Re: DNS : logs étranges
Le jeudi 30 avril 2009, Pascal Hambourg a écrit : Apr 30 00:45:43 kayak named[5913]: network unreachable resolving 'x.arin.net/A/IN': 2001:dc3::35#53 Apr 30 00:45:43 kayak named[5913]: network unreachable resolving 'x.arin.net//IN': 2001:dc3::35#53 Apr 30 00:45:43 kayak named[5913]: network unreachable resolving 'indigo.arin.net/A/IN': 2001:dc3::35#53 Apr 30 00:45:43 kayak named[5913]: network unreachable resolving 'indigo.arin.net//IN': 2001:dc3::35#53 Au pif je dirais que ces requêtes font partie du processus récursif pour retrouver le reverse DNS d'une adresse IP faisant partie d'un bloc alloué à l'ARIN (~Amérique du Nord) puisque x.arin.net et indigo.arin.net font partie des serveurs DNS faisant autorité pour les zones inverses de ces blocs. Apr 30 00:45:43 kayak named[5913]: network unreachable resolving 'u15278563.onlinehome-server.com/A/IN': 2001:503:a83e::2:30#53 Et justement u15278563.onlinehome-server.com a comme adresse 74.208.96.107 qui fait partie d'un bloc alloué à l'ARIN. J'aurais donc tendance à penser qu'il s'agit d'une vérification de correspondance entre une adresse et nom de domaine, probablement pour l'adresse source d'une requête ou connexion entrante. Tu n'aurais pas une machine active susceptible de faire ce genre de vérification, comme un serveur de courrier entrant ? J'ai bien postfix qui tourne mais mon firewall ne laisse pas entrer les paquets sur le port 25 (sauf ceux ESTABLISHED pour l'envoi des mails). Remarque, j'ai bien mon serveur Apache qui est accessible et SSh également, c'est sans doute ça, non ? -- Michel Grentzinger OpenPGP key ID : B2BAFAFA Available on http://www.keyserver.net -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: DNS : logs étranges
Michel Grentzinger a écrit : Le jeudi 30 avril 2009, Pascal Hambourg a écrit : 74.208.96.107 qui fait partie d'un bloc alloué à l'ARIN. J'aurais donc tendance à penser qu'il s'agit d'une vérification de correspondance entre une adresse et nom de domaine, probablement pour l'adresse source d'une requête ou connexion entrante. Tu n'aurais pas une machine active susceptible de faire ce genre de vérification, comme un serveur de courrier entrant ? J'ai bien postfix qui tourne mais mon firewall ne laisse pas entrer les paquets sur le port 25 (sauf ceux ESTABLISHED pour l'envoi des mails). Remarque, j'ai bien mon serveur Apache qui est accessible et SSh également, c'est sans doute ça, non ? Ce sont de bons candidats. Tu peux regarder dans leurs logs respectifs si cette adresse ou son reverse DNS y figure à la même date que dans les logs de named. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: DNS : logs étranges
Renvois de mon mail que j'ai par erreur envoyé sur la boite perso de Stephane, mes escuses... Le 30 avril 2009 08:06, Le poulpe qui bloppe ! monpou...@gmail.com a écrit : Si l'ipv6 n'est pas utilisé, la solution c'est de retoucher le script de lancement de bind /etc/default/bind9 en ajoutant a la ligne OPTION -4 qui permet de n'ecouter QUE en IPV4, per exemple: OPTIONS=-4 -u bind ou en chroot: OPTIONS=-4 -u bind -t /var/chroot/bind9 Et le soucis n'existe plus (mais vous ne saurais plus faire d'ipv6 par contre). -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: DNS : logs étranges
François Boisson a écrit : C'est vraiment une anerie ce que j'ai écrit (un afflux de requêtes donc un augmentation de lignes d'erreurs dans les logs) :( ? Disons que les messages d'erreur sont liés à des requêtes qu'envoie BIND à d'autres serveurs (en IPv6), et non à des requêtes qu'il reçoit de clients IPv6. Or listen-on-v6 ne concerne que les requêtes reçues. Après, si je ne veux plus d'errors dans mes logs je peux certes bloquer les requêtes entrantes mais ce n'est pas une solution. Sinon, pour l'IPV6, debian rajoute systématiquement dans /etc/hosts # The following lines are desirable for IPv6 capable hosts ::1 ip6-localhost ip6-loopback fe00::0 ip6-localnet ff00::0 ip6-mcastprefix ff02::1 ip6-allnodes ff02::2 ip6-allrouters ff02::3 ip6-allhosts AMA faut pas trop se fier à ce qu'on trouve dans /etc/hosts. Par exemple, l'adresse ff02::3 n'identifie pas tous les hôtes (non routeurs) locaux. Cette affectation a certes figuré dans des brouillons, mais pas dans les documents finaux, que ce soit RFC 4291 ou http://www.iana.org/assignments/ipv6-multicast-addresses/ où elle est marquée Unassigned. Quant à fe00::/9, il est toujours marqué Reserved by IETF à l'IANA http://www.iana.org/assignments/ipv6-address-space. De toute façon, je ne vois pas ce qu'un *préfixe* vient faire dans /etc/*hosts*. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: DNS : logs étranges
Le poulpe qui bloppe ! a écrit : Si l'ipv6 n'est pas utilisé, la solution c'est de retoucher le script de lancement de bind /etc/default/bind9 en ajoutant a la ligne OPTION -4 qui permet de n'ecouter QUE en IPV4, per exemple: Non seulement écouter mais aussi envoyer des requêtes, ce qui est la source du problème ici. Et le soucis n'existe plus (mais vous ne saurais plus faire d'ipv6 par contre). Ça dépend de ce qu'on entend par faire de l'IPv6. Si c'est faire des résolutions directes ou inverses d'adresses IPv6, c'est indépendant du transport IPv4 ou IPv6 donc ça reste possible. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: DNS : logs étranges
Le Thu, 30 Apr 2009 16:34:37 +0200 Pascal Hambourg pascal.m...@plouf.fr.eu.org a écrit: AMA faut pas trop se fier à ce qu'on trouve dans /etc/hosts. Par exemple, l'adresse ff02::3 n'identifie pas tous les hôtes (non [...] Quant à fe00::/9, il est toujours marqué Reserved by IETF à l'IANA http://www.iana.org/assignments/ipv6-address-space. De toute façon, je ne vois pas ce qu'un *préfixe* vient faire dans /etc/*hosts*. Ben merci, la conclusion est de faire (comme le suggère Stéphane) un «man ipv6» (qui marche d'ailleurs :)) parce que c'est un peu flou tout ça tout de même. François -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: DNS : logs étranges
Le jeudi 30 avril 2009, Le poulpe qui bloppe ! a écrit : Renvois de mon mail que j'ai par erreur envoyé sur la boite perso de Stephane, mes escuses... Le 30 avril 2009 08:06, Le poulpe qui bloppe ! monpou...@gmail.com a écrit : Si l'ipv6 n'est pas utilisé, la solution c'est de retoucher le script de lancement de bind /etc/default/bind9 en ajoutant a la ligne OPTION -4 qui permet de n'ecouter QUE en IPV4, per exemple: OPTIONS=-4 -u bind ou en chroot: OPTIONS=-4 -u bind -t /var/chroot/bind9 Et le soucis n'existe plus (mais vous ne saurais plus faire d'ipv6 par contre). Je vais rajouter cette option puisque je ne me serts pas de l'IPv6 pour l'instant. Par contre, j'ai eu ceci cette nuit sur mon serveur, alors que les postes de mon réseau étaient en veille : Apr 30 00:45:43 kayak named[5913]: network unreachable resolving 'x.arin.net/A/IN': 2001:dc3::35#53 Apr 30 00:45:43 kayak named[5913]: network unreachable resolving 'x.arin.net//IN': 2001:dc3::35#53 Apr 30 00:45:43 kayak named[5913]: network unreachable resolving 'indigo.arin.net/A/IN': 2001:dc3::35#53 Apr 30 00:45:43 kayak named[5913]: network unreachable resolving 'indigo.arin.net//IN': 2001:dc3::35#53 Apr 30 00:45:43 kayak named[5913]: network unreachable resolving 'u15278563.onlinehome-server.com/A/IN': 2001:503:a83e::2:30#53 Ça sort d'où ? -- Michel Grentzinger OpenPGP key ID : B2BAFAFA Available on http://www.keyserver.net -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: DNS : logs étranges
Michel Grentzinger a écrit : Par contre, j'ai eu ceci cette nuit sur mon serveur, alors que les postes de mon réseau étaient en veille : Apr 30 00:45:43 kayak named[5913]: network unreachable resolving 'x.arin.net/A/IN': 2001:dc3::35#53 Apr 30 00:45:43 kayak named[5913]: network unreachable resolving 'x.arin.net//IN': 2001:dc3::35#53 Apr 30 00:45:43 kayak named[5913]: network unreachable resolving 'indigo.arin.net/A/IN': 2001:dc3::35#53 Apr 30 00:45:43 kayak named[5913]: network unreachable resolving 'indigo.arin.net//IN': 2001:dc3::35#53 Au pif je dirais que ces requêtes font partie du processus récursif pour retrouver le reverse DNS d'une adresse IP faisant partie d'un bloc alloué à l'ARIN (~Amérique du Nord) puisque x.arin.net et indigo.arin.net font partie des serveurs DNS faisant autorité pour les zones inverses de ces blocs. Apr 30 00:45:43 kayak named[5913]: network unreachable resolving 'u15278563.onlinehome-server.com/A/IN': 2001:503:a83e::2:30#53 Et justement u15278563.onlinehome-server.com a comme adresse 74.208.96.107 qui fait partie d'un bloc alloué à l'ARIN. J'aurais donc tendance à penser qu'il s'agit d'une vérification de correspondance entre une adresse et nom de domaine, probablement pour l'adresse source d'une requête ou connexion entrante. Tu n'aurais pas une machine active susceptible de faire ce genre de vérification, comme un serveur de courrier entrant ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: DNS : logs étranges
Salut, Stephane Bortzmeyer a écrit : François Boisson user.anti-s...@maison.homelinux.net wrote allow-recursion {192.168.0.0/24; 127.0.0.0/8;}; listen-on-v6 { fe00::0; }; Franchement, je ne vois pas le rapport. Tu me rassures, parce que moi non plus. Son résolveur a du mal à se connecter à certains serveurs externes Cela ne se peut-il pas se produire si la machine n'a tout simplement pas de connectivité IPv6 globale ? Peux pas tester, j'ai pas de machine sans IPv6. ;-) Sans compter que l'adresse donnée en listen-on-v6 est fausse, les adresses lien-local (si c'était bien le but) sont en FE80::/8. fe80::/10 en fait. Mais la dernière fois que j'ai configuré un BIND l'option listen-on-v6 n'acceptait que deux valeurs possibles, 'any' ou 'none'. Ça a changé depuis ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: DNS : logs étranges
Le Wed, 29 Apr 2009 09:45:05 +0200 Pascal Hambourg pascal.m...@plouf.fr.eu.org a écrit: allow-recursion {192.168.0.0/24; 127.0.0.0/8;}; listen-on-v6 { fe00::0; }; Franchement, je ne vois pas le rapport. Tu me rassures, parce que moi non plus. C'est vraiment une anerie ce que j'ai écrit (un afflux de requêtes donc un augmentation de lignes d'erreurs dans les logs) :( ? Sinon, pour l'IPV6, debian rajoute systématiquement dans /etc/hosts # The following lines are desirable for IPv6 capable hosts ::1 ip6-localhost ip6-loopback fe00::0 ip6-localnet ff00::0 ip6-mcastprefix ff02::1 ip6-allnodes ff02::2 ip6-allrouters ff02::3 ip6-allhosts J'en avais conclu que fe00::0 était l'adresse ipv6 du réseau local, (l'équivalent de 127.0.0.0/8 en ipv4) mais visiblement je me gourre. C'est le bazar l'IPV6... François Boisson -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: DNS : logs étranges
Le mardi 28 avril 2009, Stephane Bortzmeyer a écrit : J'ai du laisser ceci dans mon named.conf.local edns-udp-size 512; max-udp-size 512; Et j'ai déjà dit que c'était une très mauvaise idée : - 512 octets est très bas pour les exigences du DNS d'aujourd'hui (entre DNSSEC, IDN et IPv6) - le problème ne semble pas du tout lié à EDNS J'ai bien essayé sans mais après quelques jours, ma navigation était bloquée... J'ai enlevé la première ligne pour tester pendant quelques jours. Ci-dessous une partie des logs sachant que j'accèd à presque tous les sites notés comme netwok unreachable : Puis-je demander comment vous avez testé cela ? Si c'est par ping, cela ne vaut pas grand'chose, dans un Internet rempli de pare-feux, ICMP peut être accessible et le DNS bloqué ou bien le contraire. Simplement en constatant que j'arrive à naviguer sur les sites mentionnées comme network unreachable. Si vous n'avez pas testé 2001:503:231d::2:30 avec dig, cela ne prouve donc rien. Voici le résultat mic...@luge:~ $ dig 2001:503:231d::2:30 ; DiG 9.5.1-P1 2001:503:231d::2:30 ;; global options: printcmd ;; Got answer: ;; -HEADER- opcode: QUERY, status: NXDOMAIN, id: 56022 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;2001:503:231d::2:30. IN A ;; AUTHORITY SECTION: . 10800 IN SOA A.ROOT-SERVERS.NET. NSTLD.VERISIGN-GRS.COM. 2009042901 1800 900 604800 86400 ;; Query time: 75 msec ;; SERVER: 192.168.0.1#53(192.168.0.1) ;; WHEN: Wed Apr 29 21:14:06 2009 ;; MSG SIZE rcvd: 112 L'IPv6 est-il pour quelque chose ? Il semble bien. Que donne un traceroute6 sur 2001:503:231d::2:30 ? mic...@luge:~ $ traceroute 2001:503:231d::2:30 traceroute to 2001:503:231d::2:30 (2001:503:231d::2:30), 30 hops max, 40 byte packets connect: Le réseau n'est pas accessible. Merci pour toute aide apportée ! -- Michel Grentzinger OpenPGP key ID : B2BAFAFA Available on http://www.keyserver.net -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: DNS : logs étranges
Le mardi 28 avril 2009, Stephane Bortzmeyer a écrit : On Tue, Apr 28, 2009 at 09:44:44PM +0200, Michel Grentzinger mic.gre...@online.fr wrote a message of 42 lines which said: Dans la mesure ou mon firewall ne laisse rien entrer sur le port 53, est-ce normal d'avoir ces logs ? Tout à fait normal. Cela n'a rien à voir. Ces messages d'erreur sont dûs à des interrogations venant de votre serveur. Ok ! -- Michel Grentzinger OpenPGP key ID : B2BAFAFA Available on http://www.keyserver.net -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: DNS : logs étranges
On Wed, Apr 29, 2009 at 01:56:25PM +0200, François Boisson user.anti-s...@maison.homelinux.net wrote a message of 38 lines which said: J'en avais conclu que fe00::0 était l'adresse ipv6 du réseau local, (l'équivalent de 127.0.0.0/8 en ipv4) mais visiblement je me gourre. C'est le bazar l'IPV6... C'est comme IPv4, il faut apprendre. Par exemple, 127.0.0.0/8 n'est pas et n'a jamais été l'adresse du réseau local en IPv4... C'est le préfixe des adresses internes à la machine. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: DNS : logs étranges
On Wed, Apr 29, 2009 at 09:15:34PM +0200, Michel Grentzinger mic.gre...@online.fr wrote a message of 83 lines which said: Simplement en constatant que j'arrive à naviguer sur les sites mentionnées comme network unreachable. Pas la même machine (quand vous dites sites, je pense que vous parlez de serveurs HTTP, donc pas des serveurs DNS), pas le même protocole, probablement rien à voir. mic...@luge:~ $ dig 2001:503:231d::2:30 Non, la syntaxe est : dig @2001:503:231d::2:30 ANY un.nom.de.domaine.géré.par.ce.serveur Il semble bien. Que donne un traceroute6 sur 2001:503:231d::2:30 ? mic...@luge:~ $ traceroute 2001:503:231d::2:30 traceroute to 2001:503:231d::2:30 (2001:503:231d::2:30), 30 hops max, 40 byte packets connect: Le réseau n'est pas accessible. Cela semble bien la cause du problème. IPv6 pas correctement configuré. Chez moi : % traceroute 2001:503:231d::2:30 traceroute to 2001:503:231d::2:30 (2001:503:231d::2:30), 30 hops max, 40 byte pa ckets 1 2a01:e35:8bd9:8bb0::1 (2a01:e35:8bd9:8bb0::1) 6.281 ms 6.271 ms 7.186 ms 2 6to4-1-th2-e3.intf.routers.proxad.net (2a01:e00:2:a::2) 41.674 ms 42.631 m s 44.252 ms 3 th2-crs16-1-te1-4-0-2.intf.routers.proxad.net (2a01:e00:2:a::1) 45.719 ms 46.747 ms 49.274 ms 4 2a01:5d8:e000:0:1:403:0:2 (2a01:5d8:e000:0:1:403:0:2) 62.535 ms 63.628 ms 63.619 ms 5 2a01:5d8:e000:0:402:403:0:1 (2a01:5d8:e000:0:402:403:0:1) 69.816 ms * * 6 amsix.r1.ams2.nl.opencarrier.eu (2001:7f8:1::a504:1692:1) 308.421 ms 96.248 ms 96.220 ms 7 opencarrier-ams-px.occaid.net (2001:7f8:3a:e100::2) 76.439 ms 77.759 ms 79.427 ms 8 bbr01-p1-0.nwrk01.occaid.net (2001:4830:fe:1010::2) 152.075 ms 153.185 ms 153.180 ms 9 r1.mdtnj.ipv6.att.net (2001:4830:e2:2a::2) 158.118 ms 164.807 ms 164.788 ms 10 2001:1890:61:1::2 (2001:1890:61:1::2) 172.708 ms 173.668 ms 176.213 ms 11 2001:1890:61:9102::2 (2001:1890:61:9102::2) 186.803 ms !X 186.787 ms !X 166.763 ms !X -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
DNS : logs étranges
Bonjour, J'ai des logs étranges dans mon syslog. Mon serveur est destiné à fournir un DNS cache à mes postes locaux et un DNS/DHCP dynamique pour mon réseau local. Exemple : Apr 28 07:48:04 kayak named[5913]: network unreachable resolving 'NS.LACNIC.NET//IN': 2001:503:231d::2:30#53 J'ai déjà posté sur un sujet similaire : http://lists.debian.org/debian-user-french/2009/04/msg00283.html J'ai du laisser ceci dans mon named.conf.local edns-udp-size 512; max-udp-size 512; Ci-dessous une partie des logs sachant que j'accèd à presque tous les sites notés comme netwok unreachable : L'IPv6 est-il pour quelque chose ? [r...@kayak]:~ # cat /var/log/syslog | grep named | grep -v 127.0.0.1 Apr 28 07:40:15 kayak named[5913]: network unreachable resolving 'TINNIE.ARIN.NET/A/IN': 2001:503:a83e::2:30#53 Apr 28 07:40:15 kayak named[5913]: network unreachable resolving 'TINNIE.ARIN.NET//IN': 2001:503:a83e::2:30#53 Apr 28 07:48:04 kayak named[5913]: network unreachable resolving 'NS.LACNIC.NET/A/IN': 2001:503:231d::2:30#53 Apr 28 07:48:04 kayak named[5913]: network unreachable resolving 'NS.LACNIC.NET//IN': 2001:503:231d::2:30#53 Apr 28 07:48:06 kayak named[5913]: network unreachable resolving 'dns1.fz.fj.cn/A/IN': 2001:dc7::1#53 Apr 28 08:49:12 kayak named[5913]: network unreachable resolving 'ns3.xs4all.nl/A/IN': 2001:4f8:0:2::13#53 Apr 28 08:49:12 kayak named[5913]: network unreachable resolving 'ns3.xs4all.nl//IN': 2001:4f8:0:2::13#53 Apr 28 08:49:12 kayak named[5913]: network unreachable resolving 'ns1.cs.ucl.ac.uk/A/IN': 2001:630:0:9::14#53 Apr 28 08:49:12 kayak named[5913]: network unreachable resolving '50.128.210.62.zen.spamhaus.org/A/IN': 2001:7b8:3:1f:0:2:53:2#53 Apr 28 08:49:12 kayak named[5913]: network unreachable resolving 'ns1.cs.ucl.ac.uk/A/IN': 2001:630:0:8::14#53 Apr 28 08:53:42 kayak named[5913]: network unreachable resolving '121.30.13.201.zen.spamhaus.org/A/IN': 2001:7b8:3:1f:0:2:53:1#53 Apr 28 08:53:42 kayak named[5913]: network unreachable resolving '121.30.13.201.iadb.isipp.com/A/IN': 2001:470:1:41:a800:ff:fe50:3143#53 Apr 28 08:53:42 kayak named[5913]: too many timeouts resolving '121.30.13.201.zen.spamhaus.org/A' (in 'zen.spamhaus.org'?): disabling EDNS Apr 28 08:53:51 kayak named[5913]: network unreachable resolving '239.252.93.81.zen.spamhaus.org/A/IN': 2001:7b8:3:1f:0:2:53:2#53 Apr 28 08:53:51 kayak named[5913]: network unreachable resolving 'ns2.sd-france.net/A/IN': 2001:503:a83e::2:30#53 Apr 28 08:53:51 kayak named[5913]: network unreachable resolving 'ns2.sd-france.net//IN': 2001:503:a83e::2:30#53 Apr 28 08:53:51 kayak named[5913]: too many timeouts resolving '239.252.93.81.zen.spamhaus.org/A' (in 'zen.spamhaus.org'?): disabling EDNS Apr 28 08:53:52 kayak named[5913]: network unreachable resolving '13.171.200.193.sbl.spamhaus.org/TXT/IN': 2001:7b8:3:1f:0:2:53:1#53 Apr 28 08:53:52 kayak named[5913]: too many timeouts resolving '13.171.200.193.sbl.spamhaus.org/TXT' (in 'sbl.spamhaus.org'?): disabling EDNS Apr 28 08:53:53 kayak named[5913]: network unreachable resolving 'ns6.netnames.net/A/IN': 2001:503:231d::2:30#53 Apr 28 08:53:53 kayak named[5913]: network unreachable resolving 'ns6.netnames.net//IN': 2001:503:231d::2:30#53 Apr 28 08:54:02 kayak named[5913]: FORMERR resolving 'adns.yieldmanager.com//IN': 204.74.109.1#53 Apr 28 08:54:02 kayak named[5913]: FORMERR resolving 'adns.yieldmanager.com//IN': 204.74.115.1#53 Apr 28 08:54:02 kayak named[5913]: FORMERR resolving 'adns.yieldmanager.com//IN': 199.7.68.1#53 Apr 28 08:54:03 kayak named[5913]: FORMERR resolving 'adns.yieldmanager.com//IN': 204.74.114.1#53 Apr 28 08:54:03 kayak named[5913]: FORMERR resolving 'adns.yieldmanager.com//IN': 199.7.69.1#53 Apr 28 08:54:03 kayak named[5913]: FORMERR resolving 'adns.yieldmanager.com//IN': 204.74.108.1#53 Apr 28 08:54:03 kayak named[5913]: network unreachable resolving 'adns.yieldmanager.com//IN': 2001:502:4612::1#53 Apr 28 08:54:03 kayak named[5913]: network unreachable resolving 'adns.yieldmanager.com//IN': 2001:502:f3ff::1#53 Apr 28 08:54:04 kayak named[5913]: too many timeouts resolving 'web3.radionomy.com/' (in 'radionomy.com'?): reducing the advertised EDNS UDP packet size to 512 octets Apr 28 09:48:35 kayak named[5913]: network unreachable resolving 'xoap.weather.com//IN': 2001:503:231d::2:30#53 Apr 28 11:10:54 kayak named[5913]: unexpected RCODE (REFUSED) resolving 'www.voyages-nf.com/A/IN': 83.169.77.74#53 Apr 28 11:10:54 kayak named[5913]: unexpected RCODE (SERVFAIL) resolving 'www.voyages-nf.com/A/IN': 212.37.204.18#53 Apr 28 11:21:42 kayak named[5913]: network unreachable resolving 'www.britax-romer.fr/A/IN': 2a02:2b8:1:406::724:142#53 Apr 28 11:21:42 kayak named[5913]: network unreachable resolving 'www.britax-romer.fr/A/IN': 2a02:2b8:1:406::724:136#53 Apr 28 11:21:42 kayak named[5913]: network unreachable resolving 'ns1.host7x24.com/A/IN':
Re: DNS : logs étranges
Le Tue, 28 Apr 2009 15:03:44 +0200 Michel Grentzinger mic.gre...@online.fr a écrit: Bonjour, J'ai des logs étranges dans mon syslog. Mon serveur est destiné à fournir un DNS cache à mes postes locaux et un DNS/DHCP dynamique pour mon réseau local. Exemple : Apr 28 07:48:04 kayak named[5913]: network unreachable resolving 'NS.LACNIC.NET//IN': 2001:503:231d::2:30#53 Hum, il doit être ouvert pour l'ipv6 et les réseaux extérieurs, allow-recursion {192.168.0.0/24; 127.0.0.0/8;}; listen-on-v6 { fe00::0; }; dans named.conf.options devrait régler le problème. (réseau local supposé être 192.168.0.0/24, il faut adapter) François Boisson -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: DNS : logs étranges
Le mardi 28 avril 2009, François Boisson a écrit : J'ai des logs étranges dans mon syslog. Mon serveur est destiné à fournir un DNS cache à mes postes locaux et un DNS/DHCP dynamique pour mon réseau local. Exemple : Apr 28 07:48:04 kayak named[5913]: network unreachable resolving 'NS.LACNIC.NET//IN': 2001:503:231d::2:30#53 Hum, il doit être ouvert pour l'ipv6 et les réseaux extérieurs, allow-recursion {192.168.0.0/24; 127.0.0.0/8;}; listen-on-v6 { fe00::0; }; Dans la mesure ou mon firewall ne laisse rien entrer sur le port 53, est-ce normal d'avoir ces logs ? Mon firewall a-t-il un problème ? Si je comprend bien, on autorise la résolution que pour le réseau local et pour l'IPv6, on écoute uniquement les demandes venant le l'hôte local ? Avant, j'avais : listen-on-v6 { any; }; -- Michel Grentzinger OpenPGP key ID : B2BAFAFA Available on http://www.keyserver.net -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: DNS : logs étranges
On Tue, Apr 28, 2009 at 05:26:39PM +0200, François Boisson user.anti-s...@maison.homelinux.net wrote a message of 32 lines which said: Hum, il doit être ouvert pour l'ipv6 et les réseaux extérieurs, allow-recursion {192.168.0.0/24; 127.0.0.0/8;}; listen-on-v6 { fe00::0; }; dans named.conf.options devrait régler le problème. Franchement, je ne vois pas le rapport. Son résolveur a du mal à se connecter à certains serveurs externes, en quoi changer la liste des clients autorisés pourrait-il aider ? Sans compter que l'adresse donnée en listen-on-v6 est fausse, les adresses lien-local (si c'était bien le but) sont en FE80::/8. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: DNS : logs étranges
On Tue, Apr 28, 2009 at 03:03:44PM +0200, Michel Grentzinger mic.gre...@online.fr wrote a message of 232 lines which said: Apr 28 07:48:04 kayak named[5913]: network unreachable resolving 'NS.LACNIC.NET//IN': 2001:503:231d::2:30#53 Vos messages d'erreur sont relatifs à des serveurs IPv6. Comme 2001:503:231d::2:30 répond normalement, j'en déduis que c'est votre connexion IPv6 qu'il faudrait déboguer. J'ai du laisser ceci dans mon named.conf.local edns-udp-size 512; max-udp-size 512; Et j'ai déjà dit que c'était une très mauvaise idée : - 512 octets est très bas pour les exigences du DNS d'aujourd'hui (entre DNSSEC, IDN et IPv6) - le problème ne semble pas du tout lié à EDNS Ci-dessous une partie des logs sachant que j'accèd à presque tous les sites notés comme netwok unreachable : Puis-je demander comment vous avez testé cela ? Si c'est par ping, cela ne vaut pas grand'chose, dans un Internet rempli de pare-feux, ICMP peut être accessible et le DNS bloqué ou bien le contraire. Si vous n'avez pas testé 2001:503:231d::2:30 avec dig, cela ne prouve donc rien. L'IPv6 est-il pour quelque chose ? Il semble bien. Que donne un traceroute6 sur 2001:503:231d::2:30 ? Apr 28 08:54:02 kayak named[5913]: FORMERR resolving 'adns.yieldmanager.com//IN': 204.74.109.1#53 Là, c'est un tout autre problème (je n'en connais pas la cause : je viens de tester 204.74.109.1 et il semble répondre correctement). -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: DNS : logs étranges
On Tue, Apr 28, 2009 at 09:44:44PM +0200, Michel Grentzinger mic.gre...@online.fr wrote a message of 42 lines which said: Dans la mesure ou mon firewall ne laisse rien entrer sur le port 53, est-ce normal d'avoir ces logs ? Tout à fait normal. Cela n'a rien à voir. Ces messages d'erreur sont dûs à des interrogations venant de votre serveur. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: DNS : logs étranges
Le Tue, 28 Apr 2009 22:07:56 +0200 Stephane Bortzmeyer steph...@sources.org a écrit: Franchement, je ne vois pas le rapport. Son résolveur a du mal à se connecter à certains serveurs externes, en quoi changer la liste des clients autorisés pourrait-il aider ? Simplement en diminuant mécaniquement les requêtes. J'avais beaucoup de messages de ce type dans les logs et j'ai restreint les appels récursifs au réseau local ce qui a diminué les requêtes et les erreurs(*). Si c'est un afflux soudain, je pensais à un flux intense de requêtes venant de l'extérieur... Mias effectivement, ça ne les élimine pas tous. Sans compter que l'adresse donnée en listen-on-v6 est fausse, les adresses lien-local (si c'était bien le but) sont en FE80::/8. Oui, c'était le but, si on ne met en allow-recursion que le LAN, on se retrouve dans la situation amusante où le serveur ne peut s'appeler lui même (ça m'est arrivé). Ma mémoire était mauvaise et je ne connais pas bien l'IPV6. François Boisson (*) L'amusant est que ça permet à quelqu'un d'extérieur de savoir les dernières requêtes DNS faites par le LAN: Un DNS configuré comme cela répond si il peut donc si il gère la zone ou si la réponse est dans le cache. J'ai fait des tests, c'est assez amusant et avec un robot, on doit pouvoir savoir quand une personne du LAN accède à un site donné (modulo le temps de conservation dans le cache. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org