Re: check DNS
Salut,
Franck a écrit :
Hello la liste,
En parlant de liste, je ne vois pas trop de Debian dans la question.
j'ai un soucis avec mon DNS. Lorsque je fais un :
dig -x 1.2.3.91 depuis un poste je n'ai pas la résolution inverse alors
que si je fais la meme commande en interrogeant mon DNS (dig -x 1.2.3.91
@ns1.mon_domaine.com), ça marche. Du coup, pas mal de mails reviennent
en erreur dans la résolution inverse n'a pas marché.
Des mails que tu envoies ou qu'on t'envoie ?
Mon FW est ouvert en TCP/UDP sur le 53
Cela peut venir de quoi ?
Tu aurais pu donner l'adresse IP en question, ça aurait pu faciliter la
recherche. Ce n'est quand même pas confidentiel ?
De l'extérieur ton serveur DNS ns1.ton_domaine.com (xxx.xx.xxx.2) répond
bien à la requête inverse :
91.xxx.xx.xxx.in-addr.arpa. 86400 IN PTR ha1.ton_domaine.com.
Mais... (voir plus bas)
Par contre il y a un problème de délégation inverse sur les serveurs DNS
du fournisseur d'accès, Complétel. Comme tu n'as qu'un bloc de 128
adresses (/25) xxx.xx.xxx.0-127, tu ne peux pas avoir de vraie
délégation. Complétel a donc mis en place dans la zone parente une
pseudo-délégation à base de CNAME selon RFC 2317 :
$ host -vt ns xxx.xx.xxx.in-addr.arpa
xxx.xx.xxx.in-addr.arpa. IN NS ns2.completel.fr.
xxx.xx.xxx.in-addr.arpa. IN NS ns1.completel.fr.
$ host -vt cname 91.xxx.xx.xxx.in-addr.arpa
91.xxx.xx.xxx.in-addr.arpa. IN CNAME 91.0-127.xxx.xx.xxx.in-addr.arpa.
Seulement, Complétel n'a défini sur ses DNS ni les noms canoniques
xxx.0-127.xxx.xx.xxx.in-addr.arpa ni de délégation vers d'autres NS de
la zone 0-127.xxx.xx.xxx.in-addr.arpa :
host -vt ptr 91.0-127.xxx.xx.xxx.in-addr.arpa ns1.completel.fr.
Host 91.0-127.xxx.xx.xxx.in-addr.arpa not found: 2(SERVFAIL)
$ host -vt ns 0-127.xxx.xx.xxx.in-addr.arpa ns1.completel.fr.
Host 0-127.xxx.xx.xxx.in-addr.arpa not found: 2(SERVFAIL)
Donc personne ne sait que ton DNS fait autorité pour les PTR. Il faut
demander à Complétel de créer une délégation de la pseudo-zone inverse
vers ton serveur DNS (voire deux serveurs pour la redondance).
Ce n'est pas tout. Tu as défini cette zone sur ton serveur :
zone "xxx.xx.xx.in-addr.arpa" {
Or la zone qui sera déléguée est 0-127.xxx.xx.xxx.in-addr.arpa et les
enregistrements PTR qu'elle contient devront être de la forme
yyy.0-127.xxx.xx.xxx.in-addr.arpa avec yyy = 0 à 127.
Reply to:
- References:
- check DNS
- From: Franck <franck@linuxpourtous.com>