Si hemos instalado VestaCP en nuestro servidor y si además lo utilizamos como servidor DNS, es probable que cuando realicemos algunas comprobaciones recibamos algunos errores a pesar de que nuestro servidor DNS funcione aparentemente bien. Si realizamos un test en servicios web como pingdom es probable que recibamos algún error como el siguiente referente a las peticiones TCP:
«The server failed to answer queries over TCP. This may be due to the name server not correctly set up.»
El mensaje nos viene a decir que nuestro name server no es capaz de aceptar peticiones TCP, que suelen realizarse en el puerto 53. Los servidores DNS están obligados a soportar consultas mediante el protocolo TCP según los requerimiento de implementación RFC 5966. Ésto es debido a los dos siguientes puntos:
- DNSSEC crea respuestas DNS bastante largas que están por encima del límite de los 512 bytes del protocolo UDP.
- Las consultas DNS IPv6 pueden ser más largas que 512 bytes, por lo que también están por encima del límite de los 512 bytes de UDP.
Por defecto, el firewall de VestaCP solamente acepta conexiones UDP en el puerto 53, bloqueando cualquier otra petición, así que ya sabemos lo que tenemos que hacer. Vamos a agregar la regla correspondiente.
Con nuestra cuenta de administrador debemos ir a la pestaña FIREWALL de la parte superior del menú de Vesta. Allí veremos una lista de reglas. Hacemos clic en el botón con el «+» para agregar una nueva con los siguientes datos:
- Acción: ACCEPT
- Protocolo: UDP
- Puerto: 53
- Dirección IP: 0.0.0.0/0
- Comentario (opcional): DNS
Ahora guardamos y si volvemos a realizar el test. Veremos que ya no tendremos dicho error, que puede ser perjudicial tanto por seguridad como a la hora de posicionar nuestro dominio con algunos buscadores.