https://dnsflagday.net/ report edns512tcp=timeout

Question

我有一个带有Vesta的Ubuntu16.04.5服务器。我在https://dnsflagday.net上查看了服务器，得到了以下报告：

domain.cl。@123.456.78.90 (ns1.domain.cl.)：dns=ok edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok docookie=ok edns512tcp=timeout optlist=ok domain.cl。@123.456.78.90 (ns2.domain.cl.)：dns=ok edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok docookie=ok edns512tcp=timeout optlist=ok

我不知道edns512tcp = timeout的含义，也不太幸运地在互联网上寻找解决方案。

有人能帮我吗？谢谢

Answer 1

对于该工具来说，任何类型的“超时”错误都是一个问题，这意味着某个服务器没有回复，或者消息(查询或回复)被路径上的某个活动元素吃掉，因此需要修复。

edns512tcp是测试软件使用512个字节的缓冲区和超过TCP的EDNS查询的时候。

如果您转到https://ednscomp.isc.org/ednscomp/为您的域，您将有完整的测试结果。

对于这一具体错误，它是：

EDNS - over TCP Response (edns@512tcp)

dig +vc +nocookie +norec +noad +edns +dnssec +bufsize=512 dnskey zone @server
expect: NOERROR
expect: OPT record with version set to 0
See RFC5966 and See RFC6891

因此，您可以看到哪个DNS查询是用dig完成的，您可以复制它(+vc是一个旧的标志名，是+tcp的别名)。测试期望得到一个NOERROR代码和一个OPT记录。您的服务器根本没有回复，所以测试失败了。

似乎您的服务器根本没有回复，这是错误的。也许他们根本不回答TCP查询，这甚至是错误的。在所有情况下，您都需要与负责维护这些服务器的实体联系，并将其指向测试结果，以便它们开始修复问题。

Answer 2

谢谢你的帮助。我读了更多关于它的文章，我可以检测到端口53被防火墙阻塞，我将规则添加到防火墙中，允许端口53上的TCP连接。

现在一切都好了