Je ne sais plus où chercher, j’ai tellement essayé de solutions que je ne sais même plus quels bouts étaient fonctionnels.
Donc je vais poser un état des lieux (pelle-mele tout le contenu obtenu juste après le redémarrage), mes connaissances en administration système et réseau atteignant leurs limites, je m’en remet à vous pour me souligner ce que j’ai sans doute foiré et me renseigner quelques pistes plus précise à explorer, car je ne sais plus ou donner de la tête.
Effets du problème :
J’ai une (vielle) machine qui me sert de serveur (Debian Squeeze) derrière une BBox. Mon serveur DNS ne semble pas répondre. Pourtant depuis l’extérieur, tous les autres services (irc, ssh, web) sont accessibles depuis mon adresse IP publique (donc aucun problème depuis les règles NAT de ma box).
J’ai noté quelques pistes (sérieuses ?) :
-Le syslog nous indique qu’au démarrage NetworkManager attribut différentes valeurs par défaut (hostname ‘Host-001’ nameserver ‘192.168.1.254’ domain name ‘lan’)[Vers la ligne 103], il faudrait sans doute modifier ce comportement pour que mes conf ne rentre pas en conflit (?)
-Beaucoup de “permission denied” avec les fichiers de log et le rndc de BIND
Voici les éléments de configuration générale :
Adresses:
89.0.0.209 > IP Publique
192.168.1.1 > IP Locale serveur
192.168.1.254 > Gateway BBox
AEServer > Nom serveur
$ uname -a
Linux AEServer 2.6.32-5-686 #1 SMP Mon Sep 23 23:00:18 UTC 2013 i686 GNU/Linux
/etc/hosts
[code]127.0.0.1 localhost localhost.localdomain
127.0.1.1 AEServer
192.168.1.1 mon-domaine.tk
The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters[/code]
Ce fichier est généré a chaque démarrage
etc/resolv.conf
# Generated by NetworkManager
domain lan
search lan
nameserver 192.168.1.254
Mais il ne fonctionne pas
@AEServer:~$ dig mon-domaine.tk
;; connection timed out; no servers could be reached
Une fois modifié comme ceci
etc/resolv.conf
domain mon-domaine.tk
search mon-domaine.tk
nameserver 192.168.1.1
Mon serveur DNS réagit SEULEMENT depuis localhost.
[code]@AEServer:~$ dig mon-domaine.tk
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27022
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;mon-domaine.tk. IN A
;; AUTHORITY SECTION:
mon-domaine.tk. 600 IN SOA mon-domaine.tk. aezaerth.mon-domaine.tk. 2014010101 1800 600 1800 600
;; Query time: 1 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Sun Jan 5 20:52:05 2014
;; MSG SIZE rcvd: 71[/code]
Voici la configuration de bind :
bind/named.conf.local
[code]// Gérer les fichiers de logs
include “/etc/bind/named.conf.log”;
// Gestion du domaine example.com
// ------------------------------
// - Le serveur est défini comme maître sur ce domaine
// - Il n’y a aucun forwarder pour ce domaine car nous avons la main mise dessus.
// Pour tous les autres domaines, nous utiliserons le forwarder mentionné dans named.conf.options
// - Les entrees sur le domaine peuvent être ajoutées dynamiquement avec le clef ns-example-com_rndc-key
zone “mon-domaine.tk” {
type master;
file “/etc/bind/mon-domaine.db”;
forwarders {};
allow-update { key mon-domaine_rndc-key; };
};
zone “1.168.192.in-addr.arpa” {
type master;
file “/etc/bind/mon-domaine.db.inv”;
forwarders {};
allow-update { key mon-domaine_rndc-key; };
};
// Consider adding the 1918 zones here, if they are not used in your
// organization
include “/etc/bind/zones.rfc1918”;[/code]
bind/mon-domaine.db
[code]$TTL 30m
@ IN SOA mon-domaine.tk. aezaerth.mon-domaine.tk. (
2014010101 ; Serial
30m ; Refresh
10m ; Retry
30m ; Expire
10m ) ; Negative Cache TTL [10m]
;
@ IN NS ns01.mon-domaine.tk.
@ IN MX 10 ns01.mon-domaine.tk.
ns01 IN A 89.0.0.209
www IN CNAME ns01
irc IN CNAME ns01[/code]
bind/named.conf.default-zones
[code]// Gérer les acls
acl internals { 127.0.0.0/8; 192.168.1.1/24; };
// Charger les options
include “/etc/bind/named.conf.options”;
// Déclaration de la clef TSIG utilisée pour la mise à jour dynamique
include “/etc/bind/mon-domaine_rndc-key”;
// Configurer le canal de communication pour administrer BIND9 avec rndc
// Par défaut, la clef est située dans le fichier rndc.key et utilisée par
// rndc et bind9 sur localhost
controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { “rndc-key”; };
};
// prime the server with knowledge of the root servers
zone “.” {
type hint;
file “/etc/bind/db.root”;
};
// be authoritative for the localhost forward and reverse zones, and for
// broadcast zones as per RFC 1912
zone “localhost” {
type master;
file “/etc/bind/db.local”;
};
zone “127.in-addr.arpa” {
type master;
file “/etc/bind/db.127”;
};
zone “0.in-addr.arpa” {
type master;
file “/etc/bind/db.0”;
};
zone “255.in-addr.arpa” {
type master;
file “/etc/bind/db.255”;
};[/code]
bind/named.conf.options
[code]options {
directory “/etc/bind”;
// Port d'échange entre les serveurs DNS
query-source address * port *;
// Transmettre les requêtes à 192.168.1.254 si ce serveur ne sait pas résoudre ces adresses.
// On pourrait aussi bien renseigner les serveurs DNS du FAI plutôt que de renseigner
// l'adresse IP du routeur (xxxbox)
forward only;
forwarders { 192.168.1.254; };
auth-nxdomain no; # conform to RFC1035
// Ecouter sur les interfaces locales uniquement (IPV4)
listen-on-v6 { none; };
listen-on { 127.0.0.1; 192.168.1.1; 89.0.0.209; };
// Ne pas transférer les informations de zones aux DNS secondaires
allow-transfer { none; };
// Accepter les requêtes pour le réseau interne uniquement
allow-query { internals; 89.0.0.209; };
// Autoriser les requêtes récursives pour les hôtes locaux
allow-recursion { internals; };
// Ne pas rendre publique la version de BIND
version none;
};[/code]
Et enfin voici ce que donne l’état de mes connexions :
[code]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination[/code]
# netstat -uta -u UDP -t TCP
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
tcp 0 0 *:6697 *:* LISTEN
tcp 0 0 localhost:mysql *:* LISTEN
tcp 0 0 *:ircd *:* LISTEN
tcp 0 0 *:pop3 *:* LISTEN
tcp 0 0 *:imap2 *:* LISTEN
tcp 0 0 *:sunrpc *:* LISTEN
tcp 0 0 *:41876 *:* LISTEN
tcp 0 0 mon-domaine.tk:7029 *:* LISTEN
tcp 0 0 mon-domaine.tk:domain *:* LISTEN
tcp 0 0 localhost:domain *:* LISTEN
tcp 0 0 *:ssh *:* LISTEN
tcp 0 0 localhost:ipp *:* LISTEN
tcp 0 0 localhost:postgresql *:* LISTEN
tcp 0 0 *:smtp *:* LISTEN
tcp 0 0 localhost:953 *:* LISTEN
tcp 0 0 *:imaps *:* LISTEN
tcp 0 0 *:8067 *:* LISTEN
tcp 0 0 mon-domaine.tk:7029 mon-domaine.tk:59755 ESTABLISHED
tcp 0 0 mon-domaine.tk:59755 mon-domaine.tk:7029 ESTABLISHED
tcp6 0 0 [::]:www [::]:* LISTEN
tcp6 0 0 [::]:ssh [::]:* LISTEN
tcp6 0 0 ip6-localhost:ipp [::]:* LISTEN
udp 0 0 mon-domaine.tk:domain *:*
udp 0 0 localhost:domain *:*
udp 0 0 *:bootpc *:*
udp 0 0 *:50640 *:*
udp 0 0 *:978 *:*
udp 0 0 *:mdns *:*
udp 0 0 *:sunrpc *:*
udp 0 0 *:ipp *:*
udp 0 0 localhost:58510 localhost:58510 ESTABLISHED
udp 0 0 localhost:921 *:*
udp 0 0 *:40486 *:*
udp6 0 0 [::]:mdns [::]:*
udp6 0 0 [::]:53497 [::]:*
Précisions :
Pour faire les tests depuis une autre machine (sous GNU/Linux) sur le réseau local j’ai modifié le fichier /etc/hosts en y ajoutant
Cependant, la commande dig ne trouve aucune correspondance.
Merci de votre patience !