problème bind

Support Debian
#1

Bonjour,

Dans mes logs, je vois ces lignes là :

10-Mar-2010 12:43:16.157 edns-disabled: info: too many timeouts resolving 'ns3.nic.fr/A' (in 'nic.fr'?): reducing the advertised EDNS UDP packet size to 512 octets 10-Mar-2010 12:43:16.158 edns-disabled: info: too many timeouts resolving 'ns3.nic.fr/AAAA' (in 'nic.fr'?): reducing the advertised EDNS UDP packet size to 512 octets 10-Mar-2010 13:29:32.440 edns-disabled: info: too many timeouts resolving 'ns.dts.mg/A' (in 'dts.mg'?): reducing the advertised EDNS UDP packet size to 512 octets 10-Mar-2010 13:29:32.440 edns-disabled: info: too many timeouts resolving 'ns.dts.mg/AAAA' (in 'dts.mg'?): reducing the advertised EDNS UDP packet size to 512 octets 10-Mar-2010 13:29:35.444 edns-disabled: info: too many timeouts resolving 'adsl-cnaps.dts.mg/A' (in 'dts.mg'?): reducing the advertised EDNS UDP packet size to 512 octets 10-Mar-2010 13:30:29.834 edns-disabled: info: too many timeouts resolving '51.133.168.118.in-addr.arpa/PTR' (in '133.168.118.in-addr.arpa'?): reducing the advertised EDNS UDP packet size to 512 octets

je ne sais pas si ça viens de certaines regles iptables :

39 iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT 40 iptables -A OUTPUT -p udp --dport 53 -j ACCEPT 41 iptables -A INPUT -p tcp --dport 53 -j ACCEPT 42 iptables -A INPUT -p udp --dport 53 -j ACCEPT 43 iptables -A INPUT -j DROP -p udp --dport domain -m u32 --u32 \ 44 "0>>22&0x3C@12>>16=1&&0>>22&0x3C@20>>24=0&&0>>22&0x3C@21=0x00020001" 45 ip6tables -A OUTPUT -p udp --dport domain -j ACCEPT 46 ip6tables -A OUTPUT -p tcp --dport domain -j ACCEPT 47 ip6tables -A INPUT -p udp --dport domain -j ACCEPT 48 ip6tables -A INPUT -p tcp --dport domain -j ACCEPT 49 ip6tables -A INPUT -j DROP -p udp --dport domain -m u32 --u32 \ 50 "0>>22&0x3C@12>>16=1&&0>>22&0x3C@20>>24=0&&0>>22&0x3C@21=0x00020001"

J’ai vu quelques discussions sur des forums mais rien de concluant. Avez vous une idée?

merci d’avance

#2

rebonjour tout le monde,

je me permets un petit up car je ne trouve pas de solution :cry:

#3

C’est censé faire quoi la règle aux caractères indiens???

#4

lol. il sert à interdire les paquets comportant une requête DNS récursive (flags = 0×0100).

#5

Pourquoi tu ne mets pas bêtement

    allow-recursion {192.168.0.0/24; 127.0.0.0/8;};

dans ton named.conf.options

(remplace 192.168.0.0/24 par ton LAN)

Essayes sans cette règle pour voir si le pbm vient de là…

#6

en fait, j’ai dans named.conf.option :

auth-nxdomain no; # conform to RFC1035 listen-on-v6 { ::1; }; listen-on { "ipv4 serveur dédié"; }; listen-on port 53 { 127.0.0.1; "ipv4 serveur dédié"; }; allow-recursion { 127.0.0.1; }; allow-query { localhost; };

mais j’ai déjà essayé sans les regles en question est j’ai le même résultat.

#7

Non, laisse les règles dans le named.conf mais vire la règle iptables aux caractères indiens…

#8

c’est fait. j’attends de voir le résultat et je te tiens au courant. Encore merci Fran.b

#9

Dsl de ne répondre que maintenant mais je viens juste de mettre le serveur en prod et donc de voir encore le même msg. Pourtant les commandes iptables ont été retiré.

#10

Ici j’ai le même problème que toi sur deux serveurs différents. Ca n’est semble-t-il pas bloquant, mais je n’aime pas trop ne pas maîtriser ce qu’il se passe sur mes machines, si tu as plus d’infos je suis preneur.

/edit :

logging { category lame-servers {null; }; category edns-disabled { null; }; };

#11

je suis dsl mais je n’ai pas plus d’information.

J’ai l’impression qu’iptables est la cause du problème mais c’est tout pour le moment.

Si j’ai des news je poste :wink:

#12 
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT

Tu intérroges le serveur sur son port 53, mais lui te répond sur le port que tu as utilisé (aléatoire niveau client). Donc :

iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT

Mais le mieux serait d’utiliser le suivi de connexion : olivieraj.free.fr/fr/linux/infor … 03-07.html