whois (rwhois) Problem

G

gnugu13

Registered User
Hallo,
auf meinen Servern setze ich (u.a) fai2ban ein um das Leben etwas leichter zu gestalten .
Nun hatte ich vor ein paar tagen einen "hänger" bei fail2ban. Und zwar bei einer whois-Abfrage.
Über whois können auch IP-Adressen abgefragt werden (rwhois) bei bestimmten
IP's erfolgt ein Verweis auf die jeweiligen rwhois-Datenbanken.
Nun mein Problem:
Bei der Abfrage : whois 130.94.69.17
wird der referral angegeben und diesem auch nachgegangen. Leider ohne (offensichtlichen) Erfolg. Es kommt aber auch nicht zu einer Timeout Meldung oder so, der Prozess wartet einfach.
Damit hängt für fail2ban aber der Thread und die weiteren Phyton Anweisungen.
Mit anderen Worten fail2ban hängt.
Das habe ich bis jetzt nur einmal festgestellt - aber gleich auf 2 Server'n.
Ich habe auch auf meinem heimischen Server diese whois Anfrage gestellt - mit dem gleichen Ergebnis.
whois hat die Versionen:
SuSE 10.2 Version 4.7.17.
SuSE 10.3 Version 4.7.21.
Kann diese Abfrage bitte mal von jemand auf seinem Server nachvollziehen?
Und das Ergebnis hier posten?
Hat jemand vielleicht eine Erklärung (und vielleicht sogar eine Lösung) dafür?
Grüsse
Klaus
 
Wenn ich "whois 130.94.69.17" auf meinem Laptop (Ubuntu 8.04) eingebe, bleibt er nach
# ARIN WHOIS database, last updated 2008-08-12 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.


Verweis zu rwhois.gin.ntt.net:4321 gefunden.

%rwhois V-1.5:0078b6:00 rwhois.gin.ntt.net (Vipar 0.1a. Comments to vipar@us.ntt.net)
Click to expand...
hängen
 
Auf meinem MacBook (10.5.4) ergibt whois:
Code: 
OrgName:    NTT America, Inc.
OrgID:      NTTAM-1
Address:    8005 South Chester Street
Address:    Suite 200
City:       Centennial
StateProv:  CO
PostalCode: 80112
Country:    US

ReferralServer: rwhois://rwhois.gin.ntt.net:4321/

NetRange:   130.94.0.0 - 130.94.255.255
CIDR:       130.94.0.0/16
NetName:    NTTA-130-94
NetHandle:  NET-130-94-0-0-1
Parent:     NET-130-0-0-0-0
NetType:    Direct Allocation
NameServer: AUTH21.NS.GIN.NTT.NET
NameServer: AUTH22.NS.GIN.NTT.NET
NameServer: AUTH23.NS.GIN.NTT.NET
NameServer: AUTH24.NS.GIN.NTT.NET
NameServer: AUTH25.NS.GIN.NTT.NET
Comment:
Comment:    Reassignment information for this block is
Comment:    available at rwhois.gin.ntt.net port 4321
RegDate:    1988-07-11
Updated:    2007-06-14

RTechHandle: VIA4-ORG-ARIN
RTechName:   VIPAR
RTechPhone:  +1-303-645-1900
RTechEmail:  vipar@us.ntt.net

OrgAbuseHandle: NAAC-ARIN
OrgAbuseName:   NTT America Abuse Contact
OrgAbusePhone:  +1-800-551-1630
OrgAbuseEmail:  abuse@ntt.net

OrgNOCHandle: NASC-ARIN
OrgNOCName:   NTT America Support Contact
OrgNOCPhone:  +1-800-551-1630
OrgNOCEmail:  support@us.ntt.net

OrgTechHandle: VIPAR-ARIN
OrgTechName:   VIPAR
OrgTechPhone:  +1-303-645-1900
OrgTechEmail:  vipar@us.ntt.net

# ARIN WHOIS database, last updated 2008-08-12 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.
 
MOD: Full-Quote entfernt!

Und beendet sich whois und Du bekommst das (den) Prompt der shell zurück?
Oder musstest Du das mit Ctrl-C abbrechen?
 
Last edited by a moderator:
Ich muss nix abbrechen. whois terminiert wie erwartet und fertig.

Edit: Auf Fedora 9 (jwhois 4.0-7) bleibt es auch hängen.
 
Last edited by a moderator:
Ja , so sieht das auch bei mir aus - nur das am Abschluss whois
nicht terminiert, sondern auf die rwhois abfrage wartet, deren Antwort aber nicht kommt.



Code: 
Found a referral to rwhois.gin.ntt.net:4321.

diesem referral geht whois nach. Telnet auf die Adresse bringt einen connect.

Hier mal eine Seite, die online den Rest ausgibt:

http://ping.eu


Code: 
# Enter ? for additional hints on searching ARIN's WHOIS database.

Found a referral to rwhois.gin.ntt.net	4321.

%rwhois V-1.5:0078b6:00 rwhois.gin.ntt.net (Vipar 0.1a. Comments to vipar@us.ntt.net)
network	Class-Name:network
network	Auth-Area:130.94.64.0/20
network	ID:NETBLK-W061-130-094-064.127.0.0.1/32
network	Handle:NETBLK-W061-130-094-064
network	Network-Name:W061-130-094-064
network	IP-Network:130.94.64.0/20
network	In-Addr-Server;I:NS931-HST.127.0.0.1/32
network	In-Addr-Server;I:NS1829-HST.127.0.0.1/32
network	In-Addr-Server;I:NS4208-HST.127.0.0.1/32
network	IP-Network-Block:130.94.64.0 - 130.94.79.255
network	Org-Name:NTT America Advanced Hosting - Dulles
network	Street-Address:22451 Shaw Rd
network	City:Sterling
network	State:VA
network	Postal-Code:20166
network	Country-Code:US
network	Tech-Contact;I:IA17312-VRIO.127.0.0.1/32
network	Created:2001-06-15 18:07:42+00
network	Updated:2001-06-15 18:07:42+00

%ok
Das mit dem terminieren scheint mir ein Linux - speziefisches Problem zu sein.
Noch jemand das mal getestet?
Ich hatte gestern noch eine IP, wo das geschilderte Problem auftauchte - leider hatte ich den Prozess zu schnell 'gekillt' und mir die IP nicht notiert.
klaus
 
You must log in or register to reply here.
Back
Top