petit pb d'accés aux root dns

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

petit pb d'accés aux root dns

Messagepar umxprime » 05 Déc 2007 14:10

Bonjour à tous,

Noob à la fois sur le forum ainsi que sur l'utilisation de sme, me voici confronté à un petit problème.
Voilà je suis arrivé en tant qu'administrateur réseau sur un établissement, et je suis responsable de la gestion du server, sme 6.0.1-01 en l'occurence, installé depuis quelques années et donc déjà configuré.

Il est config en serveur uniquement, et propose un herbergement du site web de l'établissement (Primary) et un accés mail, l'ensemble en local et en externe.

Depuis donc que j'ai pris mes fonctions, j'ai un peu fouillé et observé le comportement du serveur par rapport à la connexion web de l'établissement.
Le serveur ne sert ainsi pas de passerelle web, et la navigation web se fait donc directement par le routeur.

Seulement voilà, la plupart du temps la connexion sur un site externe se résoud assez péniblement. J'ai donc installé iftop sur le sme pour voir si le serveur ne saturait pas le routeur.

J'ai donc constaté que le sme passait constament par des appels aux root dns via le port 53, et que lorsque je bloque ces accés avec iptables, la navigation internet tourne bien mieux.

Je me suis donc demandé dans un premier temps si ces accés aux root dns étaient nécessaire du au fait que le serveur ne servait pas de passerelle.

Sinon j'ai fouillé sur le forum comment passer par les dns wanadoo plutôt que par les dns root, mais pas moyen de trouver comment configurer le sme à ces fins et donc éviter une dixaine de connexions simultanées aux dns root.

J'ai essayé de reconfigurer le serveur seulement l'accés aux dns root subsiste, peu importe la config, et jamais le sme ne tente une connexion via le dns wanadoo.

Je n'ai pas grande connaissance des dns alors je me demandais si ces accés aux root dns étaient gérés également par le routeur, et donc savoir si ce ne serait pas plutôt ce dernier qu'il faille reconfigurer.

Ou alors est-ce qu'une config du sme comme passerelle améliorerait la situation ?

Demandez peut-être des précisions supplémentaires sur tel ou tel point si mon problème vous semble peu clair.

Merci par avance pour votre aide.

Bien à vous.
umxprime
Matelot
Matelot
 
Messages: 6
Inscrit le: 05 Déc 2007 13:42

Messagepar sibsib » 05 Déc 2007 23:27

Bonjour,

Le comporte ment de SME (faire une résolution DNS complète, donc en partant des root servers) me parait assez être le mode standard de SME.

Maintenant, effectivement, en mode server only, il ne fait de la résolution DNS que pour lui, et c'est donc un client.

Il me semble qu'il faudrait (attention, jamais testé !) :

1) Configurer correctement le ficheir /etc/resolv.conf pour que SME s'adresse directement aux serveurs DNS de wanamoo (probablement plutôt ceux d'orange, maintenant ?)

(Attention, ce fichier est très certainement templatisé. Ceci dit, les modifs sont prises en compte instantanément, donc au moins pour tester, l'édition directe c'est pas mal : en cas de galère, un bon petit
/e-smith/bin/expand-template /etc/resolv.conf, et ni vu ni connu).

2) si le comportement du serveur SME te semble plus conforme à ce que tu souhaite, voir comment on arrête les services DNS (En 6.0, c'est déjà tinydns ?) et le service de cache dns.

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar jibe » 06 Déc 2007 01:15

Salut,

Quelques remarques :
- Il est effectivement curieux qu'une SME en mode serveur seul fasse des accès aux root DNS au point de saturer le routeur ! Peut-être serait-il intéressant d'en déterminer la cause... Pas d'opinion sur ce sujet, je n'utilise SME qu'en serveur-passerelle. Et les très rares fois où j'ai analysé les trames, je n'ai pas constaté de tels accès (je veux dire : en si grand nombre)...

- Je pense qu'il est possible de changer les root DNS contre n'importe quels autres serveurs. Je savais où cela se configurait, mais j'ai oublié :oops: Je pourrais probablement rechercher, mais est-ce bien utile ? Je vois mal en quoi ce changement résoudrait ton problème ?

- Perso, je m'orienterais plutôt vers l'élimination du routeur que je remplacerais par la SME. Mais cela dépend aussi du routeur : SME remplit très bien ce rôle et offre un très bon firewall. Mais si le routeur est aussi bon (ce qui est loin d'être souvent le cas dans les réseaux utilisant une SME) et que tu maitrises bien l'ensemble, certains diront avec raison que tu y perdrais en séparation de tâches. Resterait encore à voir, dans ce cas, si ces accès DNS seraient moins fréquents ou moins gênants... Ce qui nous ramène à l'intérêt d'en déterminer l'origine :wink:
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar umxprime » 06 Déc 2007 11:16

sibsib a écrit:Bonjour,

Le comporte ment de SME (faire une résolution DNS complète, donc en partant des root servers) me parait assez être le mode standard de SME.

Maintenant, effectivement, en mode server only, il ne fait de la résolution DNS que pour lui, et c'est donc un client.

Il me semble qu'il faudrait (attention, jamais testé !) :

1) Configurer correctement le ficheir /etc/resolv.conf pour que SME s'adresse directement aux serveurs DNS de wanamoo (probablement plutôt ceux d'orange, maintenant ?)

(Attention, ce fichier est très certainement templatisé. Ceci dit, les modifs sont prises en compte instantanément, donc au moins pour tester, l'édition directe c'est pas mal : en cas de galère, un bon petit
/e-smith/bin/expand-template /etc/resolv.conf, et ni vu ni connu).

2) si le comportement du serveur SME te semble plus conforme à ce que tu souhaite, voir comment on arrête les services DNS (En 6.0, c'est déjà tinydns ?) et le service de cache dns.

A+,
Pascal


Merci pour ta réponse.
Alors dans mon resolv.conf j'ai :

Code: Tout sélectionner

#------------------------------------------------------------
# DO NOT MODIFY THIS FILE! It is updated automatically by the
# SME Server software. Instead, modify the source template in
# an /etc/e-smith/templates-custom directory. For more
# information, see http://www.e-smith.org/custom/
#
# copyright (C) 1999-2003 Mitel Networks Corporation
#------------------------------------------------------------

domain esa-cambrai.net
nameserver 192.168.0.10



Donc je vois pas vraiment ce qui peut être ajouter/modifié/enlever de ce côté...

Tinydns est effectivement launché au boot du serveur, donc aurais-je à le désactiver manuellement ?

Merci pour ces conseils
umxprime
Matelot
Matelot
 
Messages: 6
Inscrit le: 05 Déc 2007 13:42

Messagepar VIP-ire » 06 Déc 2007 11:23

Pour changer les DNS que SME utilise, le mieux est de passer par le serveur manager->domaines->modifier les paramètres DNS de votre organisation

Et là tu peux mettre soit les DNS de ton FAI, soit un DNS interne de ton réseau
profitez de la vie, plus que 6ans avant la fin du mode !!!
VIP-ire
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 189
Inscrit le: 18 Août 2006 11:14

Messagepar umxprime » 06 Déc 2007 11:25

jibe a écrit:Salut,

Quelques remarques :
- Il est effectivement curieux qu'une SME en mode serveur seul fasse des accès aux root DNS au point de saturer le routeur ! Peut-être serait-il intéressant d'en déterminer la cause... Pas d'opinion sur ce sujet, je n'utilise SME qu'en serveur-passerelle. Et les très rares fois où j'ai analysé les trames, je n'ai pas constaté de tels accès (je veux dire : en si grand nombre)...

- Je pense qu'il est possible de changer les root DNS contre n'importe quels autres serveurs. Je savais où cela se configurait, mais j'ai oublié :oops: Je pourrais probablement rechercher, mais est-ce bien utile ? Je vois mal en quoi ce changement résoudrait ton problème ?

- Perso, je m'orienterais plutôt vers l'élimination du routeur que je remplacerais par la SME. Mais cela dépend aussi du routeur : SME remplit très bien ce rôle et offre un très bon firewall. Mais si le routeur est aussi bon (ce qui est loin d'être souvent le cas dans les réseaux utilisant une SME) et que tu maitrises bien l'ensemble, certains diront avec raison que tu y perdrais en séparation de tâches. Resterait encore à voir, dans ce cas, si ces accès DNS seraient moins fréquents ou moins gênants... Ce qui nous ramène à l'intérêt d'en déterminer l'origine :wink:


Merci également pour ta réponse.
Oui je trouve ça étrange également, pour moi je vois pas l'intérêt de multiples connex vers les root dns.
Mais nous allons bientôt externalisé le contenu et migrer tout ça vers un serveur collaboratif OVH avec LDAP dans quelques semaines, donc je ne pense pas utiliser le sme comme passerelle. Si ça se trouve c'est le routeur qui commence à rendre l'âme...
umxprime
Matelot
Matelot
 
Messages: 6
Inscrit le: 05 Déc 2007 13:42

Messagepar umxprime » 06 Déc 2007 11:34

VIP-ire a écrit:Pour changer les DNS que SME utilise, le mieux est de passer par le serveur manager->domaines->modifier les paramètres DNS de votre organisation

Et là tu peux mettre soit les DNS de ton FAI, soit un DNS interne de ton réseau


Merci pour ta réponse
Je suis sous un SME 6 anglais, et dans le server manager, tout ce que j'ai dans domains, c'est "add virtual domain", accompagné d'une liste des domaines en questions, aucune option pour régler ça via le manager :cry:
umxprime
Matelot
Matelot
 
Messages: 6
Inscrit le: 05 Déc 2007 13:42

Messagepar sibsib » 06 Déc 2007 22:32

Hello,

C'est fou comme on oublie vite...

Je crois que sur SME 6, les choix de DNS se font en se connectant sur la console (ou par ssh) avec le compte admin, et choix configuration.

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar umxprime » 07 Déc 2007 12:26

sibsib a écrit:Hello,

C'est fou comme on oublie vite...

Je crois que sur SME 6, les choix de DNS se font en se connectant sur la console (ou par ssh) avec le compte admin, et choix configuration.

A+,
Pascal


Bonjour,

Beh oui j'ai essayé cette méthode mais helas sans succés...
Si quelqu'un pouvait me dire exactement où et comment entrer d'autres DNS ce serait classe.
Merci
umxprime
Matelot
Matelot
 
Messages: 6
Inscrit le: 05 Déc 2007 13:42

Messagepar jibe » 07 Déc 2007 22:31

Salut,

Je confirme que sur SME 6 on peut entrer un serveur DNS dans la console de configuration, et que ça fonctionne très bien : je m'en suis servi plusieurs fois pour mettre les DNS wanadoo afin de pouvoir contacter le SMTP réservé aux abonnés.

Ce que je ne sais pas, et c'est pour cela que je n'avais pas donné cette solution, c'est ce qu'il advient des root DNS : sont-ils totalement désactivés et remplacés par le DNS configuré en console ou simplement ce DNS vient-il se placer en tête de liste et les root restent dispo en cas de défaillance ? Je n'en sais rien...
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar umxprime » 08 Déc 2007 18:18

jibe a écrit:Salut,

Je confirme que sur SME 6 on peut entrer un serveur DNS dans la console de configuration, et que ça fonctionne très bien : je m'en suis servi plusieurs fois pour mettre les DNS wanadoo afin de pouvoir contacter le SMTP réservé aux abonnés.

Ce que je ne sais pas, et c'est pour cela que je n'avais pas donné cette solution, c'est ce qu'il advient des root DNS : sont-ils totalement désactivés et remplacés par le DNS configuré en console ou simplement ce DNS vient-il se placer en tête de liste et les root restent dispo en cas de défaillance ? Je n'en sais rien...


Bonsoir,
beh lorsque j'ai tenté la manip sur la config serveur, les root sont restés actifs en checkant le trafic...
Donc bon je vais mettre en place une commande iptables dans un bash et puis comme ça je serais tranquille, à moins que vous aillez vraiment déjà réglé le problème.
Ce que je n'ai pas indiqué, et chose étrange, c'est que ces accés vers les root dns se font par protocole udp, et j'ai trouvé celà également très étrange...
enfin bon merci pouir votre aide.
umxprime
Matelot
Matelot
 
Messages: 6
Inscrit le: 05 Déc 2007 13:42


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité