Namensauflösung = Wartezeit

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
evilh
Posts: 126
Joined: 2004-03-25 17:45

Namensauflösung = Wartezeit

Post by evilh »

Hi,

nachdem mein Server gestern abgestürzt war, habe ich ihn wiederbelebt, und nun folgendes Problem:

Ich habe am Anfang ca. 30 Sek Wartezeit, wenn ich mich mittels FTP oder IMAP zum Server verbinde.
Das wäre ja nicht weiter schlimm. Allerdings dauert es auch ca. 30 Sek, wenn ich Informationen von anderen Seiten mittels php und fopen hole.
Somit dauert ein Seitenaufbau 30 sek...

Die /var/log/messages sagt leider gar nichts aus.

Hat jemand eine Idee oder einen Lösungsansatz ?
System ist Suse 8.1

wgot
Posts: 1675
Joined: 2003-07-06 02:03

Re: Namensauflösung = Wartezeit

Post by wgot »

/etc/resolv.conf

kawfy
Posts: 307
Joined: 2002-08-08 23:45

IDENTD

Post by kawfy »

-- läuft dein identd wieder? -- Ohne per iptables die Pakete zu droppen? Zugegeben, eine weniger wahrscheinliche Ursache als mögliche Probleme beim DNS. Aber wer weiss ... :roll:

evilh
Posts: 126
Joined: 2004-03-25 17:45

Re: Namensauflösung = Wartezeit

Post by evilh »

Hi,

die resolv.conf:

Code: Select all

search serverkompetenz.net
nameserver 81.169.163.104
nameserver 81.169.163.106
bei einem ping antworten die beiden nameserver ordnungsgemäss.

inetd läuft. wie sehe ich, ob per iptables pakete gedroppt werden ?

kawfy
Posts: 307
Joined: 2002-08-08 23:45

pong und halt.

Post by kawfy »

evilh wrote:

Code: Select all

[...]
nameserver 81.169.163.104
nameserver 81.169.163.106
bei einem ping antworten die beiden nameserver ordnungsgemäss.

inetd läuft. wie sehe ich, ob per iptables pakete gedroppt werden ?
1. Falsche Vorangehensweise. Ein "ping" sagt nix darüber aus, wie lange dein DNS-Request warten muss. "dig @81.169.163.104 http://www.example.com" gibt diese Info doch in der Regel her (";; Total query time: ..."). :roll: Rufe das mehrmals auf (von der Root-Server-Shell aus!) und schau, ob die Antworten nach dem ersten Aufruf "schnell genug" kommen. Falls nicht, hat der abgefragte Nameserver 'ne Macke. Die Dauer des ersten Aufrufes ist egal.

2. Halt. Verlesen. Nicht "inetd", sondern "identd". :roll: RFC1413. Identification. "grep 113/ /etc/services". Test: mach ein telnet auf Port 113 deines Server (von außen! also z. B. von deinem Computer zu Hause). Da sollte die Verbindung aufgebaut werden. Telnet sagt dann meist "Connected to ..." sowie "Escape character is '^]'.". Dann tippst du z. B. ein: "123, 456". Dein Server sollte dann antworten, und zwar mit einer Art Fehlermeldung wie z. B. "123 , 456 : ERROR : UNKNOWN-ERROR". Hauptsache, es kommt was zurück und zwar weder ein "Connection refused" noch dass du 30 Sekunden nach Start des Telnet-Aufrufes warten musst. Falls doch, läuft entweder der identd gar nicht (nicht weiter schlimm) oder die TCP-Pakete werden gedroppt (das ist blöd, bitte ändern).

Wie du in deiner Firewall das mit identd heraus finden kannst, weiss ich leider nicht. Ich benutze keine Firewall auf meinem Server 8)

evilh
Posts: 126
Joined: 2004-03-25 17:45

Re: Namensauflösung = Wartezeit

Post by evilh »

Hallo kawfy

erstmal vielen dank für Deine ausführliche Antwort !

Punkt 1 trifft nicht zu. Die Nameserver antworten im Millisekundenbereich.

Punkt 2 - hier scheint der Hase begraben.

ein telnet auf port 113 klappt nicht:

Code: Select all

Verbindungsaufbau zu 81.169.175.123...Es konnte keine Verbindung mit dem Host hergestellt werden, auf Port 113.
Es konnte keine Verbindung hergestellt werden, da der Zielcomputer die Verbindung verweigerte.
ein

Code: Select all

grep 113/ /etc/services
gibt aus:

Code: Select all

ident           113/tcp auth    # Authentication Service
auth            113/udp         # Authentication Service
hsl-storm       2113/tcp        # HSL StoRM
hsl-storm       2113/udp        # HSL StoRM
cs-auth-svr     3113/tcp        # CS-Authenticate Svr Port
cs-auth-svr     3113/udp        # CS-Authenticate Svr Port
netiq-endpoint  10113/tcp       # NetIQ Endpoint
netiq-endpoint  10113/udp       # NetIQ Endpoint
ein

Code: Select all

ps ax|grep identd
gibt mir keine Rückmeldung daß da was mit dem Namen läuft.

firewall mittels iptables habe ich eigentlich nicht laufen:

Code: Select all

# iptables -L INPUT
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

# iptables -L OUTPUT
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Wie gehte ich nun weiter vor ?

kawfy
Posts: 307
Joined: 2002-08-08 23:45

"weiss net"

Post by kawfy »

Hm, kommt die Meldung "Es konnte keine Verbindung mit dem Host hergestellt werden, auf Port 113. ..." sofort oder nach ca. 30 Sekunden? Falls ersteres: OK, da liegt nicht der Fehler. Ohne identd kein Timeout :) Bei zweiterem: hm. Dann müsste es ja einen Dienst auf Port 113 geben. Laut deiner Firewall wird da aber nix gedroppt. :(

evilh
Posts: 126
Joined: 2004-03-25 17:45

Re: Namensauflösung = Wartezeit

Post by evilh »

die meldung kommt sofort.
also denke ich auch, daß kein identd läuft.

nur stehen wir dann wieder ahnungslos da, woran es liegen könnte...

kawfy
Posts: 307
Joined: 2002-08-08 23:45

Provider

Post by kawfy »

evilh wrote:nur stehen wir dann wieder ahnungslos da, woran es liegen könnte...
:arrow: Support deines Providers um Hilfe bitten.