Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 23/02/2015, à 14:53

bruno38000

trace dans le /var/log/syslog query (cache) denied

Bonjour à tous,

Depuis quelques temps j'ai ce genre de messages dans mon /var/log/syslog (environ 1000 depuis ce matin)

syslog a écrit :

Feb 23 13:43:21 ns381806 named[9070]: client 220.152.53.9#56613: query (cache) 'monserveur.net/MX/IN' denied
Feb 23 13:43:22 ns381806 named[9070]: client 220.152.53.9#7720: query (cache) 'monserveur.net/MX/IN' denied
Feb 23 13:43:23 ns381806 named[9070]: client 220.152.53.9#45333: query (cache) 'monserveur.net/MX/IN' denied
Feb 23 13:43:23 ns381806 named[9070]: client 109.194.149.200#35721: query (cache) 'monserveur.net/A/IN' denied
Feb 23 13:43:23 ns381806 named[9070]: client 109.194.149.198#25387: query (cache) 'monserveur.net/MX/IN' denied
Feb 23 13:43:23 ns381806 named[9070]: client 109.194.149.198#40048: query (cache) 'monserveur.net/MX/IN' denied


J'ai essayer plusieurs choses pour le faire taire :
C'est à priori un autre serveur qui a en cache le DSN de mon serveur et qui essaie de se connecter à notre dsn. Je me trompe ?

J'ai lu ici
https://kb.isc.org/article/AA-00269/0/W … cache.html [^]
qu'en ajoutant dans le fichier de conf /etc/bind/names.cnf.options
une restriction sur le cache cela pouvait être empêcher en amond par bind :

mais je ne suis pas arrivé à arrêter ces accès même en modifiant ma configuration bind comme suit  :

/etc/bind/names.cnf.options a écrit :

acl "trusted" {
     monIp;
     127.0.0.0;
     localhost;
     localnets;
};

options {
    directory "/var/cache/bind";

    // If there is a firewall between you and nameservers you want
    // to talk to, you may need to fix the firewall to allow multiple
    // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

    // If your ISP provided one or more IP addresses for stable
    // nameservers, you probably want to use them as forwarders. 
    // Uncomment the following block, and insert the addresses replacing
    // the all-0's placeholder.

    // forwarders {
    //     0.0.0.0;
    // };

   
  allow-recursion { trusted; };
  allow-query-cache { trusted; };

    auth-nxdomain no;    # conform to RFC1035
    listen-on-v6 { none; };
};

Ma configuration bind est-elle encore trop permissive ?
Pourriez-vous me donner d'autres pistes ?

Merci pour vos réponses éclairées

Hors ligne

Pages : 1