BIND: unexpected RCODE (SERVFAIL) resolving

Platinium · Février 20, 2016, 3:57pm

Salut à tous,

J’ai une Sarge avec la dernière version de BIND dessus qui me sert de serveur cache DNS.

Les rapports de logwatch issus de ce serveur cache me donnent de plus en plus de messages de ce style:

[code]--------------------- Named Begin ------------------------

Query form disallowed client:
unexpected RCODE (SERVFAIL) resolving ‘ns1.server-factory.net/AAAA/IN’: 212.27.53.252#53: 2 Time(s)
unexpected RCODE (SERVFAIL) resolving ‘lagerleben.de/NS/IN’: 212.27.53.252#53: 1 Time(s)
unexpected RCODE (SERVFAIL) resolving ‘lagerleben.de/NS/IN’: 212.27.54.252#53: 1 Time(s)
unexpected RCODE (SERVFAIL) resolving ‘macmall.de/A/IN’: 194.25.0.125#53: 1 Time(s)
unexpected RCODE (SERVFAIL) resolving ‘ns2.server-factory.net/AAAA/IN’: 212.27.53.252#53: 2 Time(s)
unexpected RCODE (SERVFAIL) resolving ‘chl.de/A/IN’: 194.25.0.125#53: 1 Time(s)
…[/code]
Sachant que 212.27.53.252 est l’IP du serveur DNS de référence pour mon serveur DNS cache.

Une idée sur ce qui est la cause de tous ces messages

Merci

Platinium · Février 20, 2016, 4:18pm

IL semble que le message soit en fait du au serveur DNS maître; qui n’est pas capable de résoudre ce domaine.

Quelqu’un pour confirmer ?

Merci

thialme · Février 20, 2016, 4:18pm

Peux tu faire un test ?

Dans ton fichier named.conf, tu ajoutes la section logging comme suit :

logging {
        .... tes logs ....
        category lame-servers { null; };
};

Si cela améliore les choses c’est une piste.

thialme · Février 20, 2016, 4:18pm

Au fait, merci, je viens de tomber sur la bible bind9

http://www.bind9.net/manual/bind/9.3.2/Bv9ARM.html

Tout plein de trucs à apprendre, chic chic !

Platinium · Février 20, 2016, 4:18pm

Je vais essayer avec ce nouveau paramètre.
Mais avant d’oculter le problème, j’aurai bien aimé savoir où est le problème, ce que signifie ces messages d’erreur.

thialme · Février 20, 2016, 4:18pm

D’après ce que je comprends des lame-servers, il semblent qu’ils interrogent d’autres serveurs en leur demandant des informations qu’il ne disposent pas. Le problème est qu’il font du flood et fond grossir les logs de cette mainère, et donc qu’il y a une mauvais configuration sur le lame-server. Si cela tombe dans cette catégorie au moins on aura bien visé le problème.

Platinium · Février 20, 2016, 4:18pm

unexpected RCODE (SERVFAIL) resolving 'ns1.server-factory.net/AAAA/IN': 212.27.53.252#53: 2 Time(s) De ça je comprends que:

un client DNS (d’adresse IP non précisée ici)
la résolution porte sur le domaine server-factory.net
mon serveur DNS a interrogé serveur DNS de mon FAI 212.27.53.252, et celui-ci ne parvient pas à trouver la réponse

C’est bon ?

thialme · Février 20, 2016, 4:18pm

[quote=“Platinium”]unexpected RCODE (SERVFAIL) resolving 'ns1.server-factory.net/AAAA/IN': 212.27.53.252#53: 2 Time(s) De ça je comprends que:

un client DNS (d’adresse IP non précisée ici)
la résolution porte sur le domaine server-factory.net
mon serveur DNS a interrogé serveur DNS de mon FAI 212.27.53.252, et celui-ci ne parvient pas à trouver la réponse

C’est bon ?[/quote]

Je dirais que ton serveur DNS a interrogé le serveur DNS de ton FAI pour lui demander de résoudre une adresse ipv6, et que le DNS de ton FAI ne le supporte pas.
Après je ne suis pas expert bind9, je ne suis qu’un humble utilisateur Debian qui tente d’aider
Donc, il faudrait plus d’avis sur la question pour en être certains.

Platinium · Février 20, 2016, 4:18pm

Plus intéressant que la suppression des logs (c’est un peu obscurantiste quand même !!), la directive

qui permet de limiter aux clients de mon LAN les demandes récursives.

Je vais le tenter comme ça et réactiver les logs pour voir ce que cela donne.

Merci pour les infos

thialme · Février 20, 2016, 4:18pm

Moi, j’utilise cela pour limiter les requêtes à mon réseau privé :

listen-on-v6 { none; };
listen-on { 127.0.0.1; 192.168.0.1; };
allow-query { 127.0.0.1; 192.168.0.0/24; };
allow-transfer { 127.0.0.1; 192.168.0.0/24; };

allow-query

Specifies which hosts are allowed to ask ordinary DNS questions. allow-query may also be specified in the zone statement, in which case it overrides the options allow-query statement. If not specified, the default is to allow queries from all hosts.

allow-transfer

Specifies which hosts are allowed to receive zone transfers from the server. allow-transfer may also be specified in the zone statement, in which case it overrides the options allow-transfer statement. If not specified, the default is to allow transfers to all hosts.

allow-recursion

Specifies which hosts are allowed to make recursive queries through this server. If not specified, the default is to allow recursive queries from all hosts. Note that disallowing recursive queries for a host does not prevent the host from retrieving data that is already in the server's cache.

Le log, c’était plus pour savoir si le problème était bien situé au niveau des lame-servers.

Platinium · Février 20, 2016, 4:18pm

Salut,

avec cette directive, tu empêches ton serveur DNS de répondre aux requetes MX par exemple pour recevoir du courrier de l’extérieur.

Après tout dépend de ce que tu héberges sur ton serveur.

thialme · Février 20, 2016, 4:18pm

[quote=“Platinium”]Salut,

avec cette directive, tu empêches ton serveur DNS de répondre aux requetes MX par exemple pour recevoir du courrier de l’extérieur.

Après tout dépend de ce que tu héberges sur ton serveur.[/quote]

Mon domaine n’est que local, c’est pour cela que je le limite au réseau privé, il n’a pas à aller voir ailleurs. Mon MTA est un smarthost, je ne tiens pas à créer mon propre serveur de mails pour mon domaine, c’est assez simple de trouver un serveur smtp sécurisé. Pour le serveur web et ftp, c’est une ip dynamique, afin de garantir ma mobilité sur Internet, et gérée par une simple redirection dyndns.

Platinium · Février 20, 2016, 4:18pm

Finalement on y sera arrivé !
En squattant le post