Discussion :

[redvivi]

Bonjour ,

Je vous expose mon problème: J'ai une passerelle (Bind9, Squid en mode transparent, Apache 1.3.x).

Elément d'information: le serveur Apache héberge un site qui utilise des scripts basés sur l'adresse IP du client situé sur le réseau local. J'ai donc du mettre une règle IpTables qui fait ceci:

Si une requête est à destination de l'adresse IP sur le port 80 de la passerelle, alors la demande arrive directement sur Apache, sinon elle passe par Squid.

Après avoir configuré le fichier hosts (avec la directive order hosts,bind) et revolv.conf (nameserver 127.0.0.1 et nameserver IP_DU_FAI), j'ai testé la resolution DNS avec nslookup et dig, dans les 2 cas, la resolution fonctionne ainsi que la mise en cache (au vu des temps de réponses) .

Cependant, lorsque les clients du réseau, configuré avec comme seul DNS celui de la passerelle du reseau local, essayent de se connecter, la resolution est tres longue et abouti à un time-out , par contre lorsque l'on rajoute comme DNS secondaire celui du FAI, la resolution aboutit mais on remarque bien que le temps de reponse est long (le temps de tester le dns de la passerelle avant de passer à celui du FAI).

Trouvez vous une explication à ceci ? Je ne comprend pas on dirait que BIND ne resoud pas les requetes provenant du reseau local mais par contre ceci fonctionne tres bien si je fais une requete sur la passerelle directement.

Merci d'avance !
RedVivi

[Olivier]

Bonjour,

Si le dns répond bien depuis la passerelle c'est qu'il fonctionne correctement (normalement).
Par contre si, lorsque les clients locaux font des requêtes, c'est qu'il y a un problème dans la configuration du bind (named.conf). Dans le fichier named.conf, il y a des directives pour autoriser les clients à effectuer toutes sortes de requêtes (récursives ou obtenir lal iste de toutes les machines par exemple).
Voilà, c'est pas sorcier mais je pense qu' il faut regarder par là.

Bonne continuation

PS:
Pour voir cela, vous pouvez, depuis un des clients, utiliser nslookup (avec l'option set debug ...).

[redvivi]

Ce qui me chagrine c'est que par défaut BIND écoute sur toutes les interfaces, donc en théorie je ne dois pas avoir besoin s'indiquer sur quelle interface BIND doit écouter, mais il me semble aussi que BIND répond par défaut et qu'il ne faille pas configurer cette fonctionnalité ? A moins que je me trompe ?

[Olivier]

Oui vous vous trompez.
Je n'ai pas parlé de l'interface sur laquelle bind écoute mais de sa configuration.
Par contre, comme je l'ai peu être mal dit, bind peut être configuré pour être interrogé par certains clients (@ip) et pas d'autres. C'est pas parce que ça marche depuis la machine qui héberge le serveur que ça va forcement marcher pour les clients.
En effet et heureusement, bind peut répondre aux requêtes des seules machines déclarées dans sa conf.
Normalement, par défaut, il répond à tout le monde. Mais vous avez peut-être fait une modif restrictive.
Si c'est pas ça, c'est la conf d'iptable.

[redvivi]

Pensez vous que la regle IPTABLES (voir ci-dessus) que j'ai mise peut empecher la resolution DNS ? Le probleme c'est que je ne vois pas de mesure restrictive dans la config que j'ai mis.