Discussion :

[strappa]

Bonjour à tous,

Voici en quelques mots le problème auquel je suis actuellement confronté:

Ma société dispose d'un serveur sous Linux Debian faisant office de passerelle/firewall/ DNS.

Ce serveur est connecté au réseau local via une interface dont l'adresse est du type 172.16.X.X

La deuxième interface connectée directement à l'internet possède l'adresse 213.X.X.X

Pour des raisons techniques que je ne développerai pas ici, nous sommes amenés à changer notre adressage réseau de 172.16.0.0/16 à 10.36.0.0/16.

Hors, durant la phase de test nous constatons que les machines faisant partie de ce réseau ne peuvent pas utiliser le serveur DNS (query refused) et donc, pas d’accès Internet.

Je n'ai pas de grande connaissance en Linux mais j'ai tout de même jeté un œil à la configuration de bind. Et là, je ne vois aucun endroit (ni dans named.conf, ni dans named.conf.options ou autre) qui indiquerait que jusqu'à présent la plage d'adresse 172.16.0.0/16 est autorisée à effectuer des requêtes auprès du serveur DNS.

D'où ma question: ajouter le paramètre suivant dans le fichier named.conf.options serait-il suffisant pour permettre aux machines en 10.36.0.0 (et 172.16.0.0) de pouvoir effectuer des requêtes ?

Allow-query {
172.16.0.0/16;
10.36.0.0/16;
};

};

ps: voir URL suivante: http://www.technoaddict.fr/index.php...-autre-reseau/

Merci d'avance.

David

[Elwe31]

L'adresse de ton serveur DNS sur les postes clients a bien changé ?

c'est des PC Windows ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ipconfig /flushdns

pour vidé le cache de résolution.

[strappa]

Non. En fait nous allons fonctionner durant quelques semaines/moi avec les deux réseaux interconnectés (172.16.0.0/16 et 10.36.0.0/16), donc tous les clients sous Windows 7 continue à utiliser le DNS 172.16.1.1.

[becket]

Que donne

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
lsof -i:53
iptables -L -n

[strappa]

Alors,



COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
named 1834 bind 20u IPv6 5816 0t0 TCP *:domain (LISTEN)
named 1834 bind 21u IPv4 5821 0t0 TCP toto:domain (LISTEN)
named 1834 bind 22u IPv4 5823 0t0 TCP toto.opi:domain (LISTEN)
named 1834 bind 23u IPv4 5825 0t0 TCP mail.macompagnie.fr:domain (L ISTEN)
named 1834 bind 512u IPv6 5815 0t0 UDP *:domain
named 1834 bind 513u IPv4 5820 0t0 UDP toto:domain
named 1834 bind 514u IPv4 5822 0t0 UDP toto.mon domain:domain
named 1834 bind 515u IPv4 5824 0t0 UDP mail.XXXXXXXXXX.fr:domain



root@mpf100:~# iptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB LISHED

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB LISHED
ACCEPT all -- 10.31.0.0/16 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 10.31.0.0/16
ACCEPT all -- 10.14.0.0/16 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 10.14.0.0/16
ACCEPT all -- 10.36.0.0/16 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 10.36.0.0/16

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,E STABLISHED

Chain LOGDROP (0 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4
DROP all -- 0.0.0.0/0 0.0.0.0/0

Précision importantes:

il n'y a plus de messagerie sur ce "serveur".

[becket]

Le serveur bind est bien ouvert sur toutes les interfaces mais par contre une partie de ton trafic est bloqué par le firewall