#1 Le 13/06/2011, à 13:39
- balbuzard
[SOLVED] Configuration de bind - forwarders pas contactés
Bonjour;
Je suis en train de configurer un serveur bind9.
Il agit en tant qu'esclave pour la zone intra-entreprise.
Il devrait recourir à des forwarders pour joindre les hôtes externes (comme google.com).
Je ne veux pas de récursion, je ne veux pas que mon dns lance pleins de requêtes partout alors que dans notre datacenter on a deux dns-relay qui sont chargés de ça.
D'après la doc zytrax et certains sites comme ici on doit spécifier deux statements:
-> d'abord les forwarders eux-mêmes:
forwarders { $IP_FORWARDER_1; $IP_FORWARDER_2; };
-> Ensuite comment les contacter:
forward [first|only]
Je ne veux pas de forward only car ça aurait pour conséquence de ne pas résoudre les noms en local, mais uniquement de relayer la requête. => Donc forward first, qui indique que si le dns ne sait pas résoudre lui-même, il relaie d'abord aux forwarders (avant de faire de la récursion - que j'ai interdite)
Pourtant, la commande host google.com $mon_dns me renvoie: Host google.com not found: 3(NXDOMAIN)
Et en suivant la requête avec tshark:
1231.812640 172.25.10.15 -> 172.25.11.27 DNS Standard query response, Refused
=> Les forwarders (hôtes publiques) ne sont pas contactés. Tout se passe comme s'il tente de faire la résolution, voit qu'il n'y arrive pas, et ne fait plus rien. À part qu'il y a ce champs REFUSED qui indique autre chose.
=> Rien de pertient dans les logs ou le syslog
=> Aucun flux bloqué ou quoi dans mes firewalls, et aucunes traces de requêtes vers l'extérieur non plus.
Quelqu'un aurait-il un début de piste à me proposer?
Merci beaucoup
Dernière modification par balbuzard (Le 13/06/2011, à 14:58)
Hors ligne
#2 Le 13/06/2011, à 14:58
- balbuzard
Re : [SOLVED] Configuration de bind - forwarders pas contactés
Bon, la solution et quelques correction:
forward first: On tente d'abord de résoudre par les forwarders, et s'ils ne sont pas joignables, on résoud en contactant les serveurs root
forward only: On ne tente que de résoudre par les forwarders
Ensuite,
recursion no: pour ne répondre que par rapport à ce qu'on connait en local
recursion yes: on tente, avec la policy donnée par forward
Enfin, le statement allow-recursion { $authorized_ip; }; Pour spécifier à qui le dns va tenter de la récursion (contacter les forwarders et/ou les serveurs root)
J'espère que ça servira à quelqu'un
Hors ligne