Ubuntu-fr

florian18

Reverse DNS avec bind

Bonjour,

J'ai configuré un serveur reverse DNS avec bind pour 2 bloc IP sur 3 serveurs (un serveur maitre et 2 esclaves).

A priori le reverse fonctionne bien puisque depuis mon PC j'obtiens le résultat suivant:

dig ptr 195.192-27.4.4.62.in-addr.arpa

; <<>> DiG 9.8.1-P1 <<>> ptr 195.192-27.4.4.62.in-addr.arpa
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60992
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 0

;; QUESTION SECTION:
;195.192-27.4.4.62.in-addr.arpa.	IN	PTR

;; ANSWER SECTION:
195.192-27.4.4.62.in-addr.arpa.	60 IN	PTR	 serv1.domain.fr.

;; AUTHORITY SECTION:
192-27.4.4.62.in-addr.arpa. 60	IN	NS	ns2.domain.org.
192-27.4.4.62.in-addr.arpa. 60	IN	NS	ns1.domain.org.
192-27.4.4.62.in-addr.arpa. 60	IN	NS	ns3.domain.org.

;; Query time: 58 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Jul 24 14:54:15 2014
;; MSG SIZE  rcvd: 147

Hors depuis un serveur dédié où BIND est présent voici le résultat:

dig ptr 195.192-27.4.4.62.in-addr.arpa

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> ptr 195.192-27.4.4.62.in-addr.arpa
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 63159
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;195.192-27.4.4.62.in-addr.arpa.	IN	PTR

;; Query time: 2 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Jul 24 14:59:09 2014
;; MSG SIZE  rcvd: 48

Si je teste mon reverse depuis cette outils ça fonctionne aussi:

http://mxtoolbox.com/SuperTool.aspx?act … =toolpage#

Voici mes fichiers de conf bind:

/etc/bind/named.conf.options

options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See [url]http://www.kb.cert.org/vuls/id/800113[/url]

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

        // forwarders {
        //      0.0.0.0;
        // };

        //========================================================================
        // If BIND logs error messages about the root key being expired,
        // you will need to update your keys.  See [url]https://www.isc.org/bind-keys[/url]
        //========================================================================
        dnssec-validation auto;

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
        listen-on { any; };
        allow-transfer { 198.50.150.5; 92.222.36.136; };
};

/etc/bind/named.conf.local

//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";
zone "192-27.4.4.62.in-addr.arpa" {
        type master;
        notify yes;
        file "/var/lib/bind/62.4.4.192.rev";
        allow-transfer { esclave; };
        allow-query { any; };
        };
zone "128-27.0.4.62.in-addr.arpa"{
        type master;
        notify yes;
        file "/var/lib/bind/62.4.0.128.rev";
        allow-transfer { esclave; };
        };

acl esclave {
 198.50.150.5;   # Serveur esclave 1
 92.222.36.136;   # Serveur esclave 2
};

/var/lib/bind/62.4.4.192.rev

$ttl 60
@       IN      SOA     192-27.4.4.62.in-addr.arpa. name.domain.fr. (
                        3838655790
                        60
                        60
                        60
                        60 )
@       IN      NS      ns1.domain.org.
@       IN      NS      ns2.domain.org.
@       IN      NS      ns3.domain.org.
195     IN      PTR     serv1.domain.fr.
196     IN      PTR     sub.domain.fr.

Le résultat de la commande named-checkconf -z:

zone 192-27.4.4.62.in-addr.arpa/IN: loaded serial 3838655790
zone 128-27.0.4.62.in-addr.arpa/IN: loaded serial 3838655788
zone localhost/IN: loaded serial 2
zone 127.in-addr.arpa/IN: loaded serial 1
zone 0.in-addr.arpa/IN: loaded serial 1
zone 255.in-addr.arpa/IN: loaded serial 1

et enfin mon fichier /etc/resolv.conf

# generated by customize-guest script
nameserver 127.0.0.1
nameserver 92.222.34.18

Quelqu'un a une idée de ce qui se passe?

Merci par avance

bruno

Re : Reverse DNS avec bind

Bonjour,

Tes conventions de nommage pour la résolution inverse n'ont pas l'air correctes :

192-27.4.4.62.in-addr.arpa.

Pour une IP 62.4.4.27 le nom devrait être 27.4.4.62.in-addr.arpa

Regarde les résultats des commandes :

dig -x a.b.c.d @ip_serveur_dns

elle devraient normalement retourner les enregistrements PTR (ce qui ne semble pas être le cas avec ta configuration).

En tout cas cela ne me semble pas conforme à ce qui est décrit dans la RFC 2317 pour la résolution inverse de tes sous-réseaux (Classless reverse DNS)

Dernière modification par bruno (Le 26/07/2014, à 11:36)

florian18

Re : Reverse DNS avec bind

Bonjour Bruno,

Merci pour ta réponse.

Je débute dans les DNS et il est vrai que c'est à s'y perdre!

En fait je possède la plage d'IP qui va de 62.4.4.192 à l'ip 62.4.4.223 d'où mon nommage en 192-27.4.4.62.in-addr.arpa.

Mais si je suis ta logique il faudrait donc que j'indique 192.4.4.62.in-addr.arpa?

Sinon le résultat de la commande dig -x a.b.c.d@ip_serveur_dns:

; <<>> DiG 9.8.1-P1 <<>> -x 62.4.4.196@ns1.domain.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 23691
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;org.domain.196\@ns1.4.4.62.in-addr.arpa.	IN PTR

;; AUTHORITY SECTION:
4.4.62.in-addr.arpa.	86047	IN	SOA	nsa.online.net. dnsmaster.te-dns.net. 2014071601 28800 7200 604800 86400

;; Query time: 27 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon Jul 28 10:23:58 2014
;; MSG SIZE  rcvd: 122

Merci par avance pour ton aide

bruno

Re : Reverse DNS avec bind

Il faut que tu essaies en tout cas Je n'ai jamais utilisé ce genre de configuration et je ne suis pas un spécialiste je ne peux donc guère t'aider davantage, mais je t'ai donné le lien vers la RFC qui traite précisément de ton problème et fournit des exemples…

florian18

Re : Reverse DNS avec bind

Bonjour Bruno,

J'ai tenté de modifier le nom de la zone en 192.4.4.62.in-addr.arpa mais cette fois si la commande dig ptr 195.4.4.62.in-addr.arpa me retournait un status REFUSED.

J'ai vraiment du mal à comprendre tout ça. Je vais continuer à faire des tests

bruno

Re : Reverse DNS avec bind

Il faudrait surtout corriger ton fichier de zone inverse :

$ttl 60
@       IN      SOA     192-27.4.4.62.in-addr.arpa. name.domain.fr. (
                        3838655790
                        60
                        60
                        60
                        60 )
@       IN      NS      ns1.domain.org.
@       IN      NS      ns2.domain.org.
@       IN      NS      ns3.domain.org.
195     IN      PTR     serv1.domain.fr.
196     IN      PTR     sub.domain.fr.

par :

$TTL 60
@       IN      SOA    ns1.domain.org.  hostmaster.domain.org. (
                        3838655790
                        60
                        60
                        60
                        60 )
@       IN      NS      ns1.domain.org.
195     IN      PTR     serv1.domain.fr.
196     IN      PTR     sub.domain.fr.

L'enregistrement SOA doit indiquer le FQDN du serveur DNS et le courriel de l'admin (cf. la doc de bind)
Ensuite c'est curieux que tu ait 3 enregistrements ns1 ns2, ns3 pour la même IP

florian18

Re : Reverse DNS avec bind

Merci Bruno,

J'ai donc éditer mon fichier de zone inverse comme tu me l'as donné mais j'obtiens toujours SERVFAIL lorsque je fais une requête sur un de mes serveurs avec bind.

En fait il y a 3 serveurs DNS (un maitre un esclave). D'où les ns1.domain.org, ns2.domain.org, ns3.domain.org.

Chaque serveur ns à sa propre IP.

Le ns1 est le serveur maitre. ns2 et ns3 viennent chercher la configuration de ns1 et si le serial à été incrémenter sur ns1 alors ils mettent à jours les zones.