamento dos serviços baseados em Linux.

É um comportamento específico do aplicativo, embora eu não consiga lembrar qual aplicativo rastreei isso também ... ou mesmo se eu realmente rastreá-lo para um aplicativo ...

Basicamente, o aplicativo em questão faz suas próprias pesquisas de DNS usando o resolvedor libC normal (o que é normal no caso em que algo como nscd ou dnsmasqd não está sendo executado como cache local) e o soquete do cliente é fechado antes de a resposta voltar. Como a resposta volta e não há nada escutando naquele soquete (Uconn não conectado), ele responde com uma porta inacessível.

Duas coisas podem ser melhoradas:

1) use um cache DNS do lado do cliente (de preferência não nscd se você se importa com TTLs curtos)

2) (não testado) drop na cadeia OUTPUT Pacotes inacessíveis ao ICMP indo para a porta UDP / 53

Eu sugeriria que o primeiro fosse a solução preferível, e isso provavelmente explica por que você não tende a ver isso vindo de máquinas Windows (que têm um cache local)

    
por 02.08.2016 / 12:08
0

tente passar todo o tráfego de x.x.21.122 para o seu DNS. Se os erros desaparecerem - do que você deve melhorar suas regras de firewall.

Ele registra, que você fornece, não podemos encontrar nenhuma conexão na porta 39132. Além disso, por favor, poste sua configuração de asa.

    
por 27.08.2015 / 00:00