Actio 9 suspended sur bind9

txj · Mai 24, 2018, 11:15pm

Bonsoir,
j’utilise mon propre résolveur dns sur debian avec bind9.
De temps à autre j’ai des erreurs de type : “Hum, nous ne parvenons pas à trouver ce site.” qui font qu’une page ne s’affiche pas, je dois parfois recharger la page 3 fois pour qu’elle s’affiche.

Du coup je traque le syslog et là il y a une ligne que je comprends pas

liblogging-stdlog: action 'action 9' suspended, next retry is Thu May 24 22:48:36 2018 [v8.24.0 try http://www.rsyslog.com/e/2007 ]

ca veut dire quoi?

txj · Mai 25, 2018, 1:50am

en fait j’ai pu observer le log quand ca bug et ca boucle les query
ca fait 4 querry Ipv4
deux A
et deux AAAA
puis 4 query en ipv6
deux A
et deux AAAA
etc et ca boucle…

j’ai aussi ca comme erreur

May 25 01:45:31 Robin dhclient[1503]: DHCPREQUEST of 10.10.35.9 on enp0s1 to 10.1.94.4 port 67
May 25 01:45:31 Robin dhclient[1503]: DHCPREQUEST of 10.10.35.9 on enp0s1 to 10.1.94.4 port 67
May 25 01:45:31 Robin dhclient[1503]: send_packet: Operation not permitted
May 25 01:45:31 Robin dhclient[1503]: send_packet: Operation not permitted
May 25 01:45:31 Robin dhclient[1503]: dhclient.c:2612: Failed to send 300 byte long packet over fallback interface.
May 25 01:45:31 Robin dhclient[1503]: dhclient.c:2612: Failed to send 300 byte long packet over fallback interface.

apparemment 10.10.35.9 c’est le réseau local du dc

Clochette · Mai 25, 2018, 7:01am

Si tu est sur du serveur virtuel au sein d’un cloud il est possible (à plus grande raison si il est permis de changer vous même l’IP du serveur) que ta configuration de base soit servi via le dhcp.

Quelle est ta passerelle ?
Quelle est la machine 10.10.35.9, et est-ce que 10.1.94.4 est ton ip privé fourni à ton serveur au sein d’un nat ?

Sur l’infra cloud à mon taff nous avons une gestion des mots de passe et réseau qui s’effectue via l’envoi de paquets durant le renouvellement du bail dhcp ou de l’envoi du bail dhcp en cas de redémarrage de l’instance.
et ce que ce soit via un routeur virtuel que ce soit en nat statique ou en nat classique.

Si c’est le cas regarde pour mettre ne place un filtrage de ton port 67 (si tu tient à le protéger) pour ne laisser rentrer et sortir que les flux legit

Pour le restant je te conseille plus que vivement de regarder pour mettre ne place des logs (surtout si tu va héberger à terme de l’hébergement, et ce même associatif).
Regarde bien au niveau de a RGPD par la meme occasion , les logs te permettront sans doute de trouver par toi même le problème.

https://wiki.debian.org/fr/Bind9

txj · Mai 25, 2018, 8:46am

ce matin quelqu’un a DDOS en utilisant mon DNS

May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)
May 25 04:58:37 Robin named[11228]: client 47.105.54.233#41157 (access-board.gov): query: access-board.gov IN ANY +E (10.10.35.9)

depuis que j’ai bloqué toutes les ip autres que la mienne sur le parefeu j’ai pas de page “non trouvée” je verrais avec le temps si c’était lié.

sinon ma machine c’est 10.10.35.117 (ip privée),j 'utilise dhcp oui vu que le data center n’a pas communiqué les info pour pouvoir paramétrer en statique.
j’ai pas la gateway ni rien pour l’ipv4

oui pour les logs je me rends compte que c’est vital.
pour filtrer les paquet d’un port ca se faut avec quoi? iptables ne regarde pas le contenu du paquet.