Discussion :

[speedev]

Bonjour,

Suite à un redémarrage de mon serveur web (dans nos locaux et non redémarré depuis des mois), notre ndd est devenu inaccessible pour tous nos clients. Le registrar est Gandi, la zone est sur le serveur web (via bind).

Voici les tests que j'ai effectué :
Checkzone nomdedomaine.com : Impossible de trouver le serveur de nom primaire (SOA)
Sur serveur distant : ping sur ip publique OK
Sur serveur distant : ping sur myserver.nomdedomaine.com OK (= glue record OK chez Gandi)
Sur serveur distant : requête http://[ipPublique] OK (Apache ok)
Sur serveur distant : ping sur nomdedomaine.com BAD (ping: unknown host)
Sur serveur distant : dig nomdedomaine.com BAD (couldn't get address for 'nomdedomaine.com': not found)
Sur serveur Web : checknamed et checkzone sur les fichiers : pas d'erreur
J'ai contrôlé un éventuel problème de firewall qui empêcherait les requêtes dns, mais il n'y a aucun blocage visible.

Voici ma zone + indications (j'ai remplacé les données que je ne souhaite pas communiquer sur un forum) :
- myserver = /etc/hostname
- myserver.nomdedomaine.com = glue record chez Gandi
- J'ai incrémenté le serial hier AM et relancé Bind, ce matin problème non résolu.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
 
$TTL    3600
@       IN      SOA     myserver.nomdedomaine.com. email.nomdedomaine.com. (
                     2009041708         ; Serial
                          21600         ; Refresh
                           3600         ; Retry
                         604800         ; Expire
                           86400 )       ; Negative Cache TTL
;
@       IN      NS              myserver.nomdedomaine.com.
@       IN      MX      10      mail.nomdedomaine.com.
 
nomdedomaine.com.        IN      A       [ip publique]
myserver                       IN      A       [ip publique]
 
www                     IN      A       [ip publique]
mail                      IN      A       [ip publique]
pop                      IN      A       [ip publique]
smtp                     IN      A       [ip publique]
 
*                         IN      CNAME   www

Ce serveur Web héberge de nombreux sous-domaines d'où l'étoile (*).

Comme nous n'avons pas de DNS secondaire nous avons toujours fonctionnés en déclarant un second glue record (ns.nomdedomaine.com) qui pointe sur la mm ip publique (solution gandi) et jusqu'à hier, notre nom de domaine fonctionnait très bien depuis longtemps.

Merci pour votre aide, mes connaissances sont limitées, je manque de temps et ne sais plus trop quoi tester.

[speedev]

Nouveau test : dig myserver.nomdedomaine.com

Retourne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
 
; <<>> DiG 9.5.1-P1 <<>> myserver.nomdedomaine.com
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64434
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 1
 
;; QUESTION SECTION:
;myserver.nomdedomaine.com.       IN      A
 
;; ANSWER SECTION:
myserver.nomdedomaine.com. 102209 IN      A       [ip publique]
 
;; AUTHORITY SECTION:
nomdedomaine.com.        102209  IN      NS      ns.nomdedomaine.com.
nomdedomaine.com.        102209  IN      NS      myserver.nomdedomaine.com.
 
;; ADDITIONAL SECTION:
ns.nomdedomaine.com.     102209  IN      A       217.108.177.138
 
;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Dec  8 10:16:43 2009
;; MSG SIZE  rcvd: 104

[speedev]

Encore un test : dig +trace nomdedomaine.com

Retourne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
; <<>> DiG 9.5.1-P1 <<>> +trace nomdedomaine.com
;; global options:  printcmd
.                       149968  IN      NS      G.ROOT-SERVERS.NET.
.                       149968  IN      NS      A.ROOT-SERVERS.NET.
.                       149968  IN      NS      F.ROOT-SERVERS.NET.
.                       149968  IN      NS      B.ROOT-SERVERS.NET.
.                       149968  IN      NS      J.ROOT-SERVERS.NET.
.                       149968  IN      NS      K.ROOT-SERVERS.NET.
.                       149968  IN      NS      M.ROOT-SERVERS.NET.
.                       149968  IN      NS      H.ROOT-SERVERS.NET.
.                       149968  IN      NS      E.ROOT-SERVERS.NET.
.                       149968  IN      NS      D.ROOT-SERVERS.NET.
.                       149968  IN      NS      C.ROOT-SERVERS.NET.
.                       149968  IN      NS      L.ROOT-SERVERS.NET.
.                       149968  IN      NS      I.ROOT-SERVERS.NET.
;; Received 500 bytes from 127.0.0.1#53(127.0.0.1) in 1 ms

com.                    172800  IN      NS      A.GTLD-SERVERS.NET.
com.                    172800  IN      NS      L.GTLD-SERVERS.NET.
com.                    172800  IN      NS      K.GTLD-SERVERS.NET.
com.                    172800  IN      NS      I.GTLD-SERVERS.NET.
com.                    172800  IN      NS      M.GTLD-SERVERS.NET.
com.                    172800  IN      NS      C.GTLD-SERVERS.NET.
com.                    172800  IN      NS      D.GTLD-SERVERS.NET.
com.                    172800  IN      NS      H.GTLD-SERVERS.NET.
com.                    172800  IN      NS      G.GTLD-SERVERS.NET.
com.                    172800  IN      NS      E.GTLD-SERVERS.NET.
com.                    172800  IN      NS      F.GTLD-SERVERS.NET.
com.                    172800  IN      NS      B.GTLD-SERVERS.NET.
com.                    172800  IN      NS      J.GTLD-SERVERS.NET.
;; Received 493 bytes from 192.5.5.241#53(F.ROOT-SERVERS.NET) in 28 ms

nomdedomaine.com.        172800  IN      NS      myserver.nomdedomaine.com.
nomdedomaine.com.        172800  IN      NS      ns.nomdedomaine.com.
;; Received 104 bytes from 192.31.80.30#53(D.GTLD-SERVERS.NET) in 7 ms

;; connection timed out; no servers could be reached

[Meskalyn]

Bon, difficile de pouvoir t'en dire plus, mais la seule IP

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
;; ADDITIONAL SECTION:
ns.nomdedomaine.com.     102209  IN      A       217.108.177.138

n'a pas son port 53 d'ouvert.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
nmap -p 53 217.108.177.138
53/tcp filtered domain

Peut-être un début de piste, je pense que ton serveur bind n'écoute qu'en local.

[speedev]

Bonne remarque, le port n'est pas bloqué par notre firewall.
Je vais jeter un coup d'oeil à iptables.

[Meskalyn]

N'hésites pas à me filer 2/3 ips ainsi que le NDD en PV que je regarde "de l'extérieur" mais à mon avis c'est simplement un problème de listen.
Je ne pense pas à un problème de parefeu plutôt un listen :53 qui serait en listen 127.0.0.1:53.

[speedev]

Port 53 ouvert pourtant...

[speedev]

$MYIP est l'adr publique.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
iptables -t filter -A INPUT -i eth0 -d $MYIP -p tcp --sport 53 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -d $MYIP -p udp --sport 53 -j ACCEPT
 
iptables -t filter -A OUTPUT -o eth0 -s $MYIP -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -s $MYIP -p udp --dport 53 -j ACCEPT

[Meskalyn]

Port 53 ouvert pourtant...

Oui, mais ton bind écoute-il sur l'extérieur ?

[speedev]

Je reboot le serveur...dès fois que...
Au dernier reboot il m'a fait un checkdisk d'au moins 20 minutes.

[Meskalyn]

De ce serveur fait un :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

nmap -p 53 127.0.0.1

Ca te dira déjà si ça réponds en local ou non (tu peux faire juste le 53 si tu veux) si tu vois un :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

53/tcp open  domain

C'est que déjà c'est bon en local, ensuite de l'extérieur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

nmap -p 53 ton_ip

Si c'est fermé, ça vient soit d'un problème de parefeu, soit d'un problème que ton bind n'écoute pas vers l'extérieur :
fichier (sous debian) named.conf.options

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

        listen-on { 127.0.0.1; };

Rajoute un :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
        listen-on { 127.0.0.1; ton_ip_publique;};

[speedev]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

nmap -p 53 127.0.0.1

OK c'est bien ouvert

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

nmap -p 53 ton_ip

BAD

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

        listen-on { 127.0.0.1; };

C'est le cas

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

listen-on { 127.0.0.1; ton_ip_publique;};

[/QUOTE]
J'ai rajouté l'IP publique et redémarré Bind (restart).

La fermeture est toujours constatée de l'extérieur, ai-je oublié qlq chose ?

(Merci pour ton aide)

[speedev]

Par contre le port 53 c'est via UDP non ?
Tes tests sont effectués en TCP.

[Meskalyn]

Donc soit un problème de parefeu:
iptables -L -v
(et regarde si tu vois des "port 53" trainer en DROP/REJECT)
Tu as quoi comme paramètres dans ton named.conf.options de ce style :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
        listen-on { 127.0.0.1; 94.23.35.XX; };
        allow-transfer { 85.17.253.XX; 127.0.0.1; 94.23.35.XX; 85.17.177.XX; 213.251.188.XX; };
        allow-recursion { 127.0.0.1; 95.211.17.XX; 213.251.188.XX; };
        version "Admin Serv";

Question "bête", ton IP ping correctement depuis l'extérieur ?

Retente un nmap en udp :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

nmap -p 53 -sU ton_ip

Attention quand même aux scans tu vas finir par passer pour un vilain hacker

A mon avis il doit s'agit d'un truc "tout con".

Edit: désolé pour le temps de réponse, mais normalement les deux pour bind, TCP et UDP.

[speedev]

mon named.options

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
options {
        directory "/var/cache/bind";
 
        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113
 
        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.
 
         forwarders {
                194.2.0.50;
                194.2.0.20;
         };
 
        recursion yes;
        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { ::1; }; # any seul
        listen-on { 127.0.0.1; [ippublique]; }; 
        allow-recursion { 127.0.0.1; [ippublique]; }; 
};

Depuis le serveur web, je ping bien google.fr par exemple.

De l'extérieur : nmap -p 53 -sU ippublique
Retourne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
Starting Nmap 4.62 ( http://nmap.org ) at 2009-12-08 12:39 CET
Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
Nmap done: 1 IP address (0 hosts up) scanned in 3.089 seconds

Je rejoints l'idée qu'il s'agisse d'un truc vraiment tout con...mais pour le coup je le trouve pas

[Meskalyn]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
Starting Nmap 4.62 ( http://nmap.org ) at 2009-12-08 12:39 CET
Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
Nmap done: 1 IP address (0 hosts up) scanned in 3.089 seconds

Ton IP ne réponds pas au ping
Essaye un "même commande" -PN pour dégommer la réponse.

[speedev]

Ok merci !

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
nmap -p 53 -sU -PN [IP Publique]
 
Starting Nmap 4.62 ( http://nmap.org ) at 2009-12-08 14:16 CET
Interesting ports on [IP Publique]:
PORT   STATE         SERVICE
53/udp open|filtered domain
 
Nmap done: 1 IP address (1 host up) scanned in 2.187 seconds

Bien ouvert maintenant.

Le zonecheck renvoie toujours le mm message d'erreur comme quoi le SOA est introuvable, dois-je redémarrer bind (en modifiant peut-être le ttl + serial ?) ?

[speedev]

Je ne suis pas sûr de devoir mettre l'ip publique dans le allow-recursion.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

allow-recursion { 127.0.0.1; [ippublique]; }

Il me semble qu'il s'agit d'une sécurité de ne devoir mettre que 127.0.0.1.

[Meskalyn]

Tout dépends ce que tu as comme sérial, recharger bind oui (reload ou restart), mais afin d'accélérer cette "coupure d'activité", tu peux "frauder" en changeant ton SOA 2 fois par heure quand tu y penses (et reload bind à chaque fois).

Ton SOA "devrait" être 2009120810. J'ignore ce que tu as mis comme SOA, mais celui-ci doit être accessible sur le port 53 depuis l'extérieur. Donc si, par exemple ton serveur de nom primaire est :
plop.plop.net et que ton domaine "planté" était plop.net, tu risques de devoir attendre un peu le temps que ça arrive.

Tu peux un peu frauder ton refresh, et tu peux rajouter des serveurs "tierce" non déclaré officiellement dans le but d'accélérer la propagation.

Tu peux vérifier si c'est vraiment bon depuis un autre dédié en utilisant la commande dig :
dig @un_serveur_dns www.ton_domaine.tld
puis tester
Tu peux checker les DNS google par exemple (vu que ça en parle beaucoup) voir s'ils sont à jour, ou non:
dig @8.8.8.8 admin-serv.net

Edit:

Je ne suis pas sûr de devoir mettre l'ip publique dans le allow-recursion.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

allow-recursion { 127.0.0.1; [ippublique]; }

Il me semble qu'il s'agit d'une sécurité de ne devoir mettre que 127.0.0.1.

Normalement "non", mais tout dépends de comment tu t'en sers. Perso je ne me sers jamais de requete en local, donc je mets : mon ip publique a le droit de questionner.

[speedev]

Tout dépends ce que tu as comme sérial, recharger bind oui (reload ou restart), mais afin d'accélérer cette "coupure d'activité", tu peux "frauder" en changeant ton SOA 2 fois par heure quand tu y penses (et reload bind à chaque fois).

Je ne te suis pas trop, mon SOA est déclaré chez Gandi (glue record), si je le change sur mon serveur, je dois aussi le changer chez gandi et là je prends 24h dans les dents non ?

Ton SOA "devrait" être 2009120810. J'ignore ce que tu as mis comme SOA, mais celui-ci doit être accessible sur le port 53 depuis l'extérieur. Donc si, par exemple ton serveur de nom primaire est :
plop.plop.net et que ton domaine "planté" était plop.net, tu risques de devoir attendre un peu le temps que ça arrive.

Oui j'ai ce serial. Mon SOA correspond au nom de mon serveur web (robert par exemple) suivi de mon nom de domaine.tld : robert.nomdedomaine.com.
Si j'émets la commande dig sur mon SOA depuis l'extérieur, ma zone DNS est affichée.

Tu peux un peu frauder ton refresh, et tu peux rajouter des serveurs "tierce" non déclaré officiellement dans le but d'accélérer la propagation.
Tu peux vérifier si c'est vraiment bon depuis un autre dédié en utilisant la commande dig :
dig @un_serveur_dns www.ton_domaine.tld
puis tester
Tu peux checker les DNS google par exemple (vu que ça en parle beaucoup) voir s'ils sont à jour, ou non:
dig @8.8.8.8 admin-serv.net

En refresh j'ai 21600. L'intérêt pour moi est de rétablir l'accès au serveur le plus vite possible. Je peux aller jusqu'à combien sur cette valeur ?

Par contre lorsque j'interroge Google, il trouve bien un serveur (apparement...) mais ne m'affiche pas l'IP sur la ligne "A"...est-ce normal ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
 
; <<>> DiG 9.5.1-P1 <<>> @8.8.8.8 nomdedomaine.com
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 61277
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
 
;; QUESTION SECTION:
;nomdedomaine.com.               IN      A
 
;; Query time: 1259 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Tue Dec  8 14:45:29 2009
;; MSG SIZE  rcvd: 33

Encore merci pour ton aide !