Probleme avec mon DNS ??? - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 03-09-2003 à 16:21:39
euh c'est un peu leger pour trouver le probleme
tu devrais poster ta conf de bind pour commencer et regarder si les root servers renvoient bien sur ton DNS
Marsh Posté le 03-09-2003 à 16:26:50
oki, mais je viens d'aller sur le site de NIC et j'ai decouvert qu'il y avais des problemes avec un des nom du server. A mon avis Oleane a dut modifier quelquechose car ça marchait tres bien avant.
je vous envois le contenu du conf dans un pitit moment
@+tard
Marsh Posté le 03-09-2003 à 17:24:02
Bon alors j'ai un peu + de Newss.
En faite le probleme que l'on rencontre est le suivant:
Quand nous envoyons des mails a certaines sociétés, il nous revient un message en retour comme quoi le mail n'a pas été délivré car le serveur(celui du contact) n'arrive pas a faire la résolution de nom entre notre adresse mail et notre nom de domaine.
Je pense que Oleane doit etre en pleine Maintenance sur leurs DNS , car le notre DNS tourne depuis 6 mois et aucune modification n'a été aportée.
Quand pensée vous et surtout rencontrez vous aussi le même probleme
Marsh Posté le 03-09-2003 à 18:03:33
si tu disposes d'une connexion ADSL et IP Fixe je te conseille d'etre le server DNS primaire de ta zone
Marsh Posté le 03-09-2003 à 18:05:44
Le soucis c'est que normalement je le suis . Mais d'apres NIC c'est un DNS d'oléane je n'y comprend rien
Marsh Posté le 03-09-2003 à 19:13:34
Alors voila ce que me dit la NIC
Vérification des MXListe des MX pour le domaine objetdirect.com
mail.mondomain.com, poids 10
Pas de wildcard MX pour le domaine Impossible d'obtenir le nom de la machine ayant pour adresse X.X.X.X
Marsh Posté le 03-09-2003 à 19:22:49
n'est pas peur de nous donner le domaine , cela n'entrainera aucun probleme de sécurité & nous permettra de voir directement ton probleme ,car la ton copier/coller est un peu obscur .
Marsh Posté le 04-09-2003 à 15:09:18
Informations actuelles sur le domaine
Le domaine existe déjà, les serveurs de noms sont:
ns2.oleane.net
ns3.oleane.net
cesar.mondomaine.com
Obtention de la liste officielle des root name servers
Cette liste permet de vérifier que les serveurs de noms ont bien la bonne liste de serveurs de noms de la racine, et que leurs adresses sont correctes.
--------------------------------------------------------------------------------
Serveur toto.mondomaine.com (213.X.X.X)
Vérification de connexion TCP
Vérification de la zone sur le serveur
Verification de la liste de NS présente sur ce serveur
Erreur dans la liste des serveurs de noms
La liste des serveurs de noms pour la zone mondomaine.com obtenue de ce serveur ne correspond pas à la liste donnée pour vérification.
La réponse inclue en plus les serveurs suivants :
ns3.oleane.net
ns2.oleane.net
Ces serveurs n'ont pas été donnés comme serveur pour la zone mais le serveur interrogé donne en plus ces enregistrements NS.
Il n'est pas possible de déclarer un certain nombre de serveurs à l'extérieur et d'en ajouter d'autres dans le fichier de zone. Ces derniers seront toujours interrogés après un certain temps.
Les enregistrements suivants de la section additionnelle sont inattendus ou incorrects
mail.mondomaine.com IN A 213.X.X.X (incorrect, le nom devrait être cesar.mondomaine.com)
Vérification de la liste des serveurs de noms de la racine connus de ce serveur
Vérification de l'enregistrement SOA de in-addr.arpa
Vérification de l'enregistrement SOA de com
Vérification des mappings inverses de 213.X.X.X
L'adresse 213.X.X.X a le(s) nom(s): cesar.mondomaine.com
Vérification du mapping inverse de 127.0.0.1
Vérification de l'adresse IP des autres serveurs de la zone
--------------------------------------------------------------------------------
Serveur ns3.oleane.net (194.250.249.14)
La vérification de ce serveur est faite car il est référencé par un des serveurs précédents comme serveur autoritaire pour la zone.
Vérification de connexion TCP
Vérification de la zone sur le serveur
Le serveur ns3.oleane.net n'est pas recursif
Le numéro de série de la zone sur ce serveur (2003061200) est inférieur à celui sur le primaire (2003090301)
Verification de la liste de NS présente sur ce serveur
Les enregistrements suivants de la section additionnelle sont inattendus ou incorrects
mail.mondomaine.com IN A 213.X.X.X (incorrect, le nom devrait être cesar.mondomaine.com)
Vérification des mappings inverses de 194.250.249.14
L'adresse 194.250.249.14 a le(s) nom(s): ns3.oleane.net
Vérification du mapping inverse de 127.0.0.1
Vérification de l'enregistrement inetnum dans la base RIPE
inetnum: 194.250.249.0 - 194.250.249.255descr: BIIP : Backbone exploit Interco LoopBack RBS
Vérification de l'enregistrement route dans la base RIPE
Enregistrement 194.250.0.0/16 dans l'AS AS3215
Vérification de l'adresse IP des autres serveurs de la zone--------------------------------------------------------------------------------Serveur ns2.oleane.net (194.2.0.2)
La vérification de ce serveur est faite car
il est référencé par un des serveurs précédents
comme serveur autoritaire pour la zone.
Vérification de connexion TCP
Vérification de la zone sur le serveur
Le serveur ns2.oleane.net n'est pas recursif
Verification de la liste de NS présente sur ce serveur Les enregistrements suivants de la section additionnelle sont inattendus ou incorrects
mail.mondomaine.com IN A 213.X.X.X (incorrect, le nom devrait être cesar.mondomaine.com)
Vérification des mappings inverses de 194.2.0.2
L'adresse 194.2.0.2 a le(s) nom(s): ns2.oleane.netVérification du mapping inverse de 127.0.0.1Vérification de l'enregistrement inetnum dans la base RIPE
inetnum: 194.2.0.0 - 194.2.31.255descr: OLEANE Backbone
descr: Les Collines de l'Arche - Opera C
descr: 92057 Paris la Defense
Vérification de l'enregistrement route dans la base RIPE
Enregistrement 194.2.0.0/15 dans l'AS AS3215
Vérification de l'adresse IP des autres serveurs de la zone--------------------------------------------------------------------------------Vérification de l'enregistrement SOA
SERIAL2003090301
PRIMARYcesar.mondomaine.com
CONTACTUsers.mondomaine.com
REFRESH28800 (8 heures)
RETRY14400 (4 heures)
EXPIRE3600000 (41 jours 16 heures)
TTL86400 (24 heures)
Le TTL de l'enregistrement SOA n'est pas égal au minimum (32400)
--------------------------------------------------------------------------------Vérification des MXListe des MX pour le dom
mondomaine.com
mail.mondomaine.com, poids 10
Pas de wildcard MX pour le domaine Impossible d'obtenir le nom de la machine ayant pour adresse 213.X.X.X
--------------------------------------------------------------------------------Vérification des adresses de courrier électronique
Vérification de l'adresse Users@mondomaine.comEnregistrements MX vers mail.objetdirect.com (dans l'ordre)Domaine mondomaine.com Machine mail.mondomaine.com Connexion en cours...<-- 220 cesar.mondomaine.com ESMTP Postfix (1.1.11) (Linux-Mandrake)
->> HELO beta.nic.fr
<-- 250 cesar.mondomaine.com
->> VRFY Users@mondomaine.com
<-- 252 Users@mondomaine.com
Vérification de l'anti relayage->> MAIL FROM:<zonecheck@nic.fr>
<-- 250 Ok
->> RCPT TO:<zonecheck@afnic.asso.fr>
<-- 554 <zonecheck@afnic.asso.fr>: Relay access denied
Vérification de l'adresse postmaster@mondomaine.com Enregistrements MX vers mail.mondomaine.com (dans l'ordre)Domaine mondomaine.com Machine mail.mondomaine.com Connexion en cours...<-- 220 cesar.mondomaine.com ESMTP Postfix (1.1.11) (Linux-Mandrake)
->> HELO beta.nic.fr
<-- 250 cesar@mondomaine.com
->> VRFY postmaster@mondomaine.com
<-- 252 postmaster@mondomaine.com
Vérification de l'anti relayage->> MAIL FROM:<zonecheck@nic.fr>
<-- 250 Ok
->> RCPT TO:<zonecheck@afnic.asso.fr>
<-- 554 <zonecheck@afnic.asso.fr>: Relay access denied
--------------------------------------------------------------------------------Zone contents
Nombre d'enregistrements : 23Comptage par type d'enregistrement :16 A
1 MX
3 NS
1 SOA
1 TXT
--------------------------------------------------------------------------------Conclusion
1 erreur(s) 2 warning(s) 4 message(s) d'informationLe domaine objetdirect.com ne peut pas être installé
Marsh Posté le 04-09-2003 à 16:07:43
si tu es NS primaire poste ton named.conf ainsi que ta zone pour voir de plus pres
Marsh Posté le 04-09-2003 à 16:22:33
Fichier de conf - named.conf
// generated by named-bootconf.pl
// secret must be the same as in /etc/rndc.conf
key "key" {
algorithm hmac-md5;
secret
"c3Ryb25nIGVub3VnaCBmb3IgYSBtYW4gYnV0IZm9yIGEgd29tYW4K";
};
controls {
inet 127.0.0.1 allow { any; } keys { "key"; };
};
options {
directory "/etc/bind";
/*
* If there is a firewall between you and nameservers you want
* to talk to, you might need to uncomment the query-source
* directive below. Previous versions of BIND always asked
* questions using port 53, but BIND 8.1 uses an unprivileged
* port by default.
*/
// query-source address * port 53;
forward first;
forwarders {
194.2.0.2;
194.2.0.20;
};
};
//
// a caching only nameserver config
//
zone "." {
type hint;
file "named.ca";
};
zone "0.0.127.in-addr.arpa" {
type master;
file "named.local";
};
zone "mondomaine.com" {
type master;
notify no;
file "mondomaine.com";
};
zone "1.168.192.in-addr.arpa" {
type master;
notify no;
file "1.168.192";
};
Fichier de Zone - mondomaine.com
$TTL 9h
@ IN SOA cesar.mondomaine.com. Users.mondomaine.com. (
2003090301
28800
14400
3600000
86400 )
TXT "mondomaine.com le domaine"
NS cesar
IN NS ns2.oleane.net.
IN NS ns3.oleane.net.
MX 10 mail
localhost A 127.0.0.1
www A 194.X.X.X
cesar A 213.X.X.X
mail A 213.X.X.X
- - - - -
Oui je sais c'est bizzard normalement les IP du fichier zone devraient etre des IP local mais c'est pas moi a l'epoque qui m'occupais du DNS
Sinon je pense qu'il me faut rajouter des ligne avec l'option PTR qu'en pensez-vous
Marsh Posté le 04-09-2003 à 17:51:43
On va faire simple .
ton domaine c'est _réellement_ mondomaine.com ou tu le caches pour d'obscures raisons de sécurité ? ( nous donner le _vrai_ nous aiderait pas mal comme je l'ai dis plus haut )
car il faut t'assurer pour qu'un domaine fonctionne qu'il soit
1) correctement enregistré aupres de ton registar
cad que celui ci connait a la fois ton NS principal & tes NS secondaires
2) que le dit domaine soit correctement configuré sur ton serveur de nom & que ce meme serveur informe correctement tes serveurs secondaires ( qui sont _bien_ sur configurés pour etre secondaire de ta zone )
3) que ton serveur dns écoute sur le net ...
dans le cas des réponses du site de l'afnic il faut se souvenir
1) ce sont des chieurs
2) cela concerne notamment les zones .fr
l'afnic veut en gros que
le reverse d'une ip corresponde au domaine qui pointe dessus si on choisit de le mettre en tant que ns (ceci n'est _pas_ obligatoire cependant )
exemple il veulent cela :
[mikala@andrea mikala]$ host 80.65.224.163 |
si je spécifiais comme ns ce _nom_ précis cela ne poserait pour une zone .fr aucun probleme
en revanche il va raler sur ca :
|
car 80.65.224.163 ne pointe pas vers ns1 .... & de surcroit il y a une ipv6 dessus ( qui au niveau du reverse ne pointe pas non plus dessus )
voila pour les notions de reverse &co
ici c'est simplement ton FAI qui n'a pas mis de reverse pour ton ip a priori , il faudrait si c'est possible lui demander de faire le necessaire ( je rappelle qu'il faut avoir une ip fixe pour l'enregistrer en temps que ns .. )
Dans ce que te ressort le script de NIC tu as 1 erreur & 4 warnings ( les warnings sont sur les noms qui ne correspondent pas au niveau du reverse )
il te faut déja corriger ton erreur a savoir que la liste des serveurs annoncés aupres de ton registar doit correspondre a la liste des serveurs ns annoncés dans ton fichier de zone .
Enfin pour le NIC un ttl de 9h est une hérésie , il préfere parler en jours ...
dans ta conf de named de surcroit tu ne notifies pas tes secondaires des éventuels changements de zone que tu as/vas effectuer .
il serait bien aussi d'autoriser le transfert de zones _que_ vers ses secondaires ... ;o)
Voila
Marsh Posté le 05-09-2003 à 09:59:31
Mikala a écrit : il faut t'assurer pour qu'un domaine fonctionne qu'il soit |
ok je te remercie pour toutes ces informations. Bon je vais voir la liste des serveurs annoncés.
Sinon en ce qui concerne d'informer le DNS secondaire d'éventuels changement et aussi l'autorisation du transfert de Zone je ne sais pas comment faire Est ce que tu aurrais un documentation qui m'explique tout cela
Et enfin pour en revenir a ma discrétion sur le nom de domaine. J'ai effectué ces modifications (nom de domaine et IP) car mes travaux sur le DNS concerne mon entreprise et nous avons deja eu des problemes de piratage . Je reste donc méfiant pour le moment.
@+tard
Marsh Posté le 05-09-2003 à 13:02:03
comment tu a dut te faire chier pour tout remplacer par mondomaine.com
Marsh Posté le 05-09-2003 à 15:29:05
Non pas du il suffit de taper dans ton editeur préférer remplacer textA par textB et c'est réglé en 2sec.
Sinon a pars faire des remarques tu connais un peu la config d'un DNS ?
Marsh Posté le 05-09-2003 à 16:34:25
au pire si tu veux regler le pb en privé (pour tes raisons de secu) tu peux voir ça en PM et/ou venir sur le server IRC de mikala
Marsh Posté le 05-09-2003 à 16:39:43
oki c sympa pour l'invitation. Je suis déja en relation avec Mikala en PM.
Et sinon le server IRC c'est une good idée. Tu peut me passer le server et le chan IRC en PM. Merci d'avance
@+tard
Marsh Posté le 05-09-2003 à 17:26:12
bon en ce qui concerne les serveurs de mail qui rejettent tes mails
si ton smtp est aussi sur ton serveur dns c'est lié au fait qu'il n'y a pas de reverse v4 sur cette ip ( certains serveurs mails refusent les mails venant de machine n'ayant pas de reverse .... )
(c'est la du ressort de oléane que de te mettre un reverse dessus vu qu'a priori c'est bow.rain.fr qui gere cette zone , demandes leur de le faire pointer vers fiona par exemple )
Pour ton named.conf je mettrais plutôt
|
tu mettras ta clé rndc dans un fichier rndc.key dans le /etc/bind/
pour ta zone mondaine.com
|
voila
j'ai remis fiona vu que tu as spécifié fiona comme étant le nom de ton dns , donc faut que cela corresponde
Pour tes problemes de mail tant que tu n'auras pas de reverse je pense que cela merdra vis a vis de certains serveurs de mail
(une solution serait de faire ton postfix relayé par le smtp de oléane si tu en as le droit pour ces domaines , d'ailleurs ca serait bien de passer en 2.x pour postfix )
Marsh Posté le 08-09-2003 à 14:35:19
OK merci pour ton aide je m'occupe de ça tout de suite.
Je te tiens au courant de l'évolution.
@+tard
Marsh Posté le 09-09-2003 à 12:28:11
Merci beaucou^p pour ton aide j'ai téléphonné a Oléane et ils on activé la redirection inverse.
Merci beaucoup pour ton aide c'est vraiment sympa de ta pars.
Sinon juste une petit question consernant modification que tu m'a demander d'apporter a mon named.conf, pour la route .
est ce que l'ordre des informations doit-etre respecter ou il scan le fichier a chaque fois pour trouver une information ??
@+tard
Marsh Posté le 09-09-2003 à 12:44:15
j'ai pas compris la question
en fait classiquement tu as un ordre quand tu rédiges ton named.conf qui me parait logique ( & du fait que ce soit présenté ainsi dans la conf )
1) tu annonces d'éventuels acl ( ce qui n'est pas fait dans le conf que je t'ai fais mais que tu peux voir sur le mien )
acl toto { ....;};
2) tu annonces tes options le options { ...;};
3) tu annonces tes keys keys { ...;};
4) tu annonces qui a droit de controler a distance ton bind controls { ....;};
5) tu annonces tes regles de logs logging { ...};
6) tu annonces tes views & dedans tes zones
si tu n'as pas plusieurs views dans ce cas tu peux balancer directement tes zones .
voila
Marsh Posté le 09-09-2003 à 13:36:44
OK merci beaucoup ton aides et toutes tes informations qui me sont tres précieuses.
Tu es un chef
Marsh Posté le 03-09-2003 à 16:09:59
Bonjours à tous. Nous avons actuellement un DNS(bind9) qui fonctionne ma foie tres bien, jusqu'a ce matin.
J'ai remarqué que lorsque je fais un "nslookup monIP" ça ne repond pas
De plus quand j'effectue nslookup mondomaine il me répond:
Réponce ne faisant pas autorité:
nom : mondomain
adresse : monIP
Avez vous une idée d'ou peut bien provenir ce probleme