bonjour a tous,
 
J'ai l'intention de faire un serveur proxy avec une debian en virtuel contenant 2 carte physique et 2 carte virtuel bridgnet.Mais j'ai un problème avec mon dns.Voici mon shéma réseau :
 

 
 
Le problème donc:
-mon dns marche aparement, avec l'aide du nslookup je vois mon dns je vois mon client en  écrivant le nom du pc client ou son adresse ip.
-mais quand je fais un ping de ma debian virtuel a mon client cela ne marche pas mais quand je ping de mon client à mon serveur dns cela marche.
 
Avez vous une idée?
 
Voulez vous mes fichier de conf(named.conf, db.10.0.0... network/interface...)
Et ma connection internet marche sur ma debian virtuel.
 
Par capture de trame je vois bien que mon pc client émet une requête a mon serveur dns qui lui n'arrive pas a lui répondre.
 
mes routes sont aussi sur le site et d'aprés moi mon l'air bonne.
 
donc je ne comprends pas ce qu'il se passe.
 
merci d'avance de m'aider car cela fait quelques nuits que je passe à chercher et rien du tout.
 
n'hésiter pas a me demander tous les renseignements.
 
 
 

tu as named-checkzone et checkconf our etre sur mais ca al'air bon.
dans ton resolv.conf ta mis quoi ?
lookup file bind
domain my.domainel
nameserver 127.0.0.1

oui j'ai fais les commande named-checkzone et check conf et aucune erreur.
je te met resolv.conf sur le site .
http://www.les-fournisseurs.fr/  
 
mon domaine est : domdebian.local
et mon nom de pc serveur est : madebian

Ton client bloque le ping ?
Ton serveur DNS fait du NAT ? Il a le routage activé ?
Si tu fais pas de NAT, il faut que ta livebox route le réseau 10.0.0.0 vers ton proxy pour que les paquets reviennent (et faut voir si la livebox accepte de NATer ce qui vient de 10.0.0.0, ça je ne sais pas si elle le fait).
Si tu fais un ethereal/wireshark sur l'interface relié à la livebox sur le proxy tu vois bien les paquets ressortir ?

Ton resolv.conf tu devrais virer le nameserver 192.168.1.1 et mettre un forwarder sur ta configuration de ton serveur dns

la livebox ne fais pas de routage, j'ai ete emmerder avec ca aussi, j'ai pluger une machine qui fais le fw/nat/dns/dhcp/
tu fais tcpdump -i $ext_if puis tu ping via ton pc,

j'avais pas vu ton schema
tu passe dans 2sous reseaux, comme dis, la livebox ne nat pas.
il faut juste rajouter le nat sur ton serv et ce sera ok

oui j'ai editer le fichier /etc/init.d/parefeu.sh avec toutes les regles basic de iptables et mon nat c'est cette ligne indiqué sur le site.
 
oui je l'avais mis dans mon named.conf en forwarders et je l'avais remis ici.

je n'est pas installer le dhcp je tiens à le dire.
et newixz je n'ai pas compris ta commande tcpdump -i $ext_if ?
comment je l'utilise

Les clients font la résolution DNS sur le serveur
donc la dernière ligne pour iptables c'est pas ça.
C'est plutôt : iptables -I INPUT -p tcp --dport 53 -j ACCEPT
Et aussi je te conseille d'accepté les connexions établies
iptables -I INPUT -m state --state ESTABLISHED,RELATED
iptables -I OUTPUT -m state --state ESTABLISHED,RELATED
iptables -I FORWARD -m state --state ESTABLISHED,RELATED
 
Et là elles n'ont même pas accès en http (enfin si tu fais du proxy c normal ) mais dans ce cas il faut une règle pour autoriser le port du proxy

mais la j'ai pas mis mon fichier complet il est plus long
 
voici mon fichier complet :
 
# Activation du forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
 
# Nous vidons toutes les chaines
iptables -F
 
# Nous supprimons les chaines non standards
iptables -X
 
# Par defaut tout est ferme
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
# reinitialisation table NAT
iptables -t nat -F
iptables -t nat -X
 
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
 
# Translation d'adresse pour tout ce qui sort vers l'internet
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
 
# La machine locale est sure
iptables -A INPUT  -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 
# Resolution DNS pour les machines du LAN
iptables -A FORWARD -i eth0 -o eth1 --protocol udp --source-port 53 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 --protocol udp --destination-port 53 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 --protocol tcp --source-port 53 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 --protocol tcp --destination-port 53 -j ACCEPT  
 
# On permet toutes les connexions sur le LAN depuis le firewall
iptables -A INPUT -i  eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
# On permet toutes les connexions sur le firewall depuis le LAN
iptables -A INPUT -i  eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# On accepte toutes les liaisons firewall-Internet
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# On accepte les liaisons Internet-firewall deja etablies
iptables -A  INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# On accepte toutes les liaisons LAN-Internet
iptables -A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
# On accepte les liaisons Internet-LAN deja etablies
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
 
# Ouverture pour le ftp (actif)
iptables -A INPUT  -i eth0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT  -i eth0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT  -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
 
 
# Ouverture pour le serveur ssh
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT
iptables -A INPUT  -i eth0 -p tcp --dport 22  -j ACCEPT
 
 
# Ouverture pour le serveur ssh
iptables -A OUTPUT -o eth0 -p tcp --sport 23 -j ACCEPT
iptables -A INPUT  -i eth0 -p tcp --dport 23 -j ACCEPT
 
# Ouverture pour le serveur web
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT
iptables -A INPUT  -i eth0 -p tcp --dport 80 -j ACCEPT
 
# Fin du fichier

Ok mis à part le fait que certaines règles se répètent ça va.
 
Tu peux depuis le client faire : traceroute 216.239.59.104
puis traceroute google.fr

non ca prend pas il met met delais d'attente depassé pour les routeur qu'il veut traversé quand je met tracert 216.239.59.104
 
et quand je met google.fr il me met :
impossible de résoudre le nom systeme cible google.fr
 
 
et je voulais savoir s'il il doit y avoir un rapport entre met adresse ip de carte physique sur mon serveur et mes adresse ip de mes carte virtuel car sur ma carte physique connecté au local vers le client je ne met pas 10.0.0.254 comme le virtuel je vois sur capture de trame un pb ARP .
 
et si je met la même adresse pour la carte virtuel et physique qui sont vers internet il me dit conflit d'adresse ip.
 
donc je suis un peu brouillé de ce coté la.

Tu utilises quoi comme soft pour les VM ? Comment c configuré ? (schéma ?)

j'utilise vmware server et le shéma est sur le site (les adresse de mon serveur indiqué sur mon shéma sont celle des carte virtuel)

c'est ton dns qui ne forward pas correctement,  
la livebox le fais tres bien donc ne t'embete pas forward sur elle.
donc soit le nat est pas bon (jconais pas iptable) mais la c'est vite vu si t'arrive pas a passer ton routeur.
pour tcpdump, tu fais  
tcpdump -i eth1
tu lance un ping depuis ton client  

pour la commande tcpdump il ne prend pas il me dit command not found, je suis sur debian il y a ptre une autre syntaxe

si je fais dans nslookup  
www.google.fr cela fait ca :
 
# > www.google.fr
# Serveur :  127.0.0.1
# Address:  127.0.0.1#53
#
# Réponse ne faisant pas autorité :
# Nom :    www.l.google.com
# Addresses:  209.85.129.99, 209.85.129.104, 209.85.129.147
# Aliases:  www.google.fr, www.google.com
 
 
 
avant ca passer par 10.0.0.254 mais la vous m'avez dit d'enlever nameserver 10.0.0.254 dans resolv.conf est de mettre 127.0.0.1 donc normal a priori non?

aptitude install tcpdump

a lol c'est mieu avec aptitude, mais dsl jconé pas debian

tu as fais le nslookup depuis le serv la; la il est bon c'est bien lui qui resout
moi j'ai cela

fais le depuis le client.

le nslookup sur un xp c'est un ping?

et le tcpdump il est interminable, jpourrai jamais t'envoyé le résultat , c'est normal ou ca doit s'arreter

non c'est a toi de l'arreter avec Ctrl^c (tu le laisse juste le temps du ping)
 fais une redir dans un file de log : cmd > log
apres tu fais cat log | grep -i ping

alors j'ai en fait c'etait aussi nslookup. donc ca me dit  les serveurs par defaut ne sont pas disponible et il met :
 
serveur : unknown
adress: 10.0.0.254
 
dns request time out ....

tcpdump voila le resultat :
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
11:52:51.134064 IP 192.168.1.6.ntp > dedibox.bitschine.fr.ntp: NTPv4, Client, length 48
11:52:51.141296 IP 192.168.1.6.32787 > Livebox-7E40.domain:  16660+ [1au] PTR? 2.43.191.88.in-addr.arpa. (53)
11:52:51.174982 IP dedibox.bitschine.fr.ntp > 192.168.1.6.ntp: NTPv4, Server, length 48
11:52:51.185454 IP Livebox-7E40.domain > 192.168.1.6.32787:  16660 1/0/1 PTR[|domain]
11:52:51.185454 IP 192.168.1.6.32787 > Livebox-7E40.domain:  11808+ [1au] PTR? 6.1.168.192.in-addr.arpa. (53)
11:52:51.189509 IP Livebox-7E40.domain > 192.168.1.6.32787:  11808 NXDomain* 0/0/0 (42)
11:52:51.292383 IP madebian.domdebian.local.mdns > 224.0.0.251.mdns:  0 PTR? 6.1.168.192.in-addr.arpa. (42)
11:52:51.293675 IP 192.168.1.6.mdns > 224.0.0.251.mdns:  0 PTR? 6.1.168.192.in-addr.arpa. (42)
11:52:52.292177 IP madebian.domdebian.local.mdns > 224.0.0.251.mdns:  0 PTR? 6.1.168.192.in-addr.arpa. (42)
11:52:52.292625 IP 192.168.1.6.mdns > 224.0.0.251.mdns:  0 PTR? 6.1.168.192.in-addr.arpa. (42)
11:52:53.067644 IP 192.168.1.6.60287 > start.ovh.net.www: F 678061238:678061238(0) ack 2846158175 win 474 <nop,nop,timestamp 1861349 62501477>
11:52:54.295329 IP madebian.domdebian.local.mdns > 224.0.0.251.mdns:  0 PTR? 6.1.168.192.in-addr.arpa. (42)
11:52:54.295902 IP 192.168.1.6.mdns > 224.0.0.251.mdns:  0 PTR? 6.1.168.192.in-addr.arpa. (42)
11:52:56.197665 IP 192.168.1.6.32787 > Livebox-7E40.domain:  50398+ [1au] PTR? 1.1.168.192.in-addr.arpa. (53)
11:52:56.203453 IP Livebox-7E40.domain > 192.168.1.6.32787:  50398* 1/0/0 PTR[|domain]
11:52:56.314066 IP madebian.domdebian.local.mdns > 224.0.0.251.mdns:  0 PTR? 251.0.0.224.in-addr.arpa. (42)
11:52:56.314066 IP 192.168.1.6.mdns > 224.0.0.251.mdns:  0 PTR? 251.0.0.224.in-addr.arpa. (42)
11:52:56.392947 arp who-has 192.168.1.6 tell Livebox-7E40
11:52:56.392947 arp reply 192.168.1.6 is-at 00:0c:29:ea:a7:22 (oui Unknown)
11:52:57.317532 IP madebian.domdebian.local.mdns > 224.0.0.251.mdns:  0 PTR? 251.0.0.224.in-addr.arpa. (42)
11:52:57.317883 IP 192.168.1.6.mdns > 224.0.0.251.mdns:  0 PTR? 251.0.0.224.in-addr.arpa. (42)
11:52:59.318798 IP madebian.domdebian.local.mdns > 224.0.0.251.mdns:  0 PTR? 251.0.0.224.in-addr.arpa. (42)
11:52:59.319672 IP 192.168.1.6.mdns > 224.0.0.251.mdns:  0 PTR? 251.0.0.224.in-addr.arpa. (42)
 
 
 
nxdomain==> il trouve donc pas la livebox c'est bien ca? depuis le serveur

cela te suffit ce que je t'ai envoyé car dans quel log il se met quand je fais une redirection log?

quand tu fais une redir il par dans un fichier
cmd > log (creer un fichier log)
quand tu fais nslookup depuis le client c'est le 10.0.0.254 qui doit repondre,  

en faites ca deconne des 2 coté ? moi je croyais que le prob venais de la plage 10 pas 192.
ton dns fais bien autorité sur zone ?
si tu fais des reverse lookup qu'est ce que ca donne  ?
 
ton schema est pas tres clair  

ta aucun paquet ip icmp dans ton log.
fais cat log | grep -i icmp
(laisse tourner tcpdump le temps des ping)

je vois que dans ton /etc/bind tu as db.192.168.1 et db.192.168.10 et db.lan.local   pour ma part j'ai que db.domdebian.local et db.10.0.0 je l'ai pas fait pour db.192.168.1 c'est que ta une autre config ou je me suis planté???

non c'est que ton serveur na pas de zone de recherche inverser sur la zone 192.168.1
il faut que tu la creer

db.domdebian.local
 
$TTL 604800
@ IN SOA madebian.domdebian.local.   root.domdebian.local. (
 
                20071012
                604800
                86400
                2419200
                604800)
 
                ;**
 
@               IN      NS      madebian.domdebian.local.
madebian        IN      A       10.0.0.254
pcboss          IN      A       10.0.0.2
localhost       IN      A       127.0.0.1
~
 
 
 
 
db.10.0.0
 
$TTL 604800
@ IN SOA madebian.domdebian.local.   root.domdebian.local. (
 
                20071012
                604800
                86400
                2419200
                604800)
 
                ;**
 
@               IN              NS      madebian.domdebian.local.
254             IN      PTR     madebian
2               IN      PTR     pcboss
localhost        IN     PTR     127.0.0.1
~

il faut que je le créer dans named.conf et editer un fichier db.192.168.1 c'est bien ca?
 
mon named.conf
 
zone "domdebian.local" {
        type master;
        file "/etc/bind/db.domdebian.local";
        forwarders{192.168.1.1;};
};
 
 
zone "0.0.127.in-addr.arpa" {
        type master;
        file "/etc/bind/db.127.0.0";
};
 
zone "0.0.10.in-addr.arpa" {
        type master;
        file "/etc/bind/db.10.0.0";
        forwarders{192.168.1.1;};
};
 
zone "localhost" {
        type master;
        file "/etc/bind/db.local";
 

tu peu virer localhost et creer  
tu as ca j'ai vu

verifie ton fichier localhost

il faut pas oublier de les renseigner dans le named.conf aussi

je dois rajouter ca alors? avc le forwarders?
 
zone "1.168.192.in-addr.arpa" {
        type master;
        file "/etc/bind/db.192.168.1";
        forwarders{192.168.1.1;};
};  
 
et ca que j'avais oublié de te montrer mais qui ete dans mon fichier
 
zone "127.in-addr.arpa" {
        type master;
        file "/etc/bind/db.127";
};
 
et aprés créer db.192.168.1
 
et mettre
 
# db.192.168.1
# $TTL 3h
#
# @ IN SOA dns.lan.local. dns.lan.local. (
#                  2005020900 ; Serial
#                  28800 ; Refresh
#                  14400 ; Retry
#                  360000 ; Expire
#                  10800 ) ; Minimum
#
#                   IN NS       dns.lan.local.
#
# 1                 IN PTR      Livebox-E-74
# 254               IN PTR      madebian.domdebian.local.
# 6               IN PTR      srv.domdebian.local(c'est ma carte ver internet c'est ca)
 
 
 
di moi si c'est ca ?

en remplacant t dns.lan.local par madebian.domdebian.local bien sur

ca a l'air bon
redemarre bind et retest les nslookup client /serveur / direct / indirect

j'ai fait comme je viens de te le citer et ca n'a rien changer

beh la amintenant le nslookup vers la livebox et 192.168.1.6 ca marche il les trouve mais nivo client internet ne marche toujours pa.
et ca passe toujours par 127.0.0.1 sur le nslookup c'est normal

fais ca
depuis le serveur
nslookup && madebian &&
192.168.1.6 && 192.168.1.1 && 10.0.0.2
depuis 192.168.1.6
nslookup && madebian &&
192.168.1.254 && 192.168.1.1 && 10.0.0.2
depuis 10.0.0.2
nslookup && madebian &&
10.0.0.254 && 192.168.1.1
 
colle tout