'53port'에 해당되는 글 1건

  1. 2011.01.21 [트러블슈팅] CNAME Lookup Fail 현상 조치법 - DNS port 53
시스템/DNS2011. 1. 21. 18:01
일반적으로 DNS 는 UDP 53번 포트를 사용하지만
다음의 경우에는 예외적으로 TCP 를 사용하는 것으로 알려져있습니다.

1. zone-transfer 시
만약 dns 서버를 primary 만 운영하신다면 관계없겠지만
slave 와 함께 운영하신다면 zone-transfer 를 위해
tcp 53을 허용하셔야 합니다.
zone-transfer 는 많은 데이터가 통신하고, 신뢰할 수 있어야 하므로
tcp 를 사용하게 됩니다.
참고로 bind 8.x 에서는 zone-transfer 의 제한을 위해
allow-transfer {}; 를 사용하실 수 있습니다.

2. 로드가 높을때
정상적인 상황에서는 udp 를 사용하지만 시스템의 로드가 높을때
부분적으로 tcp 를 사용하는 것으로 알려져 있습니다.

3. 메시지 사이즈등 기타 상황
이외 dns 질의 데이터의 사이즈가 484 바이트를 초과할 경우에는
tcp 로 재질의하는 경우가 있습니다.

따라서 일반적인 상황에는 udp 53번만을 허용하는 것이 맞지만
실제 네트워크 문제등 여러 예외 상황이 있으므로
tcp 도 허용하시는 편이 좋을 듯 합니다.



파워콤(데이콤), 카이스트는 보안상 TCP53번 포트 막혀있음.

A레코더의경우 25개 이상인경우 512가 넘어 tcp로 재전송일어나게되므로, 파워콤(데이콤)에서는 질의가 안된다.  (KT,하나로는 열려있음.)

※ 파워콤회선에서 pcns.bora.net를 통해 www.aaa.com질의시 512가 넘으면 질의 안됨



외부로 메일을 보내기 위하여 DNS 에 다음의 3단계 쿼리를 수행한다.

1) query type=any
2) query type=mx
3) query type=a

query 의 결과값이 방대하거나 UDP 통신이 원할하지 않은 경우에는 TCP mode 로 재시도 한다.
일부 문제가 되는 사이트에서는 UDP, TCP 통신(53)이 원할하지 않아 CNAME Lookup Fail 이 떨어지면서 메일을 송신하지 못하는 경우가 발생한다.

문제 발생 예:

;; Truncated, retrying inTCP mode.
;; Connection to 100.1.110.20#53(110.1.110.20) for hanmail.net failed: host unreachable.

- 따라서 이러한 문제가 발행할 경우 방화벽등의 정책에 53번 포트에 대해서 UDP, TCP 통신이 원할하게 이루어지는지 확인 하고 막혀 있다면 해당 포트에 대해 정책을 Open 해야 한다.


결과 확인:  # telnet 164.124.101.2 53 등에 대해서 연결이 이루어지는지 확인


Posted by @dmin @dmin

댓글을 달아 주세요