OVH Community, votre nouvel espace communautaire.

Un ping qui retourne l'IP du serveur


JGSCN
20/02/2015, 14h57
Citation Envoyé par janus57
Si @BBR passe par là ou même si tu va voir son site de tutos (http://www.how-to.ovh/), je pense que tu aura déjà de quoi te mettre sous la dent =)
je vais faire un tour sur le site, merci pour le lien.

Citation Envoyé par janus57
Combien de site avec combien de visiteurs ?
Des fois je monte à 1 million par mois sinon en moyenne ce sont dans les 2000 simultanément.

Citation Envoyé par janus57
Si tu virtualise avec du proxmox (donc les VM qui utiliseront le même kernel que l'hôte), il y aura peu de perte de performance lié à la virtualisation donc tu aura encore dans les 90/95% de puissance brute de la machine (je ne sais pas comment on calcul des perte lié à la virtualisation donc je donne sans doute des % au hasard).

Ton ancien serveur est aussi un SP64+2013 ?
Si oui et que déjà avant tu n'arrivez pas à une charge qui nécessite un upgrade alors même en virtualisant tu aura de la marge je pense.
Non, l'ancien est un SP 16 qui tient vraiment pas avec trop de problèmes coté OVH (disque défaillant, connectique qui lâche, IP qui répond plus - problème qui date de 3 jours et la résolution c'était de "rejouer les ACL sur le port switch" selon le support...) + divers config que j'ai fait qui pourraient être également à l'origine d'autres problèmes à l'exemple du ping qui marchait pas correctement.

Cordialement,

janus57
20/02/2015, 14h50
Bonjour,

En tout cas, merci pour l'idée de la "Virtualisation + Debian + Virtualmin", ça me semble pas mal comme config.
Si @BBR passe par là ou même si tu va voir son site de tutos (http://www.how-to.ovh/), je pense que tu aura déjà de quoi te mettre sous la dent =)

Exactement, je serais partant sur de la virtualisation, après faut voir si le serveur tient ou pas (SP64+2013 - https://www.ovh.com/fr/serveurs_dedi...SP-64-PLUS.xml)
Combien de site avec combien de visiteurs ?

Si tu virtualise avec du proxmox (donc les VM qui utiliseront le même kernel que l'hôte), il y aura peu de perte de performance lié à la virtualisation donc tu aura encore dans les 90/95% de puissance brute de la machine (je ne sais pas comment on calcul des perte lié à la virtualisation donc je donne sans doute des % au hasard).

Ton ancien serveur est aussi un SP64+2013 ?
Si oui et que déjà avant tu n'arrivez pas à une charge qui nécessite un upgrade alors même en virtualisant tu aura de la marge je pense.

Cordialement, janus57

JGSCN
20/02/2015, 13h00
Hello janus57,

Exactement, je serais partant sur de la virtualisation, après faut voir si le serveur tient ou pas (SP64+2013 - https://www.ovh.com/fr/serveurs_dedi...SP-64-PLUS.xml)

De toutes les manières, je vais faire des tests sur la machine pendant un mois pour voir comment elle tient et surement décidé ainsi pour la virtualisation ou pas. Il est clair que c'est intéressant si on veut faire du dump/restauration et ça permet de séparer un peu les choses et mettre de l'ordre mais à voir.

En tout cas, merci pour l'idée de la "Virtualisation + Debian + Virtualmin", ça me semble pas mal comme config.

Cordialement,

janus57
20/02/2015, 12h08
Citation Envoyé par JGSCN
Hello sich,

Yep c'est sur que tout dépend du niveau de compétences mais j'avoue que je suis pas trop trop système mais voilà j'essaie d'apprendre

Sinon, si un Debian sans plesk me semble être une bonne idée, le problème s'oppose au niveau d'un client par exemple qui veut se connecter sur un panel pour récupérer des accès FTP, créer des mails, etc.. C'est pas de la revente d'hébergement vu que c'est pas une offre commercialisée mais ça arrive que quelques uns veulent créer leurs mails seuls comme des grands.

Cordialement,
Bonjour,

comme dit, dépend de tes compétences et surtout de ton besoin.

Mais quelque chose qui pourrait être pas mal : Virtualisation + Debian + Virtualmin voir ISPConfig selon le panel que tu préfère.

Virtualisation car c'est plus simple de dump/backup une VM et/ou de la changer de serveur (surtout avec une IP-FO).
Debian car tout simplement j'ai jamais essayé CentOS.
Virtualmin/ISPConfig panel d'administration web (comme plesk) sauf que c'est OpenSource, gratuit et une communauté derrière, aussi comme c'est OpenSource, je pense que les failles sont plus vite corrigé (car plus vite remonté), car plesk si une faille est trouvé en générale c'est l’hécatombe des serveurs, pour preuve quelques mois en arrière plein de plesk on attaquer d'autre serveurs.

Par contre la règle d'or que ce soir avec/sans panel, avec un panel opensource ou non, TOUJOURS maintenir son serveur à jour, c'est pas on install et on s'en occupe plus.

Après je suis pas le mieux placer pour donner des conseils, néanmoins j'estime que ce que je viens de dire est relativement pertinent.

Cordialement, janus57

JGSCN
20/02/2015, 11h41
Hello sich,

Yep c'est sur que tout dépend du niveau de compétences mais j'avoue que je suis pas trop trop système mais voilà j'essaie d'apprendre

Sinon, si un Debian sans plesk me semble être une bonne idée, le problème s'oppose au niveau d'un client par exemple qui veut se connecter sur un panel pour récupérer des accès FTP, créer des mails, etc.. C'est pas de la revente d'hébergement vu que c'est pas une offre commercialisée mais ça arrive que quelques uns veulent créer leurs mails seuls comme des grands.

Cordialement,

sich
20/02/2015, 11h24
Tout dépend de ton niveau de compétences j'ai envie de dire...
Perso je ne travaille que sur Debian et surtout pas de plesk.

La réponse c'est à toi de la trouver

JGSCN
20/02/2015, 10h57
Hello,

Je viens de suivre tout cela pour bien configurer la machine et tout semble fonctionner.

Entre temps, je viens de commander un nouveau dédié et pense tout reconfigurer à nouveau en suivant bien tous vos conseils.

Cependant, j'hésite entre 3 choses (virtualisation, debian ou centos). Je sais que tout dépend de ce que je compte faire dessus mais dans l'absolue, vous me conseillez quoi ?

Quel est le meilleur moyen de faire une migration de sites ? (Rsync, backup/restauration plesk ou site par site - fichiers + dump, etc.)

Cordialement,

cassiopee
12/02/2015, 19h27
Citation Envoyé par JGSCN
Justement là, le problème ne se pose plus puisque au début, un ping vers ce domaine depuis le serveur retournait l'IP du serveur (ce qui fausse les résultats du monitoring). J'ai fait exprès de mettre HS le domaine pour vérifier.
Ok.

Je viens de le faire, lors de l'ajout d'un domaine, plesk applique la template DNS par défaut, je viens rectifier donc le problème devrait être résolu là.
Oui, pour 94.23.206.69, c'est bon pour avis2maman.

Là j'arrive à la partie qui m'embête le plus.
Est-ce que je suis dans l'obligation de déclarer tous les domaines sur le manager d'OVH ?
Absolument, cf les explications de Janus57.

D'après ce que je vois sur Internet, ce n'est pas le fait de pointer un quelconque domaine sur un serveur (avec NS1, NS2, etc.) doit faire l'affaire ?
Non car si c'était suffisant qu'est-ce qui m'empêcherait de dire dans mon dédié loué chez un concurrent d'OVH
que "sdns2.ovh.net doit gérer mon nom de domaine" ? Rien.

C'est pour cela qu'il est indispensable de le déclarer dans le manager du site d'OVH.

Le fait de le déclarer dans son propre serveur DNS primaire dans le serveur dédié est indispensable
mais pas suffisant pour que tout ronronne.

Tu peux m'expliquer comment le faire stp ? (Peur de faire des bêtises sur un serveur en Prod)
Il n'y a aucun risque, cela consiste à dire à OVH en substance :

"sdns2.ovh.net doit jouer le rôle de serveur DNS secondaire/esclave pour le nom de domaine 'toto.fr" .

Cf le guide d'OVH là : https://www.ovh.com/fr/g1477.configu...dns_secondaire

janus57
12/02/2015, 12h11
Bonjour,

Est-ce que je suis dans l'obligation de déclarer tous les domaines sur le manager d'OVH
Ah bah oui sinon tu aura 1 seule et unique DNS fonctionnel alors que les RFC en recommande au grand minimum 2.

D'ailleurs théoriquement si tu essaye de mettre 1 seul et unique serveur DNS chez le registrar de ton NDD il va te dire un grand "NON".

Et aussi si tu déclare pas sur le manager OVH il va se passer que tes site seront "en ligne" pour 50% de l'internet et "hors ligne" pour les autre 50%.

Si on a pas envie de déclarer les NDD dans le DNS secondaire et de faire la procédure du "ownercheck" (je ne sais pas si elle est présente pour la gamme OVH...), c'est de garder les DNS du registar et de faire des champs qui pointe sur le serveur, exemple champs A + AAAA pour IPv4+IPv6 / MX pour les mails / SPF / DKIM.

Certes ce sera aussi une procédure manuelle (sauf si votre registar dispose d'une API que vous arrivez à utilisez), mais au moins après c'est votre registrar qui ce démerde avec les DNS, car ici votre configuration est plus que bancale (dans le sens ou 1 seule DNS fonctionne).

Cordialement, janus57

JGSCN
12/02/2015, 10h08
Bonjour,

Citation Envoyé par Kioob
C'est surtout que si «DOMAINE-XYZ.com» est un de tes domaines, ça n'a pas vraiment l'air d'être une attaque. Comme l'indique cassiopee 213.251.188.141 c'est le serveur DNS secondaire d'OVH.
Un simple soucis de synchronisation, tu n'aurais pas déclarer «wherecanidownloadmovies.DOMAINE-XYZ.com» dans le manager OVH ?

Le domaine DOMAINE-XYZ.com mais je n'ai jamais créé un sous-domaine wherecanidownloadmovies.DOMAINE-XYZ.com. Depuis hier j'ai moins de messages dans le log avec ça mais y en a encore des trucs comme ce qui suit:

Feb 11 10:48:19 srv1 named[20967]: error (unexpected RCODE SERVFAIL) resolving 'improveyourself.gratuitcfree.com/AAAA/IN': 213.251.188.141#53
Feb 11 10:48:19 srv1 named[20967]: error (unexpected RCODE SERVFAIL) resolving 'improveyourself.gratuitcfree.com/AAAA/IN': 213.251.188.141#53
Feb 11 10:48:19 srv1 named[20967]: error (unexpected RCODE SERVFAIL) resolving 'improveyourself.gratuitcfree.com/AAAA/IN': 213.251.188.141#53
Feb 11 10:48:19 srv1 named[20967]: error (unexpected RCODE SERVFAIL) resolving 'improveyourself.gratuitcfree.com/AAAA/IN': 213.251.188.141#53
Feb 11 10:48:20 srv1 named[20967]: error (unexpected RCODE SERVFAIL) resolving 'improveyourself.gratuitcfree.com/AAAA/IN': 213.251.188.141#53
Feb 11 10:48:20 srv1 named[20967]: error (unexpected RCODE SERVFAIL) resolving 'improveyourself.gratuitcfree.com/AAAA/IN': 213.251.188.141#53
Feb 11 10:48:20 srv1 named[20967]: error (unexpected RCODE SERVFAIL) resolving 'improveyourself.gratuitcfree.com/AAAA/IN': 213.251.188.141#53
Feb 11 10:48:20 srv1 named[20967]: error (unexpected RCODE SERVFAIL) resolving 'improveyourself.gratuitcfree.com/AAAA/IN': 213.251.188.141#53
Feb 11 10:48:20 srv1 named[20967]: error (unexpected RCODE SERVFAIL) resolving 'improveyourself.gratuitcfree.com/AAAA/IN': 213.251.188.141#53
==> Là gratuitcfree.com m'appartient mais jamais créé de tel sous-domaine

Feb 11 18:04:01 srv1 named[8535]: error (FORMERR) resolving 'UNTERGRUNDBAHN.COM/AAAA/IN': 66.151.181.57#53
Feb 11 18:04:01 srv1 named[8535]: error (FORMERR) resolving 'UNTERGRUNDBAHN.COM/AAAA/IN': 66.151.181.56#53
Feb 11 18:04:01 srv1 named[8535]: error (FORMERR) resolving 'PEBECO.COM/CNAME/IN': 174.37.172.170#53
Feb 11 18:04:01 srv1 named[8535]: error (FORMERR) resolving 'PEBECO.COM/CNAME/IN': 174.36.107.138#53
Feb 11 18:04:23 srv1 named[8535]: error (unexpected RCODE REFUSED) resolving 'DAILY-FRIEND.COM/A/IN': 192.96.207.142#53
Feb 11 18:04:23 srv1 named[8535]: error (unexpected RCODE REFUSED) resolving 'DAILY-FRIEND.COM/A/IN': 79.98.29.142#53
Feb 11 18:04:23 srv1 named[8535]: error (unexpected RCODE REFUSED) resolving 'DAILY-FRIEND.COM/A/IN': 79.98.25.142#53
Feb 11 18:04:23 srv1 named[8535]: error (unexpected RCODE REFUSED) resolving 'DAILY-FRIEND.COM/A/IN': 109.235.65.142#53
==> Là aucun domaine ne m'appartient.



Citation Envoyé par cassiopee
Pour xeety :

On récupère les serveurs DNS en charge de ce nom de domaine :
Code:
# whois ledomaine.com

Name Server: ns1.servage.net ( = 77.232.76.16 )
Name Server: ns2.servage.net ( = 83.168.192.66 )
Ensuite on interroge séparément chacun des serveurs DNS :

Code:
# dig @77.232.76.16 soa ledomaine.com 

;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 23338
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
Code:
# dig @83.168.192.66 soa ledomaine.com 

;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 45018
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
Donc les 2 serveurs DNS en charge de ce nom domaine
échouent à donner la moindre info sur ce nom de domaine,
résultat, ce nom de domaine est totalement inaccessible
sur Internet à l'heure actuelle (ni web, ni mail, rien)
Justement là, le problème ne se pose plus puisque au début, un ping vers ce domaine depuis le serveur retournait l'IP du serveur (ce qui fausse les résultats du monitoring). J'ai fait exprès de mettre HS le domaine pour vérifier.


Citation Envoyé par cassiopee
Pour avis2maman :

Code:
# whois ledomaine.com

Name Server: ns1.nextslash.com ( = 94.23.206.69 )
Name Server: ns2.nextslash.com ( = 213.251.188.141, aka sdns2.ovh.net )
Code:
# dig @94.23.206.69 soa ledomaine.com

ledomaine.com.		86400	IN	SOA	ns303408.ovh.net. .gmail.com. 2015010801 10800 3600 604800 10800

;; AUTHORITY SECTION:
ledomaine.com.		86400	IN	NS	ns303408.ovh.net.
ledomaine.com.		86400	IN	NS	sdns2.ovh.net.
donc déjà là, les infos données par le serveur DNS dans ce dédié
ne correspondent pas au niveau des noms donnés, même si au niveau adresses IP
correspondantes ça ira quand même. Pour être carré, mieux vaudrait rectifier
et mettre la même chose que dans l'enregistrement Whois, à savoir
"ns1.nextslash.com" et "ns2.nextslash.com" dans les 2 enregistrements "IN NS".
Je viens de le faire, lors de l'ajout d'un domaine, plesk applique la template DNS par défaut, je viens rectifier donc le problème devrait être résolu là.

Citation Envoyé par cassiopee
Enfin, si on interroge l'autre serveur DNS :

Code:
# dig @213.251.188.141 soa ledomaine.com

;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 56695
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

donc là on arrive ici à ce que je te disais précédemment à savoir
que ce serveur DNS là ne connait pas du tout ce nom domaine.

Il faut impérativement faire la déclaration dans le manager
du site web d'OVH, dans la partie "Serveur dédié" / "DNS secondaire"
(pas dans la partie "Nom de domaine" du manager)
Là j'arrive à la partie qui m'embête le plus. Est-ce que je suis dans l'obligation de déclarer tous les domaines sur le manager d'OVH ? D'après ce que je vois sur Internet, ce n'est pas le fait de pointer un quelconque domaine sur un serveur (avec NS1, NS2, etc.) doit faire l'affaire ?

Citation Envoyé par cassiopee
Et dans la configuration de Plesk, il ne faut pas oublier d'autoriser
l'adresse IP 213.251.188.141 à venir se synchroniser.

Et c'est la même situation pour gratuitcfree
Tu peux m'expliquer comment le faire stp ? (Peur de faire des bêtises sur un serveur en Prod)

Cordialement,

cassiopee
11/02/2015, 18h52
Citation Envoyé par JGSCN
Salut cassiopee

Merci pour ces explications. Je vous listes ici les différents cas:

xeety DOT com -> domaine ajouté via plesk mais qui pointe pas vers le serveur (avant il fait comme retour l'IP du serveur mais problème résolu)

avis2maman DOT com -> domaine chez un autre registrar, ajouté via plesk et utilise les NS perso

gratuitcfree DOT com -> domaine qui pointe vers le serveur avec les NS perso mais qui n'est pas ajouté via plesk (là c'est un autre problème vu que je veux que créer une page parking pour tout domaine qui pointe vers le serveur sans qu'il soit ajouté via plesk mais je pense que c'est quasi-impossible avec plesk qui tourne derrière)

Cordialement,
Pour xeety :

On récupère les serveurs DNS en charge de ce nom de domaine :
Code:
# whois ledomaine.com

Name Server: ns1.servage.net ( = 77.232.76.16 )
Name Server: ns2.servage.net ( = 83.168.192.66 )
Ensuite on interroge séparément chacun des serveurs DNS :

Code:
# dig @77.232.76.16 soa ledomaine.com 

;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 23338
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
Code:
# dig @83.168.192.66 soa ledomaine.com 

;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 45018
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
Donc les 2 serveurs DNS en charge de ce nom domaine
échouent à donner la moindre info sur ce nom de domaine,
résultat, ce nom de domaine est totalement inaccessible
sur Internet à l'heure actuelle (ni web, ni mail, rien)



Pour avis2maman :

Code:
# whois ledomaine.com

Name Server: ns1.nextslash.com ( = 94.23.206.69 )
Name Server: ns2.nextslash.com ( = 213.251.188.141, aka sdns2.ovh.net )
Code:
# dig @94.23.206.69 soa ledomaine.com

ledomaine.com.		86400	IN	SOA	ns303408.ovh.net. .gmail.com. 2015010801 10800 3600 604800 10800

;; AUTHORITY SECTION:
ledomaine.com.		86400	IN	NS	ns303408.ovh.net.
ledomaine.com.		86400	IN	NS	sdns2.ovh.net.
donc déjà là, les infos données par le serveur DNS dans ce dédié
ne correspondent pas au niveau des noms donnés, même si au niveau adresses IP
correspondantes ça ira quand même. Pour être carré, mieux vaudrait rectifier
et mettre la même chose que dans l'enregistrement Whois, à savoir
"ns1.nextslash.com" et "ns2.nextslash.com" dans les 2 enregistrements "IN NS".

Enfin, si on interroge l'autre serveur DNS :

Code:
# dig @213.251.188.141 soa ledomaine.com

;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 56695
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

donc là on arrive ici à ce que je te disais précédemment à savoir
que ce serveur DNS là ne connait pas du tout ce nom domaine.

Il faut impérativement faire la déclaration dans le manager
du site web d'OVH, dans la partie "Serveur dédié" / "DNS secondaire"
(pas dans la partie "Nom de domaine" du manager)

Et dans la configuration de Plesk, il ne faut pas oublier d'autoriser
l'adresse IP 213.251.188.141 à venir se synchroniser.



Et c'est la même situation pour gratuitcfree

Kioob
11/02/2015, 18h31
Citation Envoyé par JGSCN
Bon à priori, ça résout pas trop le problème des attaques vu que j'ai ceci dans le log:
C'est surtout que si «DOMAINE-XYZ.com» est un de tes domaines, ça n'a pas vraiment l'air d'être une attaque. Comme l'indique cassiopee 213.251.188.141 c'est le serveur DNS secondaire d'OVH.
Un simple soucis de synchronisation, tu n'aurais pas déclarer «wherecanidownloadmovies.DOMAINE-XYZ.com» dans le manager OVH ?

JGSCN
11/02/2015, 13h02
Salut cassiopee

Merci pour ces explications. Je vous listes ici les différents cas:

xeety DOT com -> domaine ajouté via plesk mais qui pointe pas vers le serveur (avant il fait comme retour l'IP du serveur mais problème résolu)

avis2maman DOT com -> domaine chez un autre registrar, ajouté via plesk et utilise les NS perso

gratuitcfree DOT com -> domaine qui pointe vers le serveur avec les NS perso mais qui n'est pas ajouté via plesk (là c'est un autre problème vu que je veux que créer une page parking pour tout domaine qui pointe vers le serveur sans qu'il soit ajouté via plesk mais je pense que c'est quasi-impossible avec plesk qui tourne derrière)

Cordialement,

cassiopee
11/02/2015, 12h03
Citation Envoyé par JGSCN
En fait, j'utilise des serveurs NS personnalisés, J'ai configuré ceci sur le manager d'OVH (Glue record, etc..) pour que je puisse utiliser ns1.ABCDEF.com et ns2.ABCDEF.com

Les autres noms de domaine sont chez plusieurs autres registrars donc je mets seulement les NS perso (NS1.ABCDEF.com et NS2.ABCDEF.com) et j'ajoutes les domaines via plesk pour que ça soit fonctionnel.
Si comme je le crois, "ns2.ABCDEF.com" pointe en fait sur l'adresse IP de "sdns2.ovh.net", à savoir 213.251.188.141,
alors ça ne peut pas fonctionner ainsi. ça donne l'impression que ça fonctionne mais il n'en est rien.

Plus précisément, cela fonctionne mais à 50%, si on tombe sur le bon serveur DNS (ns1.ABCDEF.com), ça va marcher
normalement mais pas avec l'autre.

Pour que ça fonctionne à 100%, il faut faire la déclaration du nom de domaine en question dans le manager
du site web d'OVH (et c'est totalement indépendant du registrar du nom de domaine).

Sans cela, le serveur "ns2.ABCEF.com", aka sdns2.ovh.net, ne sait pas qu'il doit gérer en DNS secondaire ce nom de domaine.

Si tu peux indiquer un seul nom de domaine ainsi géré, on pourra tester et confirmer/infirmer.

Si tu as peur que ton message ici ne soit réfrencé par Google, il suffit de "coder" le nom de domaine,
par exemple écrire "totoPOINTfr" au lieu de "toto.fr".

JGSCN
11/02/2015, 11h13
Bon à priori, ça résout pas trop le problème des attaques vu que j'ai ceci dans le log:


Feb 11 11:54:38 srv1 named[20967]: error (unexpected RCODE SERVFAIL) resolving 'wherecanidownloadmovies.DOMAINE-XYZ.com/A/IN': 213.251.188.141#53
Feb 11 11:54:38 srv1 named[20967]: error (unexpected RCODE SERVFAIL) resolving 'wherecanidownloadmovies.DOMAINE-XYZ.com/A/IN': 213.251.188.141#53
Feb 11 11:54:38 srv1 named[20967]: error (unexpected RCODE SERVFAIL) resolving 'wherecanidownloadmovies.DOMAINE-XYZ.com/A/IN': 213.251.188.141#53
Feb 11 11:54:38 srv1 named[20967]: error (unexpected RCODE SERVFAIL) resolving 'wherecanidownloadmovies.DOMAINE-XYZ.com/A/IN': 213.251.188.141#53

À noter que DOMAINE-XYZ.com m'appartient, qu'il pointe sur les serveurs NS ns1.ABCDEF.com et ns2.ABCDEF.com et qu'il n'est pas ajouté via plesk.

Cordialement,

JGSCN
11/02/2015, 10h48
Bonjour,

Citation Envoyé par cassiopee
Les noms de domaines en question sont-ils déclarés dans le manager du site web d'OVH ?
(dans la partie "Serveur dédié" / "DNS secondaire", pas dans la partie "Nom de domaine" du manager)

En effet, il ne suffit pas de dire dans la zone DNS de Plesk que les serveurs DNS sont "nsxxxxxx.ovh.net"
et "sdns2.ovh.net" pour que ce dernier soit au courant qu'il doit gérer tel ou tel nom de domaine.

Il faut le lui dire explicitement dans le manager du site web d'OVH.
(c'est à faire pour chaque nom de domaine ainsi géré)

Et si c'est déjà fait, au niveau de Plesk, il faut sans doute autoriser l'adresse IP de sdns2.ovh.net,
à savoir "213.251.188.141", à venir se synchroniser avec le serveur DNS maître (nsXXXX.ovh.net)
sinon le pauvre va se voir refuser l'accès. Il ne pourra pas se synchroniser avec le serveur DNS
maître et va donc re-essayer encore et encore en vain.

En fait, j'utilise des serveurs NS personnalisés, J'ai configuré ceci sur le manager d'OVH (Glue record, etc..) pour que je puisse utiliser ns1.ABCDEF.com et ns2.ABCDEF.com

Les autres noms de domaine sont chez plusieurs autres registrars donc je mets seulement les NS perso (NS1.ABCDEF.com et NS2.ABCDEF.com) et j'ajoutes les domaines via plesk pour que ça soit fonctionnel.


Citation Envoyé par Kioob
D'où le «recursion no» que je t'indiquais de mettre dans ta conf Bind. Ainsi ton serveur sera uniquement serveur DNS autoritaire, et ne répondra plus aux requêtes «illégitimes».
Je viens de le mettre le recursion no dans la conf Bind. J'attends de voir si les attaques disparaissent ou pas.

options {
recursion no ;
};
Merci pour l'aide

Kioob
11/02/2015, 00h04
Citation Envoyé par JGSCN
En retirant la ligne nameserv 127.0.0.1 ça marche, le nom de domaine ne répond pas donc tout a l'air bon là mis à part le spam de requêtes que je reçois depuis deux jours mais là c'est plutôt du coté de la sécurité que je dois regarder, enfin je pense !
D'où le «recursion no» que je t'indiquais de mettre dans ta conf Bind. Ainsi ton serveur sera uniquement serveur DNS autoritaire, et ne répondra plus aux requêtes «illégitimes».

cassiopee
10/02/2015, 22h39
Les noms de domaines en question sont-ils déclarés dans le manager du site web d'OVH ?
(dans la partie "Serveur dédié" / "DNS secondaire", pas dans la partie "Nom de domaine" du manager)

En effet, il ne suffit pas de dire dans la zone DNS de Plesk que les serveurs DNS sont "nsxxxxxx.ovh.net"
et "sdns2.ovh.net" pour que ce dernier soit au courant qu'il doit gérer tel ou tel nom de domaine.

Il faut le lui dire explicitement dans le manager du site web d'OVH.
(c'est à faire pour chaque nom de domaine ainsi géré)

Et si c'est déjà fait, au niveau de Plesk, il faut sans doute autoriser l'adresse IP de sdns2.ovh.net,
à savoir "213.251.188.141", à venir se synchroniser avec le serveur DNS maître (nsXXXX.ovh.net)
sinon le pauvre va se voir refuser l'accès. Il ne pourra pas se synchroniser avec le serveur DNS
maître et va donc re-essayer encore et encore en vain.

JGSCN
10/02/2015, 20h38
Citation Envoyé par janus57
Bonjour,

faudrait voir ce que plesk touche et surtout comment il config tout ça.

J'ai jamais touché avec plesk mais les peu de panel que j'ai essayé (R3, ISPConfig et Virtualmin) je n'ai jamais eu ce genre de problème, et encore moins avec une Debian "nue".

Faudrait peut être aussi voir avec le support plesk si y a pas un problème (à mes yeux plesk est propriétaire et surtout parasitaire pour le système et trop cher aussi).

Cordialement, janus57
Malheureusement, je suis assez calé coté système pour bosser sans plesk ou un autre panel, c'est pour cela. Sinon ça me parait un peu bizarre que ça soit à cause de Plesk mais surement la template DNS appliquée sur le domaine quand il est ajouté via le panel. Voici la template appliquée quand on ajoute un domaine:
. NS sdns2.ovh.net.
. NS nsxxxxxx.ovh.net.
. A
. MX (10) mail..
. TXT v=spf1 ptr mx ip4:XXXXXXX ip4:YYYYYYY ip4:ZZZZZZZ include:aspmx.googlemail.com ~all
/ 24 PTR .
ftp.. CNAME .
imap.. A
mail.. A
ns.. A
pop.. A
pop3.. A
smtp.. A
webmail.. A

Citation Envoyé par Kioob
Ton /etc/resolv.conf, tu devrais supprimer la ligne 127.0.0.1.

Par contre, c'est moi où ton serveur DNS est un résolveur publique ?
Tu devrais probablement coller un «recursion no;» dans ta conf Bind.
En fait, j'ai configuré un domaine sur le même serveur (disons un domaine principal - ns1.ABCDEF.com et ns2.ABCDEF.com) que j'utilise comme serveur DNS
pour pointer les autres noms de domaine.

En retirant la ligne nameserv 127.0.0.1 ça marche, le nom de domaine ne répond pas donc tout a l'air bon là mis à part le spam de requêtes que je reçois depuis deux jours mais là c'est plutôt du coté de la sécurité que je dois regarder, enfin je pense !

Merci encore pour votre aide les gars! J'ai vraiment bien avancé en quelques jours grâce à vous.

Cordialement,

Kioob
10/02/2015, 13h38
Ton /etc/resolv.conf, tu devrais supprimer la ligne 127.0.0.1.

Par contre, c'est moi où ton serveur DNS est un résolveur publique ?
Tu devrais probablement coller un «recursion no;» dans ta conf Bind.

janus57
10/02/2015, 12h25
Bonjour,

faudrait voir ce que plesk touche et surtout comment il config tout ça.

J'ai jamais touché avec plesk mais les peu de panel que j'ai essayé (R3, ISPConfig et Virtualmin) je n'ai jamais eu ce genre de problème, et encore moins avec une Debian "nue".

Faudrait peut être aussi voir avec le support plesk si y a pas un problème (à mes yeux plesk est propriétaire et surtout parasitaire pour le système et trop cher aussi).

Cordialement, janus57

JGSCN
10/02/2015, 12h16
Hello

Justement, c'est ce qui m'arrive depuis 2 jours. Je me fais spammer avec des requêtes DNS.

voici un extrait du log:
Feb 10 13:11:59 srv1 named[20967]: error (unexpected RCODE REFUSED) resolving 'www.XYZ.com/A/IN': 213.251.188.141#53
Feb 10 13:11:59 srv1 named[20967]: error (unexpected RCODE REFUSED) resolving 'www.XYZ.com/A/IN': 213.251.188.141#53
.......
Là mon /etc/resolv.conf contient la config suivante:
nameserver 127.0.0.1
nameserver 213.186.33.99
nameserver 8.8.8.8
Et en même temps, un domaine qui est ajouté sur le serveur via plesk et qui ne pointe pas sur la bonne IP donne comme retour l'IP principale du serveur, ce qui ne doit pas être le cas.

Là normalement je dois voir du coté de la config de la template DNS c'est bien ça ?

Cordialement,

janus57
09/02/2015, 11h51
Citation Envoyé par Kioob
janus57 : perso de ce que je comprends, son problème est que si son serveur DNS local est déclaré comme autoritaire d'un domaine, alors un ping va utiliser les informations de ce serveur, potentiellement à tord.
Genre, dans ton serveur DNS, si tu déclares la zone «facebook.com», il y a de grandes chances pour qu'un «ping api.facebook.com» ne retourne pas ce que tu veuilles... De plus, tu exposes potentiellement ton serveur DNS autoritaire à du «DNS poisoning».

Du coup, il est généralement déconseillé d'utiliser un serveur DNS autoritaire en guise de résolveur.
Bonjour,

je ne gère pas mes zones DNS sur mon/mes serveurs, je laisse mon registrar gérer le tout (chez OVH cela permet d'activer DNSSEC en 1 clic), et si je laisse le registrar gérer c'est pour me faciliter la vie, moins chiant, moins de problème et 1service en moins qui écoute sur le serveur (force bind à écouter sur localhost pour faire du cache DNS).

Sinon j'ai vu pas mal de tuto qui disent qu'il est possible de faire DNS maitre (autoritaire) + cache et visiblement c'est le comportement par défaut de tout serveur DNS.

Après comme tu l'a si bien dit faut aussi voir sa config DNS, si il a un wildcard sur ABCDEF.com qu'il utilise son propre serveur en cache ou pas il va quand même se faire spam de requête pour des sous-domaine qui n'existe pas et le serveur répondra à toute les demandes.
Sinon faudrait aussi vérifier que sa config a bien été corrigé partout et qu'il reste pas des "résidus" de "serv1.ABCDEF.com".

Perso j'avais déjà eu la même merde avec apache + un FQDN en hostname, et effectivement une fois le hostname corrigé partout cela c'est remis à fonctionner normalement, parfois un simple petit oublie (genre si il a changé le hostname avec la commande du même nom, si il a pas oublié de rendre ce hostname permanent via le fichier et reload le hostname sur le serveur).

Cordialement, janus57

Kioob
09/02/2015, 11h34
janus57 : perso de ce que je comprends, son problème est que si son serveur DNS local est déclaré comme autoritaire d'un domaine, alors un ping va utiliser les informations de ce serveur, potentiellement à tord.
Genre, dans ton serveur DNS, si tu déclares la zone «facebook.com», il y a de grandes chances pour qu'un «ping api.facebook.com» ne retourne pas ce que tu veuilles... De plus, tu exposes potentiellement ton serveur DNS autoritaire à du «DNS poisoning».

Du coup, il est généralement déconseillé d'utiliser un serveur DNS autoritaire en guise de résolveur.

janus57
09/02/2015, 11h15
Bonjour,

Là ça me crée un nouveau conflit comme j'ai dit précédemment, si un domaine est ajouté sur le serveur mais qui ne pointe pas vers celui-ci, le ping se déroule à priori en local et j'ai un retour IP alors que réellement ce n'est pas le cas. Y a-t-il solution pour ça ?
non, si le hostname a bien été corrigé et pris en compte partout ce problème ne doit pas survenir, du moins sur mes Debian ce n'est pas le cas, après faut aussi voir votre config DNS si y a pas des wildcard quelque part.

Perso sur tout mes dédié/vps j'utilise mon bind9 en serveur DNS de cache, jamais eu ce problème.

EDIT :
Exemple concret avec un KS :
Code:
root@janus57-experiment:~# cat /etc/hostname
janus57-experiment.tld
root@janus57-experiment:~# ping fuckingdomain.fr
ping: unknown host fuckingdomain.fr
root@janus57-experiment:~# host fuckingnomdomaine.fr
Host fuckingnomdomaine.fr not found: 3(NXDOMAIN)
root@janus57-experiment:~# dig fuckingnomdomaine.fr

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> fuckingnomdomaine.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 50833
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;fuckingnomdomaine.fr.          IN      A

;; AUTHORITY SECTION:
fr.                     5329    IN      SOA     nsmaster.nic.fr. hostmaster.nic.fr. 2222656705 3600 1800 3600000 5400

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon Feb  9 12:34:04 2015
;; MSG SIZE  rcvd: 98

root@janus57-experiment:~# cat /etc/resolv.conf
nameserver 127.0.0.1
nameserver 213.186.33.99
nameserver 8.8.8.8
Et pourtant ce KS de test est relativement mal config niveau hostname

Et voilà un exemple resolveur local vs resolveur google :
Code:
root@janus57-experiment:~# dig @127.0.0.1 ovh.net | grep time
;; Query time: 0 msec
Code:
root@janus57-experiment:~# dig @8.8.8.8 ovh.net | grep time
;; Query time: 10 msec
root@janus57-experiment:~# dig @8.8.8.8 ovh.net | grep time
;; Query time: 5 msec
root@janus57-experiment:~# dig @8.8.8.8 ovh.net | grep time
;; Query time: 5 msec
Et voilà avec le resolveur OVH :
Code:
root@janus57-experiment:~# dig @213.186.33.99 ovh.net | grep time
;; Query time: 1 msec
root@janus57-experiment:~# dig @213.186.33.99 ovh.net | grep time
;; Query time: 1 msec
root@janus57-experiment:~# dig @213.186.33.99 ovh.net | grep time
;; Query time: 1 msec
Ce qui explique l'ordre de résolution dans mon /etc/resolv.conf

Cordialement, janus57

Kioob
09/02/2015, 10h59
Citation Envoyé par JGSCN
Là ça me crée un nouveau conflit comme j'ai dit précédemment, si un domaine est ajouté sur le serveur mais qui ne pointe pas vers celui-ci, le ping se déroule à priori en local et j'ai un retour IP alors que réellement ce n'est pas le cas. Y a-t-il solution pour ça ?
Oui, utiliser le résolveur DNS fourni par OVH : 213.186.33.99

JGSCN
09/02/2015, 10h07
Citation Envoyé par janus57
Très mauvaise idée, car les résolution DNS se feront chez google et donc en plusieurs ms plutôt que en 0-1ms si le resolveur est le resolveur local.
Là ça me crée un nouveau conflit comme j'ai dit précédemment, si un domaine est ajouté sur le serveur mais qui ne pointe pas vers celui-ci, le ping se déroule à priori en local et j'ai un retour IP alors que réellement ce n'est pas le cas. Y a-t-il solution pour ça ?


Citation Envoyé par Kioob
Pour ma part, c'est un comportement que j'ai découvert à grand coup d'strace, donc je suis loin d'être sûr de moi, mais de ce que j'ai compris d'après la doc mettre un FQDN en hostname est une erreur, que les systèmes récents essayent de gérer malgré tout.
La solution choisie semble être de scinder ce FQDN en deux, d'utiliser l'hostname effectif, et d'utiliser le reste, le «domaine», en tant que de domaine de recherche DNS. Et pour peu qu'il y ait un wildcard DNS derrière, ça répond à toutes les demandes.

Je ne pourrais guère en dire plus... à la limite, regarde le résultat d'un «strace -s80 ping foo.bar», avec et sans l'erreur dans l'hostname.
Merci, ça donne déjà une bonne idée sur l'origine du problème (y)

Bonne journée à tous !

Kioob
08/02/2015, 16h46
Citation Envoyé par JGSCN
Techniquement, comment ça marche ?
Pour ma part, c'est un comportement que j'ai découvert à grand coup d'strace, donc je suis loin d'être sûr de moi, mais de ce que j'ai compris d'après la doc mettre un FQDN en hostname est une erreur, que les systèmes récents essayent de gérer malgré tout.
La solution choisie semble être de scinder ce FQDN en deux, d'utiliser l'hostname effectif, et d'utiliser le reste, le «domaine», en tant que de domaine de recherche DNS. Et pour peu qu'il y ait un wildcard DNS derrière, ça répond à toutes les demandes.

Je ne pourrais guère en dire plus... à la limite, regarde le résultat d'un «strace -s80 ping foo.bar», avec et sans l'erreur dans l'hostname.

janus57
08/02/2015, 00h16
Bonjour,

Par ailleurs, je viens de modifier le fichier resolv.conf pour mettre les DNS de google (8.8.8.8 et 8.8.4.4)
Très mauvaise idée, car les résolution DNS se feront chez google et donc en plusieurs ms plutôt que en 0-1ms si le resolveur est le resolveur local.

Le mieux est de laisser le fichier resolv.conf comme il était, voir même de rajouter le DNS de OVH dans le tas ou cas où.

Cordialement, janus57

JGSCN
07/02/2015, 22h59
Merci beaucoup ! Ça marche là.

Par ailleurs, je viens de modifier le fichier resolv.conf pour mettre les DNS de google (8.8.8.8 et 8.8.4.4), ceci est pour éviter qu'un retour soit donné si je ping un domaine que j'ai ajouté via plesk mais qui ne pointe pas sur le serveur. Et tout ça m'a l'air fonctionnel là.

Merci encore

Juste une dernière petite demande si vous avez un petit peu de temps, serait-il possible de m'expliquer ici ou par MP les détails de ce message :

C'est donc la source du problème : ton hostname devrait être court, c'est à dire uniquement «srv1», sans le .ABCDEF.com derrière.

En l'état, quand tu fais une recherche DNS vers «foo», si «foo» n'est pas trouvé ça lance ensuite une recherche vers «foo.ABCDEF.com».
Techniquement, comment ça marche ?

Cordialement,

Kioob
07/02/2015, 20h56
Seulement /etc/sysconfig/network.

Le fichier /etc/hosts doit contenir les deux, le nom court et le FQDN («fully qualified domain name»).
C'est à dire, sur la même ligne : 94.23.X.Y srv1.ABCDEF.com srv1

Et pour appliquer de suite le changement d'hostname, on peut utiliser la commande «hostname» : "hostname srv1", puis deco/reco d'SSH.

JGSCN
07/02/2015, 19h07
Bonsoir Kioob,

Donc, si j'ai bien compris, il faudrait que je change le contenu du fichier network (/etc/sysconfig/network) en mettant HOSTANEM=srv1 au lieu de srv1.ABCDEF.com

De plus, je dois modifier le fichier hosts (/etc/hosts) en remplaçant la ligne "94.23.xxx.xxx srv1.ABCDEF.com" par "94.23.xxx.xxx srv1" ?

Merci encore pour votre aide et désolé si mes questions paraissent un peu insistantes, je veux pas faire des conneries sur le serveur, il est en prod.

Cordialement,

Kioob
07/02/2015, 12h05
C'est donc la source du problème : ton hostname devrait être court, c'est à dire uniquement «srv1», sans le .ABCDEF.com derrière.

En l'état, quand tu fais une recherche DNS vers «foo», si «foo» n'est pas trouvé ça lance ensuite une recherche vers «foo.ABCDEF.com».

JGSCN
07/02/2015, 00h06
Salut Kioob,

Je ne sais pas si c'est normal ou non mais voilà le résultat

# cat /etc/hostname
cat: /etc/hostname: Aucun fichier ou dossier de ce type
sinon, j'ai ça:
# cat /etc/sysconfig/network
HOSTNAME=srv1.ABCDEF.com
NETWORKING=yes
NOZEROCONF=true
GATEWAY=94.23.xxx.254
NETWORKING_IPV6=yes
et là

# hostname
srv1.ABCDEF.com
cdt,

Kioob
06/02/2015, 23h49
La dernière fois que j'ai vu ce cas sur la mailing list, c'était parce que l'hostname du serveur était en «toto.com».

"cat /etc/hostname" ?

JGSCN
06/02/2015, 22h57
Hello

# cat /etc/resolv.conf
nameserver 127.0.0.1
nameserver 94.23.xxx.xxx


# dig fuckingnomdomaine.fr

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.el6_6.1 <<>> fuckingnomdomaine.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 15756
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;fuckingnomdomaine.fr. IN A

;; AUTHORITY SECTION:
fr. 5400 IN SOA nsmaster.nic.fr. hostmaster.nic.fr. 2222656341 3600 1800 3600000 5400

;; Query time: 8 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Fri Feb 6 23:52:49 2015
;; MSG SIZE rcvd: 98
# host fuckingnomdomaine.fr
Host fuckingnomdomaine.fr not found: 3(NXDOMAIN)
# ping fuckingdomain.fr
PING ABCDEF.com (94.23.xxx.xxx) 56(84) bytes of data.
64 bytes from srv1.ABCDEF.com (94.23.xxx.xxx): icmp_seq=1 ttl=64 time=0.016 ms
à noter que srv1.ABCDEF.com est le nom du serveur dédié (j'ai remplacé le nsxxxxx.ovh.net), j'utilise les serveurs DNS NS1.ABCDEF.com et NS2.ABCDEF.com (au lieu des serveurs NS fournis par OVH).

Voilà voilà

Kioob
06/02/2015, 22h46
Bonjour,

tu n'aurais pas simplement une entrée «search» dans ton /etc/resolv.conf ? Si bien qu'une recherche vers «foo.bar» déclenche «foo.bar.tondomain.tld», et pour peu que tu y ais mis un wildcard, ça match à tous les coups.

captainadmin
06/02/2015, 21h30
Hello,

Ca veut dire quoi exactement avoir comme retour l'ip du serveur ?
Est-ce que tu peux nous envoyer les logs de tes pings en remplaçant ton ip

il faut essayer d'autres commandes
host fuckingnomdomaine.fr
dig fuckingnomdomaine.fr

etc ...

Bon courage
http://www.captainadmin.com

janus57
06/02/2015, 18h10
Bonjour,

si je comprend bien si vous lancer un ping depuis votre serveur dédié vers par exemple "fuckingnomdomaine.fr" cela vous retourne l'ip de votre dédié ?

Que contient /etc/resolv.conf ?
que donne : dig fuckingnomdomaine.fr

Cordialement, janus57

JGSCN
06/02/2015, 17h51
Bonsoir,

Après plusieurs jours de recherche, tests, etc... je viens vers vous en espérant trouver une aide qui pourrait résoudre mon problème.

En effet, pour faire simple, quand je ping n'importe quoi d'inexistant depuis mon serveur, j'ai comme retour l'IP du serveur. Par exemple, je lance un ping (ping ceciestundomainequinexisteabsolumentpas.com), le retour est l'IP du serveur.

Quand je ping un domaine existant (par exemple google.com), j'ai un retour correct avec une IP Google.

J'ai procédé par élimination en mettant down apache, plesk, bind, iptables, etc. en effectuant à chaque fois un ping vers un nom de domaine inexistant et toujours le retour est l'IP du serveur.

Le fichier /etc/hosts est clean, pareil pour resolv.conf

Quelqu'un a-t-il eu un tel problème ? Quelqu'un pourrait-il me dire où chercher pour corriger ce prob ?

Merci d'avance.


PS: même en effectuant un ping blablabla (ping abcdefgh) ça me retourne l'IP du serveur.
PS2: Le serveur est un dédié de chez OVH avec Centos 6.5 et Plesk 12