[TEST présence d'un enregistrement SOA]: échec du serveur:

Freddy0ne · Février 21, 2016, 9:17pm

Bonjour à tous,

Voila ça fait 3 jours que je galère pour mettre mon site en lige.
J’ai un serveur dédié debibox avec mon nom de domaine, mais impossible de déclarer mes DNS sur online.net
Je suis sous Debian 7 et je suis novice en Linux.

DNS1: sd-40880.dedibox.fr
DNS2: nssec.dedibox.fr

J’ai essayé de suivre ce post [quote]http://www.debian-fr.org/probleme-configuration-dedibox-nom-de-domaine-t20373.html[/quote]
Mais ça ne passe pas chez moi.

Ma configuration Bind

named.conf

include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";


zone "domoteq.fr" {
        type master;
        file "/etc/bind/db.domoteq.fr";
        allow-transfer {62.210.16.8;};
        allow-query{any;};
        notify yes;
};

zone "domoteq.com" {
        type master;
        file "/etc/bind/db.domoteq.com";
        allow-transfer {62.210.16.8;};
        allow-query{any;};
        notify yes;
};

db.domoteq.fr

$TTL    1800
@        IN      SOA    sd-40880.dedibox.fr. root.domoteq.fr. (
                        2015012304
                        8H
                        2H
                        4W
                        1D )
;
; NAMESERVERS
;
      IN      NS      sd-40880.dedibox.fr.
      IN      NS      nssec.dedibox.fr.
      IN      MX      10 mail.domoteq.fr.
;
; Nodes in domain
;
domoteq.fr.     A       195.154.70.109
www             IN      A       195.154.70.109
mail            IN      A       195.154.70.109
ns              IN      A       195.154.70.109
smtp            IN      A       195.154.70.109
pop             IN      A       195.154.70.109
ftp             CNAME   domoteq.fr.
imap            IN      A       195.154.70.109
;
; subdomains
;
*.domoteq.fr.   IN      A       195.154.70.109

J’ai fouillé le net, je ne sais plus quoi faire

Cordialement,
Freddy

PascalHambourg · Février 21, 2016, 9:17pm

sd-40880.dedibox.fr (195.154.70.109) ne répond pas aux requêtes DNS, ni en TCP ni en UDP. Même pas de paquet ICMP destination unreachable ou TCP reset en réponse, ce qui me laisse penser que le port 53 est silencieusement bloqué par iptables (DROP).

Freddy0ne · Février 21, 2016, 9:17pm

Merci PascalHambourg pour ton aide, mais je ne vois pas pourquoi le port 53 ne répond pas.
Pourtant le port est ouvert.

[code]sd-40880:/# iptables -nL
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:4585
ACCEPT all – 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT all – 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp – 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:8443
ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
ACCEPT all – 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:143
ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:4598
ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:10000

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all – 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT udp – 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT udp – 0.0.0.0/0 0.0.0.0/0 udp dpt:123
ACCEPT all – 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp – 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:143
[/code]

PascalHambourg · Février 21, 2016, 9:17pm

Pas en entrée (INPUT).
Préfère [mono]iptables-save[/mono] dont le format de sortie est plus lisible et complet.

Freddy0ne · Février 21, 2016, 9:17pm

J’ai ceci

[code]sd-40880:/# iptables-save

Generated by iptables-save v1.4.14 on Fri Jan 23 23:45:22 2015

*mangle
:PREROUTING ACCEPT [299523]
:INPUT ACCEPT [299523]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [177871]
:POSTROUTING ACCEPT [177780]
COMMIT

Completed on Fri Jan 23 23:45:22 2015

Generated by iptables-save v1.4.14 on Fri Jan 23 23:45:22 2015

*nat
:PREROUTING ACCEPT [32976:4435050]
:INPUT ACCEPT [1635:119622]
:OUTPUT ACCEPT [7637:480487]
:POSTROUTING ACCEPT [7561:475927]
COMMIT

Completed on Fri Jan 23 23:45:22 2015

Generated by iptables-save v1.4.14 on Fri Jan 23 23:45:22 2015

*filter
:INPUT DROP [115441:8435968]
:FORWARD DROP [0:0]
:OUTPUT DROP [88:5040]
-A INPUT -p tcp -m tcp --dport 4585 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 143 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 4598 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 123 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 143 -j ACCEPT
COMMIT

Completed on Fri Jan 23 23:45:22 2015

[/code]

PascalHambourg · Février 21, 2016, 9:17pm

Comme je disais, il manque des règles pour le port 53 en TCP et UDP dans la chaîne INPUT (je ne commenterai pas les autres erreurs sans lien avec DNS).

Freddy0ne · Février 21, 2016, 9:17pm

Je ne sais pas trop comment ajouter cette règle dans mon firewall, je suis novice.
Peux-tu me donner un exemple à ajouter stp?

Freddy0ne · Février 21, 2016, 9:17pm

C’est bon, j’ai ajouté le port 53 INPUT

:INPUT DROP [11:818] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -p tcp -m tcp --dport 2709 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT -A INPUT -p udp -m udp --dport 53 -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -p tcp -m tcp --dport 8443 -j ACCEPT -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT -A INPUT -p tcp -m tcp --dport 143 -j ACCEPT -A INPUT -p tcp -m tcp --dport 4598 -j ACCEPT -A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 21 -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT -A OUTPUT -p udp -m udp --dport 123 -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -p icmp -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 110 -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 143 -j ACCEPT

PascalHambourg · Février 21, 2016, 9:17pm

Ça dépend par quoi sont créées les règles en place (script perso, gestionnaire de pare-feu prêt à l’emploi…). C’est ton serveur, tu dois le savoir.

Tu peux créer les règles manuellement, mais elles ne seront pas persistantes (sauf si un script les enregistre lors de l’arrêt du système) :

iptables -A INPUT -p udp -m tcp --dport 53 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT

EDIT : message envoyé avant d’avoir vu ta dernière réponse.
Le serveur a l’air de répondre correctement pour la zone.

Freddy0ne · Février 21, 2016, 9:17pm

Merci à toi déjà pour le firewall
J’analyse encore mes dns pour voir où j’ai des erreurs

Freddy0ne · Février 21, 2016, 9:17pm

ça m’inquiète là, peux-tu développer please?

PascalHambourg · Février 21, 2016, 9:17pm

Il n’y a pas de quoi s’alarmer.

Doublon de la règle ESTABLISHED,RELATED en INPUT.
Je suppose que la règle pour le port 20 en INPUT est pour FTP, mais elle est inutile car ni un client ni un serveur FTP n’écoute sur ce port. Les connexions de données sont gérées par le module nf_conntrack_ftp (qui doit être chargé explicitement) en conjonction avec l’état RELATED.
Autoriser tout le trafic ICMP sans restriction est un peu laxiste. Certains types ICMP sont indispensables (destination-unreachable, time-exceeded, parameter-problem dans l’état RELATED donc déjà acceptés), d’autres sont aujourd’hui considérés comme potentiellement nuisibles (redirect, source-quench dans l’état RELATED donc déjà acceptés). Entre les deux il y a ceux qui peuvent être utiles (echo-request utilisé par ping et certains traceroute) avec une limitation de fréquence pour éviter les abus.

Freddy0ne · Février 21, 2016, 9:17pm

Super PascalHambourg, mille merci!!!
Tout va bien maintenant.

Par contre j’ai quelques questions :

1 : test effectué sur ZoneCheck, saurais-tu comment faire pour régler cela?

[code]Résultat des tests
---- avertissement ----
serveurs de noms appartenant tous au même AS
a: Les serveurs de nom font tous partie du même AS

Conseil: ZoneCheck

Afin d'éviter de perdre la connectivité avec les serveurs DNS faisant autorité en cas de problèmes de routage dans le Système Autonome, il est conseillé d'héberger les serveurs sur différents AS.

générique

vérification du nom correspondant à l’adresse IP du serveur
a: Incoherence entre le nom correspondant à l’adresse IP et celui du serveur

nssec.dedibox.fr/62.210.16.8
sd-40880.dedibox.fr/195.154.70.109

Statut final
SUCCÈS (mais 3 avertissement(s)) [/code]

2 : Est-ce que avec mes DNS je peux faire 1 Glue record?

PascalHambourg · Février 21, 2016, 9:17pm

Oui, les deux serveur DNS de la zone sont dans le réseau d’Online. Si tout le réseau d’Online tombe, ton domaine ne sera plus résolu. De toute façon ton serveur dédié ne sera pas accessible non plus, alors si tu n’utilises pas le domaine en dehors du dédié, ce n’est pas bien grave.

sd-40880.dedibox.fr a pour adresse IPv4 195.154.70.109 qui a pour reverse DNS 195-154-70-109.rev.poneytelecom.eu, qui ressemble à un reverse générique.
nssec.dedibox.fr a pour adresse IPv4 62.210.16.8 qui a pour reverse DNS nssec.online.net.
Pour les deux, le reverse ne correspond pas au nom utilisé.
Tu peux remplacer nssec.dedibox.fr dans les NS de ta zone par le nom canonique, nssec.online.net.
Tu peux aussi remplacer le reverse générique de l’adresse de ton serveur par sd-40880.dedibox.fr dans l’interface de gestion de dedibox.
Mais cela n’a rien d’obligatoire, ta zone fonctionnera aussi bien telle quelle.

Un glue record est nécessaire pour un NS dont le nom appartient à la zone qu’il sert. Dans la zone parente, en plus de l’enregistrement NS, on doit ajouter un enregistrement d’adresse A (IPv4) et/ou AAAA (IPv6) pour définir son adresse.
Actuellement, le nom d’aucun des NS de ta zone n’appartient à la zone domoteq.fr. Si tu voulais remplacer sd-40880.dedibox.fr par un nom appartenant à la zone domoteq.fr comme ns.domoteq.fr, un glue record serait nécessaire. Il est créé par l’interface de gestion du domaine quand tu modifie les DNS de délégation.