Fedora-Fr

fredouille · 2009-05-01T14:41:23+00:00

Bonjour à tous, Je reviens une fois de plus sur les méandres des adresses IP. J'ai un poste en F10 que j'essayes tant bien que mal de faire fonctionner en...

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

adresse internet bogon

nouvo09

Pourquoi cette complication ? autant le faire en mode interactif sauf si l'on est dans un script:

/home/user $ bc -l
bc 1.06
Copyright 1991-1994, 1997, 1998, 2000 Free Software Foundation, Inc.
This is free software with ABSOLUTELY NO WARRANTY.
For details type `warranty'.
ibase=2
11000000
192

fredouille

Bonjour a tous,

Merci bien pour toutes ces infos sur les adresses réseau ainsi que pour les liens qui vont avec.

Pour ce qui est de créer des vues sur le serveur dns, il me vient une question :
je dois creer des vues pour les clients internes et les clients externes, mais comme je fais un zonecheck depuis un de mes clients, zonecheck verra encore une adresse bogon de réseau privée puisque le serveur dns est sur le réseau privé, la seule adresse public est celle du modem et le serveur ne la connait pas.

Je ne vois toujours pas comment le fait de creer des vues va m'aider pour faire croire à zonecheck que les réponses dns viennent d'une adresse public.

En attendant vos réponses, je vais essayer les vues (surement que je comprends mal le fonctionnement de zonecheck)

fredouille

a tous :

Je viens de mettre en place les vues dans le fichier named.conf.
Plusieurs petits soucis :
- dans la vue externe, si je mets le recursion no; le serveur DNS lui même ne résoud plus les adresses internet (je n'ai pas besoin de donner le résultat qu'ont les clients de mon réseau).
=> j'ai donc commenté cette option pour l'instant.
- le zonecheck n'arrive pas à trouver de serveur DNS (même avec l'option recursion no; commentée), pourtant j'ai suivi le tuto, à l'exception du file de la zone interne (je ne sais pas quoi mettre).

voici le résultat :

[root@locahost ~]# zonecheck -4 --verbose=i,x,d --error=ns mon_reseau.org
ERREUR: Impossible de trouver le serveur de nom primaire (SOA)

- le serveur comme les clients ne sont fichus de résoudre les adresses de mon réseau.

Voici mon fichier named.conf :

acl mon_lan {
{ 192.168.1.0/24; };
};
options {
listen-on port 53 { 127.0.0.1; 192.168.0.51; };
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { localhost; mon_lan; };
recursion yes;
allow-recursion { 127.0.0.1; mon_lan; };
allow-transfer { 127.0.0.1; mon_lan; };
};

logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};

view "externe" {
zone "." IN {
type hint;
file "externe_named.ca";
};
match-clients { any; };
// recursion no;
match-destinations { any; };
};

view "interne" {
match-clients { mon_lan; };
recursion yes;
match-destinations { mon_lan; };

zone "." IN {
type hint;
file "named.ca";
};

zone "mon_reseau.org" IN {
type master;
file "slaves/mon_reseau.org.db";
allow-update { 127.0.0.1; };
};

zone "1.168.192.in-addr.arpa" IN {
type master;
file "slaves/192.168.1.db";
allow-update { 127.0.0.1; };
};

include "/etc/named.rfc1912.zones";
};

Je ne vois pas trop ce qui déconne, alors si vous avez une idée....

pmarion

Que disent sur ton serveur lui-même :
named-checkconf
named-checkzone nom_domaine chemin_fichier_domaine.zone
et
grep named /var/log/messages | tail -n30

fredouille

a pmarion :

Voici les résultats des commandes demandées :

la 1ere, rien :

[root@locahost ~]# named-checkconf
[root@locahost ~]#

la 2nde :

[root@locahost ~]# named-checkzone mon-reseau.org /var/named/chroot/var/named/slaves/mon_reseau.org.db
zone mon_reseau.org/IN: loaded serial 2009043027
OK
[root@locahost ~]#

la 3eme, rien :

[root@locahost ~]# grep named /var/log/messages | grep tail -n30
[root@locahost ~]#

pmarion

Que donne
service named status
puis
service named restart
puis
tail /var/log/messages

fredouille

service named status donne ceci :

[root@locahost ~]# service named status
version: 9.5.1-P2-RedHat-9.5.1-2.P2.fc10
number of zones: 31
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF
recursive clients: 0/0/1000
tcp clients: 0/100
server is up and running
named (pid 5776) en cours d'exécution...

service named restart :

[root@locahost ~]# service named restart
Arrêt de named : [ OK ]
Démarrage de named : [ OK ]

et tail /var/log/messages :

[root@locahost ~]# tail /var/log/messages
May 3 19:01:49 localhost named[5877]: zone 0.168.192.in-addr.arpa/IN/interne: loaded serial 2009043011
May 3 19:01:49 localhost named[5877]: zone 1.168.192.in-addr.arpa/IN/interne: loaded serial 2009043022
May 3 19:01:49 localhost named[5877]: zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN/interne: NS '1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa' has no address records (A or AAAA)
May 3 19:01:49 localhost named[5877]: zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN/interne: loaded serial 0
May 3 19:01:49 localhost named[5877]: zone localhost.localdomain/IN/interne: loaded serial 0
May 3 19:01:49 localhost named[5877]: zone localhost/IN/interne: loaded serial 0
May 3 19:01:49 localhost named[5877]: zone mon_reseau.org/IN/interne: loaded serial 2009043027
May 3 19:01:49 localhost named[5877]: running

Tu as une idée d'où je déconne ???

madko

ton lan est en 192.168.1.0/24 et ton serveur dns en 192.168.0.51 c'est normal qu'ils ne soient pas dans le même reseau?

fredouille

a madko :

je me suis aperçu de l'erreur hier soir, je l'ai corrigé et mis le serveur dns en 192.168.1.51.
J'ai rebooté la machine et ça n'a rien changé aux vues du serveur DNS.

Dès que je fais un [root@srvr ~]# zonecheck -4 --verbose=i,x,d --error=ns mon_reseau.org, j'ai ce résultat :

[root@srvr ~]# zonecheck -4 --verbose=i,x,d --error=ns mon_reseau.org
ZONE : mon_reseau.org.
NS <= : passerelle.mon_reseau.org. [192.168.1.51]

_____________________
,---------------------.|
~~~~ | avertissement || ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
`---------------------'
a> Les serveurs de nom font tous partie du même AS
| Conseil: ZoneCheck
| Afin d'éviter de perdre la connectivité avec les serveurs DNS
| autoritaires en cas de problèmes de routage dans le Système Autonome,
| il est conseillé d'héberger les serveurs sur différents AS.
`----- -- -- - - -
: Tous les serveurs de noms font partie du même Système Autonome (AS
: numéro 4294967295), essayez d'en héberger certains sur un autre.
`..... .. .. . . .
=> générique

a> L'adresse a été allouée dans un réseau privé
| Réf: IETF RFC1918 (3. Private Address Space)
| The Internet Assigned Numbers Authority (IANA) has reserved the
| following three blocks of the IP address space for private internets:
| 10/8, 172.16/12, 192.168/16.
`----- -- -- - - -
=> passerelle.mon_reseau.org.

a> Présence d'adresses listées parmi les 'bogon'
| Réf: http://www.cymru.com/Bogons/
| A bogon prefix is a route that should never appear in the Internet
| routing table. A packet routed over the public Internet (not including
| over VPN or other tunnels) should never have a source address in a
| bogon range. These are commonly found as the source addresses of DDoS
| attacks.
`----- -- -- - - -
: Classé parmi les 'bogon': 192.168.1.51.
`..... .. .. . . .
=> passerelle.mon_reseau.org.

a> Les adresses des "Root Servers" sont incohérentes avec celles de l'ICANN
| Réf: IETF RFC2870 (p.1)
| The Internet Corporation for Assigned Names and Numbers (ICANN) has
| become responsible for the operation of the root servers. The ICANN has
| appointed a Root Server System Advisory Committee (RSSAC) to give
| technical and operational advice to the ICANN board. The ICANN and the
| RSSAC look to the IETF to provide engineering standards.
`----- -- -- - - -
: Les addresses (193.0.14.129, 2001:7FD::1) du "Root Server"
: k.root-servers.net. ne sont pas les même que celles de l'ICANN
: (193.0.14.129).
`..... .. .. . . .
=> passerelle.mon_reseau.org./192.168.1.51

a> [TEST domain délégué est un openrelay]: Dependency issue? (allwarning/dontstop flag?)
=> générique

a> Le "postmaster" ne peut pas être contacté par mél
| Réf: IETF RFC1123 (p.51 5.2.7 RCPT Command: RFC-821 Section 4.1.1)
| A host that supports a receiver-SMTP MUST support the reserved
| mailbox "Postmaster".
`----- -- -- - - -
: Impossible d'envoyer un email au "postmaster" (postmaster@mon_reseau.org.)
: à travers les relais: passerelle.mon_reseau.org..
`..... .. .. . . .
=> générique

a> [TEST domain of the hostmaster email is not an openrelay]: Dependency issue? (allwarning/dontstop flag?)
=> générique

_____________
,-------------.|
~~~~ | fatal || ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
`-------------'
f> Au moins deux serveurs de noms sont nécessaires
| Conseil: ZoneCheck
| To avoid loosing all connectivity with the autoritative DNS in case
| of network outage it is advised to host the DNS on different networks.
|
| Réf: IETF RFC2182 (Abstract)
| The Domain Name System requires that multiple servers exist for every
| delegated domain (zone). This document discusses the selection of
| secondary servers for DNS zones. Both the physical and topological
| location of each server are material considerations when selecting
| secondary servers. The number of servers appropriate for a zone is also
| discussed, and some general secondary server maintenance issues
| considered.
`----- -- -- - - -
=> générique

f> [TEST envoie de mél au "hostmaster"]: Dependency issue? (allwarning/dontstop flag?)
=> générique

==> ECHEC (et 7 avertissement(s))
[root@srvr ~]#

Me viens d'ailleurs une question concernant mes interfaces ethernets :
ma configuration est-elle bonne ?
(eth0 pour la connexion internet et eth1 pour le réseau privé)

# Realtek Semiconductor Co., Ltd. RTL8101E PCI Express Fast Ethernet controller
DEVICE=eth0
BOOTPROTO=none
BROADCAST=192.168.0.255
HWADDR=00:19:66:74:2F:A2
IPADDR=192.168.0.51
NETMASK=255.255.255.0
NETWORK=192.168.0.0
ONBOOT=yes
GATEWAY=192.168.0.1
TYPE=Ethernet
USERCTL=yes
IPV6INIT=no
PEERDNS=yes
NM_CONTROLLED=no

DEVICE=eth1
BOOTPROTO=none
BROADCAST=192.168.1.255
HWADDR=00:E0:7D:E2:5D:43
IPADDR=192.168.1.51
NETMASK=255.255.255.0
NETWORK=192.168.1.0
ONBOOT=yes
GATEWAY=127.0.0.1
TYPE=Ethernet
USERCTL=yes
IPV6INIT=no
PEERDNS=yes
NM_CONTROLLED=no

le gateway de eth1 doit-il être 127.0.0.1 comme actuellement ou 192.168.0.51 ?
Ou dois-je faire un pont ? je pose la question car j'ai lu ça dans quelques tutos (ne connaissant pas leur date de mise à jour je me suis abstenu)

Merci encore pour votre aide....

madko

une gateway en 127.0.0.1 ça me parait bien bizare. Peut etre pour ça que la recursion ne marche pas, si ton dns ne peut pas sortir sur internet. vire la ligne GATEWAY dans le ifcfg-eth1. Il faudra maintenant faire ton zonecheck depuis l'exterieur pour voir si les vues sont differentes.

fredouille

a madko :

Je suis d'accord avec toi, cela me parait bizarre aussi, mais quand je mets le gateway de l'eth1 pointant sur l'eth0 (192.168.0.51) le serveur n'arrive plus à aller sur internet, et ca cela me semble normal du fait que dans le fichier named.conf je dis à named d'écouter 127.0.0.1 et 192.168.1.51 (voir #28 et #29).

Je viens d'essayer depuis l'extérieur de mon réseau avec un client en 192.168.0.49 masque 255.255.255.0 gateway 192.168.1.51 en passant par 1 fois par la carte eth0 du serveur et une autre fois par la carte eth1 du meme serveur, et internet n'est pas joignable (encore moins le serveur DNS).

je veux bien essayer en virant le gateway de l'eth1 du serveur, mais là je vois pas du tout comment il va faire pour résoudre les adresses si je ne lui dis pas ou est le serveur DNS.....

madko

mais tu as deja une gateway dans l'eth0 qui pointe vers ton modem nan? donc ça sort sur le net depuis ton serveur si tu met pas de gateway sur eth1.

modem <=> eth0 192.168.0.51 <=> eth1 192.168.1.51 <=> lan

c'est comme ça?
du coup suffit d'avoir en gateway l'ip du modem dans la conf de eth0 et pis voila.
tu active aussi le routage en mettant:
net.ipv4.ip_forward = 1
dans /etc/sysctl.conf et en lancant la commande "sysctl -p".

que renvoie "route -n"?

fredouille

J'ai viré le gateway de l'eth1, fais les ifdown et ifup de l'eth1 et internet est toujours dispo pour tous les postes (serveur et clients), tant mieux.

par contre les vues ne fonctionnent toujours pas ou plutôt j'ai ceci comme réponse quand je fais la commande zonecheck en ayant l'eth0 d'un client en 192.168.0.49 masque 255.255.255.0 gateway 192.168.1.51 et DNS en 192.168.1.51 :

[root@portFB2 ~]# zonecheck -4 --verbose=i,x,d --error=ns mon_reseau.org
ERREUR: Network is unreachable - connect(2)

Normalement le vue externe devrait faire son boulot ??

madko

dans ton fichier de conf tes vues n'ont pas l'air d'etre dans le bon ordre. Et tu as tes zones en dehors des vues alors je sais pas si ça va marcher.

fredouille

a madko :
je viens de vérifier le fichier /etc/sysctl.conf et net.ipv4.ip_forward est déjà à = 1.

je ne sais plus quoi faire.....

madko

j'ai un doute là, ton domaine il a bien vocation à exister sur internet? que t'as enregistré et tout ou c'est un domaine privé?

fredouille

a madko :
concernant les vues, j'ai lu hier soir dans un tuto que l'ordre des vues était très important, bind prend la 1ère vue correspondant aux critères de la requête; alors j'ai passé la vue interne contenant toutes mes zones en premier, puis la zone externe à la fin.

Voici mon named.conf actuel :

acl mon_lan {
{ 192.168.1.0/24; };
{ 192.168.2.0/24; };
};
options {
listen-on port 53 { 127.0.0.1; 192.168.1.51; };//Specifie l interface a ecouter
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
// blackhole { 192.168.0.0/24; };//Specifie les hotes interdits d'interroger le serveur
allow-query { localhost; mon_lan; };//Specifie les hotes autorises a interroger le serveur
recursion yes;
allow-recursion { 127.0.0.1; mon_lan; };//Idem à allow-query, seulement pour des demandes recursives
notify no;//Notifie aux serveurs esclaves si une zone est mie a jour
};

logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};

view "interne" {
// zone"mon_reseau.org" IN {
// type master;
// file "slaves/mon_reseau.org.db";//Specifie le fichier de la zone dans le repertoire du serveur
// };
match-clients { 127.0.0.1; mon_lan; };//Specifie les clients de la vue
// recursion yes;
match-destinations { 127.0.0.1; mon_lan; };

zone "." IN {
type hint;
file "named.ca";//Specifie le fichier de la zone dans le repertoire du serveur
};

zone "mon_reseau.org" IN {
type master;
file "slaves/mon_reseau.org.db";//Specifie le fichier de la zone dans le repertoire du serveur
allow-query { 127.0.0.1; mon_lan; };//Specifie les clients autorises a demander des informations sur cette zone
// allow-transfer { any; };//specifie les serveurs esclaves a demander un transfert d informations sur cette zone
allow-update { 127.0.0.1; };//Specifie les hotes autorises a mettre a jour dynamiquement les informations sur cette zone
};

zone "0.168.192.in-addr.arpa" IN {
type master;
file "slaves/192.168.0.db";//Specifie le fichier de la zone dans le repertoire du serveur
allow-query { 127.0.0.1; mon_lan; };//Specifie les clients autorises a demander des informations sur cette zone
// allow-transfer { any; };//specifie les serveurs esclaves a demander un transfert d informations sur cette zone
allow-update { 127.0.0.1; };//Specifie les hotes autorises a mettre a jour dynamiquement les informations sur cette zone
};

zone "1.168.192.in-addr.arpa" IN {
type master;
file "slaves/192.168.1.db";//Specifie le fichier de la zone dans le repertoire du serveur
allow-query { 127.0.0.1; mon_lan; };//Specifie les clients autorises a demander des informations sur cette zone
// allow-transfer { any; };//specifie les serveurs esclaves a demander un transfert d informations sur cette zone
allow-update { 127.0.0.1; };//Specifie les hotes autorises a mettre a jour dynamiquement les informations sur cette zone
};

zone "2.168.192.in-addr.arpa" IN {
type master;
file "slaves/192.168.2.db";//Specifie le fichier de la zone dans le repertoire du serveur
allow-query { 127.0.0.1; mon_lan; };//Specifie les clients autorises a demander des informations sur cette zone
// allow-transfer { any; };//specifie les serveurs esclaves a demander un transfert d informations sur cette zone
allow-update { 127.0.0.1; };//Specifie les hotes autorises a mettre a jour dynamiquement les informations sur cette zone
};

include "/etc/named.rfc1912.zones";
};

view "externe" {
zone "." IN {
type hint;
file "externe_named.ca";//Specifie le fichier de la zone dans le repertoire du serveur
};
match-clients { any; };//Specifie les clients de la vue
recursion yes;
match-destinations { any; };
};

Pour ce qui est de la vue externe, j'ai même essayé en mettant 192.168.0.0/24 à la place des any, mais ca ne change rien.

Pour ta dernière question, mon domaine n'est pas encore enregistré, je voudrai d'abord être sûr d'arriver à tout faire fonctionner correctement avant de le mettre en ligne.
Je crois d'ailleurs que pour pouvoir l'enregister je dois payer une somme à registar (ou autres) pour que mon domaine existe réellement.
Actuellement je passe par dyndns ou no-ip pour contacter mon serveur sur internet.

madko

et ton client en 192.168.0.49 il arrive a pinguer 192.168.1.51?

allow-query { localhost; mon_lan; };//Specifie les hotes autorises a interroger le serveur

peut etre mettre any? sinon ton 192.168.0.49 il est pas autorisé à l'interroger ton dns. C'est surtout le allow-recursion qu'il faut restreindre à tes clients.

fredouille

a madko :

oui le client 192.168.0.49 ping bien 192.168.1.51 et les réponses sont positives.

Je viens d'essayer en mettant any dans les allow-query et allow-recursion, ca ne change rien..

[root@portFB2 ~]# zonecheck -4 --verbose=i,x,d --error=ns mon_reseau.org
ERREUR: Network is unreachable - connect(2)

Et je n'ai plus d'internet

madko

il ne fallait pas toucher au allow-recursion, uniquement au allow-query, a la limite commente le. Je ne vois pas vraiment de raison qui ferait que ça coupe internet par contre.
T'aurais pas non plus un parefeu qui bloquerait le port 53 sur ton eth0 de ton reseau 192.168.0.x?

« Page précédente Page suivante »