OVH Community, votre nouvel espace communautaire.

Erreur Bind9


helas
30/04/2015, 15h34
Citation Envoyé par janus57
Bonjour,

dans votre script iptable vous laissez bien le trafic sur l port 53 en UDP/TCP sortir ?

Perso j'utilise 0 script iptable, 0 problème et fail2ban se gère des différentes surveillance logiciel, jamais eu de problème lié à iptable du coup.

Cordialement, janus57
iptables -A INPUT -p udp --source-port 53 -j ACCEPT
iptables -A OUTPUT -p udp --destination-port 53 -j ACCEPT
iptables -A INPUT -p tcp --source-port 53 -j ACCEPT
iptables -A OUTPUT -p tcp --destination-port 53 -j ACCEPT

janus57
30/04/2015, 14h57
Bonjour,

dans votre script iptable vous laissez bien le trafic sur l port 53 en UDP/TCP sortir ?

Perso j'utilise 0 script iptable, 0 problème et fail2ban se gère des différentes surveillance logiciel, jamais eu de problème lié à iptable du coup.

Cordialement, janus57

helas
30/04/2015, 14h29
D'accord merci bien de l'aide.

EDIT:

le problème est toujours présent et c'est quand j'applique mon script iptable et quand je lance une update linux

janus57
30/04/2015, 13h12
Bonjour,

si tu es sous Debian Wheezy c'est quoi le contenu de ce fichier : /etc/bind/named.conf.options

Perso j'ai ceci pour faire du cache DNS :
Code:
options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

        forwarders {
                // google DNS
                8.8.8.8;
                8.8.4.4;
                // OVH DNS
                213.186.33.99;
        };

        //========================================================================
        // If BIND logs error messages about the root key being expired,
        // you will need to update your keys.  See https://www.isc.org/bind-keys
        //========================================================================
        dnssec-validation auto;

        //Begin  Security options
        listen-on port 53 { 127.0.0.1; };
        allow-query { 127.0.0.1; };
        allow-recursion { 127.0.0.1; };
        allow-transfer { none; };
        //End Security options

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { ::1; };
};
Code:
root@server:~# cat /etc/resolv.conf
nameserver 127.0.0.1
nameserver 213.186.33.99
nameserver 8.8.8.8
nameserver 8.8.4.4
Code:
root@****:~# dig ftp.debian.org

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> ftp.debian.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20637
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 13, ADDITIONAL: 0

;; QUESTION SECTION:
;ftp.debian.org.                        IN      A

;; ANSWER SECTION:
ftp.debian.org.         157     IN      A       130.89.148.12

;; AUTHORITY SECTION:
.                       3218    IN      NS      m.root-servers.net.
.                       3218    IN      NS      a.root-servers.net.
.                       3218    IN      NS      c.root-servers.net.
.                       3218    IN      NS      l.root-servers.net.
.                       3218    IN      NS      j.root-servers.net.
.                       3218    IN      NS      b.root-servers.net.
.                       3218    IN      NS      g.root-servers.net.
.                       3218    IN      NS      e.root-servers.net.
.                       3218    IN      NS      i.root-servers.net.
.                       3218    IN      NS      k.root-servers.net.
.                       3218    IN      NS      d.root-servers.net.
.                       3218    IN      NS      h.root-servers.net.
.                       3218    IN      NS      f.root-servers.net.

;; Query time: 57 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Apr 30 14:11:47 2015
;; MSG SIZE  rcvd: 259

root@****:~# dig ftp.debian.org

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> ftp.debian.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44537
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 13, ADDITIONAL: 0

;; QUESTION SECTION:
;ftp.debian.org.                        IN      A

;; ANSWER SECTION:
ftp.debian.org.         145     IN      A       130.89.148.12

;; AUTHORITY SECTION:
.                       3206    IN      NS      g.root-servers.net.
.                       3206    IN      NS      b.root-servers.net.
.                       3206    IN      NS      l.root-servers.net.
.                       3206    IN      NS      k.root-servers.net.
.                       3206    IN      NS      m.root-servers.net.
.                       3206    IN      NS      d.root-servers.net.
.                       3206    IN      NS      j.root-servers.net.
.                       3206    IN      NS      c.root-servers.net.
.                       3206    IN      NS      i.root-servers.net.
.                       3206    IN      NS      a.root-servers.net.
.                       3206    IN      NS      f.root-servers.net.
.                       3206    IN      NS      e.root-servers.net.
.                       3206    IN      NS      h.root-servers.net.

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Apr 30 14:11:59 2015
;; MSG SIZE  rcvd: 259
Sinon j'ai aussi ce genre d'erreur :
Code:
named[32381]: error (network unreachable) resolving 'dns2.jxnc.cncnet.net/A/IN': 2001:503:a83e::2:30#53
Mais perso sa m'inquiète pas plus que ça vu que les aléa réseau sa peu arriver et en générale bind9 va taper sur un autre serveur pour avoir les infos.

Cordialement, janus57

Nowwhat
30/04/2015, 12h48
Citation Envoyé par helas
root@vps123161:~# named-checkconf -z
zone localhost/IN: loaded serial 2
zone 127.in-addr.arpa/IN: loaded serial 1
zone 0.in-addr.arpa/IN: loaded serial 1
zone 255.in-addr.arpa/IN: loaded serial 1
Ceci me dit que bind9 ne travaille uniquement en mode 'cache DNS local'.

bind ne s'occupe pas du tout des tes "nom de domaines" (si t'en as).

Tout est ok.

Pour le log : "T.T.E.F."

helas
30/04/2015, 12h21
Citation Envoyé par janus57
Bonjour,

ici je sais pas si une réinstalle ou un changement de config va faire grand chose vu que c'est le VPS qui n'arrive pas à contacter différentes IP.
Cf :

Par contre c'est quoi la config de bind9 ?
Il est config en tant que cache DNS ?

Cordialement, janus57
Config de base ...

Citation Envoyé par Nowwhat
Puis, avant de poser même une question, exécute d'abord:
named-checkconf -z
tant que ça quine pas ... c'est ok.
root@vps123161:~# named-checkconf -z
zone localhost/IN: loaded serial 2
zone 127.in-addr.arpa/IN: loaded serial 1
zone 0.in-addr.arpa/IN: loaded serial 1
zone 255.in-addr.arpa/IN: loaded serial 1

Nowwhat
30/04/2015, 11h17
Puis, avant de poser même une question, exécute d'abord:
named-checkconf -z
tant que ça quine pas ... c'est ok.

janus57
30/04/2015, 11h10
Bonjour,

ici je sais pas si une réinstalle ou un changement de config va faire grand chose vu que c'est le VPS qui n'arrive pas à contacter différentes IP.
Cf :
error (host unreachable)
Par contre c'est quoi la config de bind9 ?
Il est config en tant que cache DNS ?

Cordialement, janus57

helas
30/04/2015, 10h31
Bonjour,

J'ai quelque problème dans les logs avec bind9, j'ai déjà essayé de réinstaller le service, modifier comme l'expliquer sur internet mais sans succès.

Code:
Apr 30 02:51:01 vps123161 named[4045]: error (host unreachable) resolving './DNSKEY/IN': 199.7.91.13#53
Apr 30 02:51:01 vps123161 named[4045]: error (host unreachable) resolving './DNSKEY/IN': 192.112.36.4#53
Apr 30 02:51:01 vps123161 named[4045]: error (host unreachable) resolving './DNSKEY/IN': 192.33.4.12#53
Apr 30 02:51:01 vps123161 named[4045]: error (host unreachable) resolving './DNSKEY/IN': 202.12.27.33#53
Apr 30 02:51:01 vps123161 named[4045]: error (host unreachable) resolving './DNSKEY/IN': 192.228.79.201#53
Apr 30 02:51:01 vps123161 named[4045]: error (host unreachable) resolving 'netmon-1-gra.ovh.net/A/IN': 213.251.128.134#53
Apr 30 02:51:01 vps123161 named[4045]: error (host unreachable) resolving 'netmon-1-gra.ovh.net/A/IN': 213.251.188.132#53
Apr 30 02:51:01 vps123161 named[4045]: error (host unreachable) resolving 'ovh.net/DS/IN': 192.52.178.30#53
Apr 30 02:51:01 vps123161 named[4045]: error (host unreachable) resolving 'ovh.net/DS/IN': 192.26.92.30#53
Apr 30 02:51:01 vps123161 named[4045]: error (host unreachable) resolving 'ovh.net/DS/IN': 192.43.172.30#53
Apr 30 02:51:01 vps123161 named[4045]: error (host unreachable) resolving 'ovh.net/DS/IN': 192.41.162.30#53
Apr 30 02:51:01 vps123161 named[4045]: error (host unreachable) resolving 'net/DNSKEY/IN': 192.33.14.30#53
Apr 30 02:51:01 vps123161 named[4045]: error (host unreachable) resolving 'net/DNSKEY/IN': 192.35.51.30#53
Apr 30 02:51:01 vps123161 named[4045]: error (host unreachable) resolving 'net/DNSKEY/IN': 192.31.80.30#53
Apr 30 02:51:01 vps123161 named[4045]: error (host unreachable) resolving 'net/DNSKEY/IN': 192.12.94.30#53
Apr 30 02:51:01 vps123161 named[4045]: error (host unreachable) resolving 'net/DNSKEY/IN': 192.55.83.30#53
Apr 30 02:51:01 vps123161 named[4045]: error (host unreachable) resolving 'net/DNSKEY/IN': 192.48.79.30#53
Apr 30 02:51:01 vps123161 named[4045]: error (host unreachable) resolving 'net/DNSKEY/IN': 192.42.93.30#53
Apr 30 02:51:01 vps123161 named[4045]: error (host unreachable) resolving 'net/DNSKEY/IN': 192.5.6.30#53
Apr 30 02:51:01 vps123161 named[4045]: error (host unreachable) resolving 'net/DNSKEY/IN': 192.54.112.30#53
Apr 30 02:51:01 vps123161 named[4045]: error (host unreachable) resolving 'net/DNSKEY/IN': 192.26.92.30#53
Apr 30 02:51:01 vps123161 named[4045]: error (host unreachable) resolving 'net/DNSKEY/IN': 192.43.172.30#53
Apr 30 02:51:01 vps123161 named[4045]: error (host unreachable) resolving 'net/DNSKEY/IN': 192.52.178.30#53
Apr 30 02:51:01 vps123161 named[4045]: error (host unreachable) resolving 'net/DNSKEY/IN': 192.41.162.30#53
Apr 30 02:51:01 vps123161 named[4045]: error (host unreachable) resolving 'accounting.teamspeak.com/A/IN': 192.58.128.30#53
Apr 30 02:51:01 vps123161 named[4045]: error (host unreachable) resolving 'com/DS/IN': 198.41.0.4#53
Apr 30 02:51:01 vps123161 named[4045]: error (host unreachable) resolving 'com/DS/IN': 128.63.2.53#53
Apr 30 02:52:58 vps123161 named[4045]: success resolving 'ftp.debian.org/AAAA' (in 'debian.org'?) after reducing the advertised EDNS UDP packet size to 512 octets
Apr 30 02:52:58 vps123161 named[4045]: success resolving 'ftp.debian.org/A' (in 'debian.org'?) after reducing the advertised EDNS UDP packet size to 512 octets
Apr 30 02:53:00 vps123161 named[4045]: success resolving 'security.debian.org/AAAA' (in 'security.debian.org'?) after reducing the advertised EDNS UDP packet size to 512 octets
Apr 30 11:26:25 vps123161 named[4045]: validating @0x7fc81a6fd8f0: . NS: got insecure response; parent indicates it should be secure
Apr 30 11:26:25 vps123161 named[4045]: error (insecurity proof failed) resolving './NS/IN': 2001:500:1::803f:235#53
Apr 30 11:26:27 vps123161 named[4045]: success resolving './NS' (in '.'?) after reducing the advertised EDNS UDP packet size to 512 octets

Merci d'avance.