OVH Community, votre nouvel espace communautaire.

Sites ne répondent plus : problème DNS ?


bbr18
24/08/2015, 07h55
Ensuite pour les 2 accès (webmin+virtualmin), je trouve ça pas très normale, car si on installe virtualmin directe seul le login par le port 1000 est disponible (login qui permet un accès à virtualmin et webmin sur une même interface).
c'est l'install classique de virtualmin : port 10000 pour webmin et 20000 pour usermin
au niveau des ouvertures de ports, par défaut virtualmin autorise tout puis ouvre des ports (quel intérêt ?), je bloque tout par défaut et je n'autorise que les ports utiles

lxwfr
23/08/2015, 23h06
Bonjours, Ta vérifier tes zone DNS bien correct de ton et faite des teste de bind.
Avant d'aller plus loin dans les processus un peut complexe.

jeey
11/08/2015, 11h33
Bon, solution de contournement en utilisant les DNS de mon registrar.
Ce qui confirme bien que j'ai un vraiment un souci DNS.

Seul problème : une erreur Postfix 4.1.2 car Postfix fait appel à mon serveur DNS pour tenter de résoudre le NdD de l'expéditeur (moi) et que ça répond pas...
Ça n'empêche pas les autres de m'écrire (c'est déjà ça) mais je dois utiliser un autre mail pour m'écrire ...

jeey
10/08/2015, 22h52
Citation Envoyé par janus57
Bonjour,

comme dit plus haut j'utilise pas de script IPTables (je laisse fail2ban et autre logiciel gérer le tout cela est bien suffisant) donc je connais pas trop, la seule chose que je peu dire c'est que filtrer les w00tw00t via iptables c'est mal (surcharge de travail inutile) et que visiblement le port 53 (TCP/UDP) est bien ouvert, donc il faut chercher l'erreur côté bind9 (qui normalement gère tout seule depuis l'interface virtualmin).

Ensuite pour les 2 accès (webmin+virtualmin), je trouve ça pas très normale, car si on installe virtualmin directe seul le login par le port 1000 est disponible (login qui permet un accès à virtualmin et webmin sur une même interface).

Pour apache+nginx je dit pas, ce genre de config se fait, on met nginx en frontale (reverse-proxy+cache) et derrière apache pour le traitement PHP+.htaccess (que l'on peu directement inclure dans les VHost pour gagner en perf).

Donc maintenant je dirais qu'il faut analyser les logs (voir carrément repartir sur une installe vierge de virtualmin si y a a rien dessus).

Cordialement, janus57
Ok, j'étudie tout ça (sauf la réinstalle / Et encore que...). Merci.
Et on retourne dans Bind9

janus57
10/08/2015, 22h42
Bonjour,

comme dit plus haut j'utilise pas de script IPTables (je laisse fail2ban et autre logiciel gérer le tout cela est bien suffisant) donc je connais pas trop, la seule chose que je peu dire c'est que filtrer les w00tw00t via iptables c'est mal (surcharge de travail inutile) et que visiblement le port 53 (TCP/UDP) est bien ouvert, donc il faut chercher l'erreur côté bind9 (qui normalement gère tout seule depuis l'interface virtualmin).

Ensuite pour les 2 accès (webmin+virtualmin), je trouve ça pas très normale, car si on installe virtualmin directe seul le login par le port 1000 est disponible (login qui permet un accès à virtualmin et webmin sur une même interface).

Pour apache+nginx je dit pas, ce genre de config se fait, on met nginx en frontale (reverse-proxy+cache) et derrière apache pour le traitement PHP+.htaccess (que l'on peu directement inclure dans les VHost pour gagner en perf).

Donc maintenant je dirais qu'il faut analyser les logs (voir carrément repartir sur une installe vierge de virtualmin si y a a rien dessus).

Cordialement, janus57

jeey
10/08/2015, 22h34
Citation Envoyé par janus57
Bonjour,

que donne IPTables ?

Après un petit nmap sur votre serveur je vois que c'est un peu le bordel (apache en http+https|nginx en https sur le 444|2 serveur virtualmin sur le port 10000 et 20000 et différentes versions).

Cordialement, janus57
Rooh, pas tant que ça. Apache, c'est ce que j'utilise, nginx c'est pour tester jitsi juste.
Il n'y a pas vraiment 2 serveurs virtuamin mais Webmin sur le 10000 et Virtuamin sur le 20000

Pour Iptable, vous voulez quoi exactement ?
en gros et en vrac et en partie :
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -d 91.121.183.33/32 -p tcp -m tcp --dport 80 -m string --string "GET /w00tw00t.at.ISC.SANS." --algo bm --to 70 -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m limit --limit 10/sec -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20:21 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 143 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 995 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -m limit --limit 10/sec -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 123 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 20:21 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 143 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 995 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A fail2ban-ssh -j RETURN

janus57
10/08/2015, 22h16
Bonjour,

que donne IPTables ?

Après un petit nmap sur votre serveur je vois que c'est un peu le bordel (apache en http+https|nginx en https sur le 444|2 serveur virtualmin sur le port 10000 et 20000 et différentes versions).

Cordialement, janus57

jeey
10/08/2015, 21h14
On me conseille aussi de laisser mon registrar gérer mes DNS... Je mets ça en place pour le plus urgent et j'y réfléchis cette nuit.
N'empêche que je sais toujours pas pourquoi ça marche pas/plus et ça me chafouine !

janus57
10/08/2015, 18h50
Bonjour,

Si bind9 fonctionne bien (voir les logs + checkconf) c'est que vous avez un firewall qui bloque le 53 en UDP/TCP.

Pour la config de bind9 + tests : https://doc.ubuntu-fr.org/bind9#conf...serveur_maitre

Pour le firewall à vous de voir (quitte à purger les règles IPTables).

Perso j'utilise pas de script qui ferme les ports et je laisse le registrar gérer les DNS (2 choses de moins à gérer).

Cordialement, janus57

jeey
10/08/2015, 18h47
Citation Envoyé par janus57
Bonjour,

http://www.dnsinspect.com/moncamionc...net/1439228272
http://www.dnsinspect.com/commeuneenvie.com/1439228287
http://www.intodns.com/commeuneenvie.com
http://www.intodns.com/moncamioncommunautaire.net

Problème DNS/config, visiblement la serveur ne répond pas niveau DNS (vous avez fermé le port 53 ???).

Cordialement, janus57
Je dirais même plus :
; <<>> DiG 9 <<>> @ commeuneenvie.com A
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 63448
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;commeuneenvie.com. IN A

;; Query time: 30 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon Aug 10 19:43:38 2015
;; MSG SIZE rcvd: 35
C'est pourquoi je m'étais orienté vers des problèmes avec Bind.
Comme précisé là-haut, les ports sont bien ouverts sur le firewall. Bind tourne correctement apparemment. (mais rien n'apparait sur le port 53 quand je scanne) Qu'est ce qui pourrait bloquer encore ?

janus57
10/08/2015, 18h41
Bonjour,

http://www.dnsinspect.com/moncamionc...net/1439228272
http://www.dnsinspect.com/commeuneenvie.com/1439228287
http://www.intodns.com/commeuneenvie.com
http://www.intodns.com/moncamioncommunautaire.net

Problème DNS/config, visiblement la serveur ne répond pas niveau DNS (vous avez fermé le port 53 ???).

Cordialement, janus57

jeey
10/08/2015, 18h37
(bon ceci dit, je viens de rajouter un site dans mon hosts -le commeuneenvie.com) et ben il marche pas mieux.
Par contre, j'ai un autre site qui n'est accessible que quand je le spécifie manuellement dans mon fichier hosts.

Une idée ?

jeey
10/08/2015, 18h03
Citation Envoyé par Gaston_Phone
Si un site est accessible sur ton dédié, cela signifie pour moi que ton dédié est bien "Relié" au sens Internet à OVH.

Personnellement je comparerai les réglages d'un site en panne à ceux de celui qui fonctionne (en commençant par les DNS).
Du coup, c'est bien ce que je suis en train de vérifier, mais je ne vois pas grande différence...
Et comme je le disais, si je rentre dans le fichier hosts les paramètres, les sites sont accessibles, du coup, quand ça marche, je me méfie aussi que ce ne soit pas limité à mon poste
je retourne comparer ceci dit

Gaston_Phone
10/08/2015, 17h59
Si un site est accessible sur ton dédié, cela signifie pour moi que ton dédié est bien "Relié" au sens Internet à OVH.

Personnellement je comparerai les réglages d'un site en panne à ceux de celui qui fonctionne (en commençant par les DNS).

Nota : je n'ai pas de dédié, que du mutualisé.

jeey
10/08/2015, 17h49
Citation Envoyé par Gaston_Phone
moncamioncommunautaire.net --> erreur 403.
Ah voui, lui, c'est bon ?
Mais RAS pour les autres...

Humm, ça répond à des questions, ouvre des portes ou en referme certaines ?

Gaston_Phone
10/08/2015, 17h14
moncamioncommunautaire.net --> erreur 403.

jeey
10/08/2015, 17h10
Hello à tous,

Bon, je tourne en rond maintenant, alors je lance une bouteille au forum en espérant qu'une âme amicale me montre ma bêtise !
Voilà, j'ai un nouveau serveur (ns363979.ip-91-121-183.eu - LAMP - Debian 8) sur lequel je migre mes sites.
Je me suis aperçu au détour d'une migration que ça ne marchait plus, ni pour l'un ni pour l'autre : commeuneenvie.com ou moncamioncommunautaire.net
le site ZoneCheck m'indique (notamment) que mon serveur ne répond pas aux requêtes sur le port 53 (et le nmap ne voit pas le port ouvert non plus). Vu que si je tape en dur dans mon fichier hosts ça fonctionne, je me dis que le problème vient de là, non ?
Du coup, je fouille : le port est ouvert, tant en entrée (a priori, pas utile) qu'en sortie dans mon firewall, a priori Bind tourne bien, j'ai redémarré les uns et les autres et RAS. Un name-checkconf ne renvoie pas d'erreur (à la limite, des alertes SPF "zone commeuneenvie.com/IN: 'commeuneenvie.com' found SPF/TXT record but no SPF/SPF record found, add matching type SPF record")(si vous avez un indice)

Voilà. J'ai l'impression de tourner autour tout en zappant un élément... Vous sauriez m'éclairer ???

Merci de votre aide, et bon début de semaine à tous

Jeey