[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: check DNS

Salut,

Franck a écrit :


Hello la liste,


En parlant de liste, je ne vois pas trop de Debian dans la question.


j'ai un soucis avec mon DNS. Lorsque je fais un :
dig -x 1.2.3.91 depuis un poste je n'ai pas la résolution inverse alors
que si je fais la meme commande en interrogeant mon DNS (dig -x 1.2.3.91
@ns1.mon_domaine.com), ça marche. Du coup, pas mal de mails reviennent
en erreur dans la résolution inverse n'a pas marché.


Des mails que tu envoies ou qu'on t'envoie ?


Mon FW est ouvert en TCP/UDP sur le 53

Cela peut venir de quoi ?
Tu aurais pu donner l'adresse IP en question, ça aurait pu faciliter la recherche. Ce n'est quand même pas confidentiel ?
De l'extérieur ton serveur DNS ns1.ton_domaine.com (xxx.xx.xxx.2) répond bien à la requête inverse : 

91.xxx.xx.xxx.in-addr.arpa. 86400 IN    PTR     ha1.ton_domaine.com.

Mais... (voir plus bas)
Par contre il y a un problème de délégation inverse sur les serveurs DNS du fournisseur d'accès, Complétel. Comme tu n'as qu'un bloc de 128 adresses (/25) xxx.xx.xxx.0-127, tu ne peux pas avoir de vraie délégation. Complétel a donc mis en place dans la zone parente une pseudo-délégation à base de CNAME selon RFC 2317 : 

$ host -vt ns xxx.xx.xxx.in-addr.arpa
xxx.xx.xxx.in-addr.arpa.  IN NS  ns2.completel.fr.
xxx.xx.xxx.in-addr.arpa.  IN NS  ns1.completel.fr.

$ host -vt cname 91.xxx.xx.xxx.in-addr.arpa
91.xxx.xx.xxx.in-addr.arpa.  IN CNAME  91.0-127.xxx.xx.xxx.in-addr.arpa.
Seulement, Complétel n'a défini sur ses DNS ni les noms canoniques xxx.0-127.xxx.xx.xxx.in-addr.arpa ni de délégation vers d'autres NS de la zone 0-127.xxx.xx.xxx.in-addr.arpa : 

host -vt ptr 91.0-127.xxx.xx.xxx.in-addr.arpa ns1.completel.fr.
Host 91.0-127.xxx.xx.xxx.in-addr.arpa not found: 2(SERVFAIL)

$ host -vt ns 0-127.xxx.xx.xxx.in-addr.arpa ns1.completel.fr.
Host 0-127.xxx.xx.xxx.in-addr.arpa not found: 2(SERVFAIL)
Donc personne ne sait que ton DNS fait autorité pour les PTR. Il faut demander à Complétel de créer une délégation de la pseudo-zone inverse vers ton serveur DNS (voire deux serveurs pour la redondance). 

Ce n'est pas tout. Tu as défini cette zone sur ton serveur :


zone "xxx.xx.xx.in-addr.arpa" {
Or la zone qui sera déléguée est 0-127.xxx.xx.xxx.in-addr.arpa et les enregistrements PTR qu'elle contient devront être de la forme yyy.0-127.xxx.xx.xxx.in-addr.arpa avec yyy = 0 à 127.
Reply to: