[Résolu][Bind] Pas de réponses aux nslookup

Pas de réponses aux nslookup [Résolu][Bind] - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 24-11-2008 à 16:24:54    

Bonjour,
 
Je suis actuellement en stage et l'on m'a chargé de mettre en place un nom de domaine interne pour l'intranet (iotech.lan).
J'ai donc installé et configuré Bind sur une serveur Linux qui a été mis à ma disposition, le problème est que le nom de domaine ne fonctionne pas et un nslookup retourne une erreur qu'il soit exécuté sous un Windows ou un Linux, seule le serveur résout le nom de domaine. De plus le syslog est totalement muet et named-checkconf, named-checkzone ne voient pas de problème dans la configuration. :(
 
Voici mes fichiers de configurations.
 
/etc/bind/named.conf :

Code :
  1. include "/etc/bind/rndc.key";
  2. controls {
  3. inet 127.0.0.1 allow {any;} keys {rndc-key;};
  4. };
  5. acl whitelist {
  6. 127.0.0.1/32;
  7. 10.1.15.0/8;
  8. };
  9. options {
  10. directory "/var/cache/bind";
  11. auth-nxdomain no;
  12. allow-query {whitelist;};
  13. allow-transfer {10.1.15.252;};
  14. allow-recursion {whitelist;};
  15. forward first;
  16. forwarders {195.238.2.21;};
  17. listen-on {127.0.0.1;};
  18. listen-on-v6 {none;};
  19. version none;
  20. query-source address * port 53;
  21. };
  22. zone "." {
  23. type hint;
  24. file "db.root";
  25. };
  26. zone "iotech.lan" IN {
  27. type master;
  28. file "ns.iotech.lan";
  29. allow-update {none;};
  30. };
  31. zone "localhost" {
  32. type master;
  33. file "db.local";
  34. };
  35. zone "127.in-addr.arpa" {
  36. type master;
  37. file "db.127";
  38. };
  39. zone "0.in-addr.arpa" {
  40. type master;
  41. file "db.0";
  42. };
  43. zone "255.in-addr.arpa" {
  44. type master;
  45. file "db.255";
  46. };
  47. include "/etc/bind/named.conf.local";


 
/var/cache/bind/ns.iotech.lan :

Code :
  1. $TTL 86400
  2. iotech.lan. IN SOA ns.iotech.lan. root.localhost. (
  3. 2008112405
  4. 21600
  5. 3600
  6. 604800
  7. 86400
  8. );
  9. iotech.lan. IN NS ns.iotech.lan
  10. iotech.lan. IN A 10.1.15.253
  11. * IN A 10.1.15.253
  12. www IN CNAME iotech.lan.


 
/etc/resolv.conf :

Code :
  1. search iotech.lan
  2. nameserver 127.0.0.1
  3. nameserver 10.1.15.253
  4. nameserver 195.238.2.21


 
nslookup sur le serveur :

Code :
  1. nslookup iotech.lan
  2. Server: 10.1.15.253
  3. Address: 10.1.15.253#53
  4. Name: iotech.lan
  5. Address: 10.1.15.253


 
nslookup sur un Windows :

Code :
  1. nslookup iotech.lan
  2. DNS request timed out.
  3.     timeout was 2 seconds.
  4. *** Impossible de trouver le nom de serveur pour l'adresse 10.1.15.253 : Timed out
  5. Serveur :  dnspool041.isp.belgacom.be
  6. Address:  195.238.2.21
  7. *** dnspool041.isp.belgacom.be ne parvient pas à trouver duolet.net : Non-existent domain


Message édité par Gavrinis le 10-12-2008 à 18:30:43
Reply

Marsh Posté le 24-11-2008 à 16:24:54   

Reply

Marsh Posté le 24-11-2008 à 16:32:33    

le listen-on 127.0.0.1 va pas aller très loin ...

Reply

Marsh Posté le 24-11-2008 à 16:32:42    

Tu as quoi comme dns sur ton client Windows ?


---------------
www.google.fr  
Reply

Marsh Posté le 24-11-2008 à 16:36:16    

Ok Je@nb, je change tout de suite et j'essaye.
 
Sur le Windows : 10.1.15.253, 195.238.2.22

Reply

Marsh Posté le 24-11-2008 à 16:44:10    

Je@nb a écrit :

le listen-on 127.0.0.1 va pas aller très loin ...


Je l'ai passé en "listen-on {10.1.15.253;};" mais ça ne change rien.
J'ai bien sûr fait un "ipconfig /flushdns" avant de tester.

Reply

Marsh Posté le 24-11-2008 à 17:07:24    

et tu as restarté bind ?
 
Tes logs disent quoi ?
Un netstat -A inet -apn (de tête me souviens plus trop mais c du genre)
 
Perso je virerai cette ligne mais bon, sauf si tu veux que ça écoute sur des ip spéciales only.

Reply

Marsh Posté le 24-11-2008 à 17:17:32    

Oui j'ai restarté Bind comme à chaque modif.
 

Code :
  1. Connexions Internet actives (serveurs et établies)
  2. Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        PID/Program name 
  3. tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN     2436/mysqld       
  4. tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN     2088/portmap       
  5. tcp        0      0 0.0.0.0:113             0.0.0.0:*               LISTEN     2608/inetd         
  6. tcp        0      0 10.1.15.253:53             0.0.0.0:*               LISTEN     2869/named         
  7. tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN     2869/named         
  8. tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN     2869/named         
  9. tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN     2596/exim4         
  10. udp        0      0 0.0.0.0:53              0.0.0.0:*                          2869/named         
  11. udp        0      0 10.1.15.253:53             0.0.0.0:*                          2869/named         
  12. udp        0      0 127.0.0.1:53            0.0.0.0:*                          2869/named         
  13. udp        0      0 0.0.0.0:111             0.0.0.0:*                          2088/portmap


 
Virer la ligne "listen-on" ?

Reply

Marsh Posté le 24-11-2008 à 17:18:57    

il n'écoute toujours pas sur toutes les ip mais que sur 127.0.0.1.
 
Donc soit tu modifies un mauvais fichier de conf :D, soit la ligne listen-on est définie à plusieurs endroits :D

Reply

Marsh Posté le 24-11-2008 à 17:19:24    

genre include "/etc/bind/named.conf.local";

Reply

Marsh Posté le 24-11-2008 à 17:23:37    

Non elle n'est définie qu'une fois dans mamed.conf et le contenu de named.conf.local et named.conf.options est entièrement commenté.

Reply

Marsh Posté le 24-11-2008 à 17:23:37   

Reply

Marsh Posté le 24-11-2008 à 17:26:50    

et les logs disent quoi ?

Reply

Marsh Posté le 24-11-2008 à 17:34:45    

Étendre mon ACL à mon listen-on ne change rien non plus :(
 

Code :
  1. Connexions Internet actives (serveurs et établies)
  2. Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        PID/Program name 
  3. tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN     2436/mysqld               
  4. tcp        0      0 0.0.0.0:113             0.0.0.0:*               LISTEN     2608/inetd         
  5. tcp        0      0 10.1.15.253:53             0.0.0.0:*               LISTEN     3063/named         
  6. tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN     3063/named         
  7. tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN     3063/named         
  8. tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN     2596/exim4         
  9. tcp        0      0 127.0.0.1:3241            127.0.0.1:53               TIME_WAIT     -
  10. udp        0      0 0.0.0.0:53              0.0.0.0:*                          3063/named         
  11. udp        0      0 10.1.15.253:53             0.0.0.0:*                          3063/named         
  12. udp        0      0 127.0.0.1:53            0.0.0.0:*                          3063/named


 
Quel log car mise à part syslog je n'en connais pas d'autre pour Bind ? syslog reste muet sur ce problème.

Reply

Marsh Posté le 24-11-2008 à 18:57:59    

défini dans bind les fichiers de log et il te les créera

Reply

Marsh Posté le 24-11-2008 à 19:57:19    

Il énumère le chargement des serials pour chaque zone c'est tout ce que l'on voit dans les logs.

Reply

Marsh Posté le 24-11-2008 à 20:56:19    

met plus de détails alors

Reply

Marsh Posté le 24-11-2008 à 21:03:55    

Il n'en dit pas plus que se soit en severity critical, error, warning, notice, info, debug 9 ou dynamic :cry:

Reply

Marsh Posté le 24-11-2008 à 21:14:40    

tu as mis quelle catégorie ?

Reply

Marsh Posté le 24-11-2008 à 22:10:02    

Code :
  1. logging {
  2. channel update_debug {
  3.  file "/var/log/bind9/update_debug.log" versions 3 size 100k;
  4.  severity debug;
  5.  print-severity yes;
  6.  print-time yes;
  7. };
  8. channel security_info {
  9.  file "/var/log/bind9/security_info.log" versions 1 size 100k;
  10.  severity info;
  11.  print-severity yes;
  12.  print-time yes;
  13. };
  14. channel bind_log {
  15.  file "/var/log/bind9/bind.log" versions 3 size 1m;
  16.  severity info;
  17.  print-category yes;
  18.  print-severity yes;
  19.  print-time yes;
  20. };
  21. category default {bind_log;};
  22. category lame-servers {null;};
  23. category update {update_debug;};
  24. category update-security {update_debug;};
  25. category security {security_info;};
  26. };

Reply

Marsh Posté le 24-11-2008 à 22:15:55    

met config, general, network

Reply

Marsh Posté le 25-11-2008 à 13:40:16    

Ça n'a rien donné de concluant, toujours aussi muet, j'ai même mis toutes les catégories possibles mais rien :(

Reply

Marsh Posté le 25-11-2008 à 14:01:20    

tu as essayé en virant la ligne listen-on ? ou en mettant any; ?

Reply

Marsh Posté le 25-11-2008 à 14:46:08    

Ca ne change rien non plus :??:
 
J'en ai parlé à mon maitre de stage et il m'accorde un serveur secondaire sur un 2003, j'ai donc créé une zone secondaire sur le 2003, transféré une copie de la zone et ça s'est fait sans le moindre problème.
 
Quand je fais un nslookup sur le 2003 j'obtiens ceci :

Code :
  1. >nslookup iotech.lan
  2. *** Can't find server name for address 10.1.15.253: Non-existent domain
  3. Server:  UnKnown
  4. Address:  10.1.15.253
  5. Name:    iotech.lan
  6. Address:  10.1.15.253


 
Sur un XP :

Code :
  1. >nslookup iotech.lan
  2. Serveur :  ns2.iotech.com
  3. Address:  10.1.15.252
  4. DNS request timed out.
  5.     timeout was 2 seconds.
  6. Nom :    iotech.lan
  7. Address:  10.1.15.253


Pour info 10.1.15.252 (ns2.iotech.com) c'est le 2003 et 10.1.15.253 c'est Linux

Reply

Marsh Posté le 25-11-2008 à 14:50:50    

et ?

Reply

Marsh Posté le 25-11-2008 à 14:57:47    

Ben ça ne fonctionne toujours pas et pourtant la zone a été copié donc ça fonctionne niveau Bind. Mais pourquoi, pas avec les clients :(

Reply

Marsh Posté le 25-11-2008 à 15:27:47    

ah mais merde, depuis hier je voyais sur ton netstat 127.0.0.1 alors je me disais que ct normal que ça marche pas mais j'avais zappé que bind créait un socket par ip ... au lieu de binder 0.0.0.0.
 
Sinon ton ACL est bizarre, ça devrait être 10.0.0.0/8 et pas 10.1.15.0/8 (ça n'a pas de sens ce réseau n'existe pas).

Reply

Marsh Posté le 25-11-2008 à 15:46:14    

Non toujours rien que se soit sous un client Windows ou Linux.

Reply

Marsh Posté le 25-11-2008 à 15:47:38    

si tu logs les requêtes tu vois qu'elles arrivent ?

Reply

Marsh Posté le 25-11-2008 à 16:02:58    

Je lui dis de tout loger et j'ai mis le severity debug à 9 pour bind_log mais il ne me montre aucune requête :??: seulement le transfert de zone quand je le force pour voir si ça va toujours.
 

Code :
  1. category client {bind_log;};
  2. category config {bind_log;};
  3. category database {bind_log;};
  4. category delegation-only {bind_log;};
  5. category dispatch {bind_log;};
  6. category dnssec {bind_log;};
  7. category edns-disabled {bind_log;};
  8. category general {bind_log;};
  9. category lame-servers {null;};
  10. category network {bind_log;};
  11. category notify {bind_log;};
  12. category queries {bind_log;};
  13. category resolver {bind_log;};
  14. category security {bind_log;};
  15. category unmatched {bind_log;};
  16. category update {update_debug;};
  17. category update-security {update_debug;};
  18. category xfer-in {bind_log;};
  19. category xfer-out {bind_log;};

Reply

Marsh Posté le 25-11-2008 à 16:33:28    

tcpdump/wireshark ?

Reply

Marsh Posté le 25-11-2008 à 16:55:36    

"tcpdump -vv -w dump.txt host 10.1.15.210 and port domain" ne voit rien.
 
10.1.15.210 est ma machine de test sous XP.

Reply

Marsh Posté le 25-11-2008 à 16:56:46    

firewall qq part ? :D

Reply

Marsh Posté le 25-11-2008 à 17:00:40    

Non il n'y en a pas à cet endroit du réseau, je suis dans le local info et il n'y a pas de firewall entre nous et les serveurs.

Reply

Marsh Posté le 25-11-2008 à 17:09:48    

Au fait si j'y vais à la barbare et que je fais un simple "tcpdump", il me sort ceci en continu :

Code :
  1. 17:06:48.659000 IP ns2.iotech.com.902 > machtest.iotech.com.2073: P 1758324:1758953(629) ack 1888 win 65276
  2. 17:06:48.659001 IP machtest.iotech.com.2073 > ns2.iotech.com.902: . ack 1749564 win 54954

Reply

Marsh Posté le 26-11-2008 à 12:23:16    

J'ignore la raison mais aujourd'hui "tcpdump -vv -w dump.txt port domain" donne quelque chose seulement c'est illisible, plein de caractères spéciaux.
 
Les logs se mettent aussi a parler lors d'une requête, comme par magie (que c'est-il passé pendant la nuit :??:) :

Code :
  1. 26-Nov-2008 12:15:36.579 client: debug 3: client 10.1.15.210#3697: UDP request
  2. 26-Nov-2008 12:15:36.580 client: debug 5: client 10.1.15.210#3697: using view '_default'
  3. 26-Nov-2008 12:15:36.580 client: debug 3: client 10.1.15.210#3697: query
  4. 26-Nov-2008 12:15:36.580 queries: info: client 10.1.15.210#3697: query: 253.15.1.10.in-addr.arpa IN PTR +
  5. 26-Nov-2008 12:15:36.580 client: debug 3: client 10.1.15.210#3697: send
  6. 26-Nov-2008 12:15:36.580 client: debug 3: client 10.1.15.210#3697: sendto
  7. 26-Nov-2008 12:15:36.580 client: debug 3: client 10.1.15.210#3697: senddone
  8. 26-Nov-2008 12:15:36.580 client: debug 3: client 10.1.15.210#3697: next
  9. 26-Nov-2008 12:15:36.580 client: debug 3: client 10.1.15.210#3697: endrequest
  10. 26-Nov-2008 12:15:36.581 client: debug 3: client @0x80c99d0: udprecv

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed