Probleme de DNS dnsmasq ?!?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Probleme de DNS dnsmasq ?!?

Messagepar Yv4n » 23 Fév 2006 01:49

Bonjour à tous,

Tout d'abord bravo pour ce forum vivant et concret, pour l implication de chacun et cette entraide qui permet de faire avancer cette communauté de passionnés dont je fait partie ^^ (et je ne dis pas ça en espérant avoir plus de chances d'avoir des réponses à mon post :D )

J'ai découvert un comportement assez bizarre de mes machines Windows en ce qui concerne l'utilisation des DNS ...

Tout d'abord voici un petit point sur ma config qui est je dois l'avouer quelque peu exotique :

1 Serveur Ipcop 1.4.10 sur du Celeron 2.6 / 512 Mo Ram / HDD 40 Go
Config Red / green
Connexion Wanadoo PPPoE plugin persistante sur routeur ethernet alcatel, ip fixe, attribution DNS automatique .

Toutes fonctions activées SAUF RPV et DHCP.
En effet j'ai déja un serveur DHCP sur site qui attribue les paramètres IP suivants à mes workstations :
- IP / MASK
- Une Gateway qui est la passerelle par défaut du site mais qui n'est pas IPCOP.
- un serveur DNS interne (ActiveDirectory) qui fait les résolutions de noms internes et les résolutions de noms publiques.

Les postes clients accèdent à internet en paramètrant Internet Explorer pour utiliser comme proxy mon IpCop adoré ...

C 'est ici que les choses se corsent ... :

Les workstations XP modifient d'elle-même leur DNS primaire (attribué par le DHCP) et le remplacent automatiquement par le proxy DNS Ipcop ... :evil:
J'imagine qu'Internet Explorer, au lancement d'une page web s'aperçoit que le proxy cache est aussi serveur DNS et adapte la configuration IP de la machine ...

Je me retrouve donc avec des machines qui pointent sur un serveur DNS NE SACHANT PAS FAIRE LES RESOLUTIONS DE NOMS INTERNES ! ! !

La seule parade que j'ai trouvé c est de lancer un ipconfig /registerdns , la manip rebindant les bons DNS au poste de travail ... Mais allez expliquer ça à tous mes utilisateurs :)
Je tiens à préciser que mes utilisateurs sont assez nombreux (une bonne centaine) et que je peux difficilement faire des modifs sur tous leurs postes ... J ai aussi pensé rentrer les hosts en statiques dans Ipcop mais j ai plus de 300 hosts donc j ai très vite renoncé ^^

:idea: Solution 1 : Arrêter le proxyDNS d'IPCOP -> Comment on fait ? J'ai beau chercher, je trouve nulle part ... (j ai testé le kill du process dnsmasq mais l'accès Web ne fonctionne plus)

:idea: Solution 2 : Bloquer via Iptables le port 53 (DNS) sur l'interface eth0 -> need help pour la commande :)

:idea: Solution 3 : Faire du DNS IPCOP un Children de mes DNS ActiveDirectory , et donc en l'occurence lui apprendre à faire les résolutions de noms internes ...

:oops: Solution 4 : Isa Server AAAARRGGGGHHHHH ! jamais de la vie :)

Merci de m'avoir lu jusqu'ici.
En vous souhaitant à tous beaucoup de bonheur avec Ipcop, je me languis de voir des réponses à ce post ^^

Yv4n ! :)
gniii !
Avatar de l’utilisateur
Yv4n
Matelot
Matelot
 
Messages: 7
Inscrit le: 25 Nov 2003 01:00

Messagepar Fesch » 28 Fév 2006 19:25

Olà .... alors je n'ai pas encore vu un IE modifier la config réseau d'un PC ... et si jamais tel sera le cas un jour, ce ne sera pas un bon jour! :evil:

Le comportement de tes machines est en effet très drôle. A priori je ne vois aucune raisons directe pourquoi to config ne fonctionne pas.

Essaye peut-être de configurer ton IpCOP de telle manière que son serveur DNS par défaut pointe vers ton AD.

D'ailleurs, autre question (peut-être supide, mais bon). A quoi sert ton IpCOP encore si tout le reste est géré par d'autre machines?
Pourquoi lis-tu ceci???
Avatar de l’utilisateur
Fesch
Amiral
Amiral
 
Messages: 2505
Inscrit le: 11 Sep 2003 00:00
Localisation: Luxembourg

Re: Probleme de DNS dnsmasq ?!?

Messagepar Franck78 » 28 Fév 2006 20:31

Yv4n a écrit:Bonjour à tous,

Tout d'abord bravo pour ce forum vivant et concret, pour l implication de chacun et cette entraide qui permet de faire avancer cette communauté de passionnés dont je fait partie ^^ (et je ne dis pas ça en espérant avoir plus de chances d'avoir des réponses à mon post :D )



:idea: Solution 3 : Faire du DNS IPCOP un Children de mes DNS ActiveDirectory , et donc en l'occurence lui apprendre à faire les résolutions de noms internes ...




2 ans dans l'ombre, bravo... C'est pas ça qui fait avancer la communauté.... :roll:

Pseudo solution 3: avec le 'setup' IPCop, tu règles le serveur DNS vers ton windows/ad....
Quel est le résultat de cette essai nonobstant qu'il faudrait mieux savoir pourquoi IE change de serveur DNS?

Et firefox? Même topo?

bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Probleme de DNS dnsmasq ?!?

Messagepar Yv4n » 28 Fév 2006 21:26

Hello ,

Pour les dns vers AD : j ai tenté en modifiant mon resolv.conf et en y mettant les ips de mes dns ad : résultat : QUERY REFUSED :)

résultat d'un nslookup sur requête inter ou intranet ->
*** picop.rmfdomain ne parvient pas à trouver gestenc1.srv.france.monentreprise : Query refused
> :cry:

-> Sécurisation des DNS pour n'autoriser des requêtes que de machines clientes win . .. Je n'ai pas la main sur les DNS AD et je n ai pas moyen de faire modifier cela ...

Je me demande si dnsmasq n'envoie pas des packet dhcp pour ne configurer que les DNS ... je colle une sonde pdt 2 jours et vous dis ça ... C est fou quand même ...

Franck78 -> FireFox pas testé ... Le phénomène est tellement aléatoire ...
Fesh -> Mon Ipcop sert de proxy Web et passerelle pour certains postes ayant des besoins spécifiques sur internet .

Merci .
gniii !
Avatar de l’utilisateur
Yv4n
Matelot
Matelot
 
Messages: 7
Inscrit le: 25 Nov 2003 01:00

Re: Probleme de DNS dnsmasq ?!?

Messagepar Franck78 » 01 Mars 2006 22:02

Yv4n a écrit:Je me demande si dnsmasq n'envoie pas des packet dhcp pour ne configurer que les DNS

Alors ça, c'est une phrase qui ne veut rien dire :lol: :lol: :lol:

Cherche plutôt chez Krosoft les manières possibles à une workstation d'obtenir une adresse de DNS.

Bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Yv4n » 02 Mars 2006 19:32

Franck 78 -> on ne dit pas que ça veut rien dire quand on ne comprend pas ce que ça veut dire :lol: :lol: :lol:

C'est comme ce qu'on a dans son assiette on ne dit pas que c'est pas bon quand on n'aime pas :lol: :lol: :lol:

Et en plus je dirais qu'il faut lire le post avant de répondre (oui je sais, je suis trash, il est 18h20 et je me défoule avant de partir car j ai toujours le problème et ça me gave ^^!) -> j ai beaucoup trop de machines qui sont victimes de ce problème pour me pencher du coté de Microsoft car même si Krosoft m'apprenais comment fonctionne l'attribution dns, je ne vais pas recoder du Windows pour le plaisir ... La vraie raison c est le fait que je trouve jamais rien quand je recherche des infos de ce type sur Krosoft (qui a dit que le code était fermé ?)

Maintenant mon seul et unique objectif c est de stopper le serveur dns coté green (j'ai test le kill de dnsmasq mais il n'aime pas du tout) ...


Have fun ^^

La quatrième dimension ...
gniii !
Avatar de l’utilisateur
Yv4n
Matelot
Matelot
 
Messages: 7
Inscrit le: 25 Nov 2003 01:00

Messagepar Franck78 » 02 Mars 2006 19:56

>>dnsmasq n'envoie pas des packet dhcp

Même en la triturant dans tout les sens, dire qu'un 'serveur' dns pourrait se prendre pour un serveur dhcp n'a pas d'utilité/sens :D

Chez Microsoft, si tu trouves les quelques méthodes d'attribution d'adresse de serveur dhcp, tu pourras les éliminer une à une! C'est le but de la recherche.

L'adresse du serveur DNS reçue par le serveur DHCP d'IPCop est bien enregistrée dans la config du client et par la suite ce même client change 'seul' de serveur DNS.

Voila ce que l'on comprend en lisant ton post. C'est bien ça? A part deux noms différend pour la même chose "dns primaire" et "proxy dns ipcop".

Bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar jdh » 02 Mars 2006 20:33

Je suis désolé de contredire Franck78.

dnsmasq est un produit qui fournit un "cache dns", un serveur dhcp et un serveur dns limité aux définitions du fichier de conf.

Il s'agit d'un produit écrit par le Dr Bernstein, comme Qmail et d'autres produits. Le moins que l'on puisse dire sur ces logiciels c'est qu'il génère pas mal de discussions compte tenu des choix du créateur. Mais en aucun cas, je dirais qu'il s'agit de mauvais logiciels.

L'alternative à dnsmasq est un couple DHCP+BIND(9) d'ISC qui sont largement plus compliqué à bien configuré même si ce couple a bien plus de possibilité.

Je crois que l'on peut conseiller dnsmasq pour des petits réseaux (<10 postes).


Je trouve que ce fil a bien dégéneré ....
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Yv4n » 02 Mars 2006 20:45

-> http://thekelleys.org.uk/dnsmasq/doc.html

Dnsmasq is a lightweight, easy to configure DNS forwarder and DHCP server. It is designed to provide DNS and, optionally, DHCP, to a small network. It can serve the names of local machines which are not in the global DNS. The DHCP server integrates with the DNS server and allows machines with DHCP-allocated addresses to appear in the DNS with names configured either in each host or in a central configuration file. Dnsmasq supports static and dynamic DHCP leases and BOOTP for network booting of diskless machines.

Ca n'explique pas le fonctionnement de Krosoft mais de Ipcop ça :) :D

Bon sinon j ai beau cherché je trouve rien de bien enrichissant sur le sujet :roll:

Je me sauve , je m'y mets sérieusement demain :)

Bisous
gniii !
Avatar de l’utilisateur
Yv4n
Matelot
Matelot
 
Messages: 7
Inscrit le: 25 Nov 2003 01:00

Messagepar Franck78 » 03 Mars 2006 11:24

Le prog peut bien intégrer tous les serveurs possibles, c'est pas pour autant qu'il va émettre des réponses dhcp à la place de réponses dns!
Qu'une RFC soit prévue pour la mise à jour du dns à partir du dhcp soit prévue est un fait mais ne colle pas à la phrase bizaroide ;-) Cet communication (unidirectionnelle il me semble) va dans le sens dhcp->dns et est sans rapport avec dns vers client !


IPCop
-n'utilise pas la fonction dhcp de dnsmasq (cela éclaire peut être la réponse originale ;-) )
-le serveur dhcp n'utilise pas la mise à jour de serveur dns.

C'est vrai que j'aurais pu penser au petit service dhcp de dnsmasq. Mais comme il est tellement absent, pas facile :(
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar jdh » 03 Mars 2006 13:29

Je ne sais pas d'où vient la mention de dnsmasq : il n'est pas utilisé par IPCOP.

Je ne pense pas que dnsmasq soit très utilisé même s'il est pratique pour des petits sites. Je l'ai essayé sur un site parmi 6 pour une asso à laquelle je participe. C'est un produit simple et efficace mais pour des réseaux simples.

Il est clair que le traditionnel couple BIND9 et DHCP3 (d'ISC) est bien plus puissant et étendu. Surtout quand on dispose de bonne config (voir le site de http://arnofear.free.fr/ ).

Maintenant, quand on a un Win2K/2K3 avec ActiveDir, souvent le mieux est de laisser la fonction DNS et DHCP au serveur Windows principal. Il est tout à fait possible de mettre en place BIND et DHCP sur un Linux avec tout ce qui est nécessaire à ActiveDir (cf n° 45 de LinuxMagazine : http://www.linux-france.org/article/serveur/dns-bind/ ). Mais ce n'est pas parce que c'est possible qu'IL FAUT le faire.

Cela dit IL N'Y A AUCUNE raison que le proxy change le serveur de nom des clients. Et le bon réglage du Squid est d'utiliser le serveur DNS du serveur Win pour bénéficier des définitions dynamiques internes.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Franck78 » 03 Mars 2006 13:47

dnsmasq est utilsé par IPCop car 'bind' est une bien trop grosse usine à gaz pour notre cas.
(par contre on le compile pour les utilitaires comme 'dig')

Ceci dit, le browser client effectue surement ses requètes DNS auprès du bon serveur dns AD, adresse ses requètes HTTP au proxy/squid IPCop qui lui utilise, je le donne en mille: l'adresse DNS réglée dans IPCop bien sur!

Mais ca n'explique pas encore pourquoi le browser client passerait du serveur dns AD à IPCop.

En partant du principe mille fois vérifié qu'il ne faut jamais prendre au pied de la lettre un message d'erreur, @Yv4n, es-tu absolument certain que ta workstation a réellement changé de serveur dns? Avant ton /registerdns, ca donne quoi un ipconfig /all (ou autre commande nslookup pour vérifier le serveur utilisé)?????
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Yv4n » 03 Mars 2006 17:56

Hello !

vivivi je le confirme ! Ma workstation modifie le dns primaire toute seule !

ci joint screen ipconfig ...

C:\Documents and Settings\moi>IPCONFIG /all

Configuration IP de Windows

Nom de l'hôte . . . . . . . . . . : suppr-MABOITE-FDE9B7AD1
Suffixe DNS principal . . . . . . : france.maboite
Type de noud . . . . . . . . . . : Hybride
Routage IP activé . . . . . . . . : Non
Proxy WINS activé . . . . . . . . : Non
Liste de recherche du suffixe DNS : france.maboite
srv.france.maboite
as400.france.maboite
impr.france.maboite
domino.france.maboite
unix.france.maboite

Carte Ethernet Connexion au réseau local:

Suffixe DNS propre à la connexion :
Description . . . . . . . . . . . : Realtek RTL8169/8110 Family Giga
Ethernet NIC
Adresse physique . . . . . . . . .: 00-13-D3-03-9C-9E
DHCP activé. . . . . . . . . . . : Oui
Configuration automatique activée . . . . : Oui
Adresse IP. . . . . . . . . . . . : 10.7.126.114
Masque de sous-réseau . . . . . . : 255.255.254.0
Passerelle par défaut . . . . . . : 10.7.127.99
Serveur DHCP. . . . . . . . . . . : 10.7.127.199
Serveurs DNS . . . . . . . . . . : 10.7.127.81
10.102.106.11
Serveur WINS principal. . . . . . : 10.7.127.100
Serveur WINS secondaire . . . . . : 10.102.106.12
10.7.143.100
Bail obtenu . . . . . . . . . . . : vendredi 3 mars 2006 15:29:08
Bail expirant . . . . . . . . . . : vendredi 3 mars 2006 23:29:08

C:\Documents and Settings\moi>IPCONFIG /registerdns

Configuration IP de Windows

L'inscription des enregistrements de ressource DNS pour toutes les cartes de
ordinateur a été initiée. Toute erreur sera signalée dans l'Observateur d'é
ments dans 15 minutes.

C:\Documents and Settings\moi>IPCONFIG /all

Configuration IP de Windows

Nom de l'hôte . . . . . . . . . . : suppr-MABOITE-FDE9B7AD1
Suffixe DNS principal . . . . . . : france.maboite
Type de noud . . . . . . . . . . : Hybride
Routage IP activé . . . . . . . . : Non
Proxy WINS activé . . . . . . . . : Non
Liste de recherche du suffixe DNS : france.maboite
srv.france.maboite
as400.france.maboite
impr.france.maboite
domino.france.maboite
unix.france.maboite

Carte Ethernet Connexion au réseau local:

Suffixe DNS propre à la connexion :
Description . . . . . . . . . . . : Realtek RTL8169/8110 Family Giga
Ethernet NIC
Adresse physique . . . . . . . . .: 00-13-D3-03-9C-9E
DHCP activé. . . . . . . . . . . : Oui
Configuration automatique activée . . . . : Oui
Adresse IP. . . . . . . . . . . . : 10.7.126.114
Masque de sous-réseau . . . . . . : 255.255.254.0
Passerelle par défaut . . . . . . : 10.7.127.99
Serveur DHCP. . . . . . . . . . . : 10.7.127.199
Serveurs DNS . . . . . . . . . . : 10.102.106.11
Serveur WINS principal. . . . . . : 10.102.106.12
Serveur WINS secondaire . . . . . : 10.7.127.100
10.7.143.100
Bail obtenu . . . . . . . . . . . : vendredi 3 mars 2006 16:37:40
Bail expirant . . . . . . . . . . : samedi 4 mars 2006 00:37:40

C:\Documents and Settings\moi>


ip dhcp du site 10.7.127.199
ip dns AD 10.102.106.11
ip ipcop 10.7.127.81 ...

Pour l'instant j'ai la parade, je colle un :

iptables -I INPUT -i eth0 --protocol udp --dport 53 -j DROP
iptables -I INPUT -i eth0 --protocol tcp --dport 53 -j DROP

:twisted: :twisted: :twisted:
et je n'en entends plus parler ... Mais bon juste pour le fun j'aimerais comprendre ... :?:

Lundi si j ai le temps je colle ma sonde dessus ... pour l instant je retrouve pas mon cable console :'(

biz
gniii !
Avatar de l’utilisateur
Yv4n
Matelot
Matelot
 
Messages: 7
Inscrit le: 25 Nov 2003 01:00

Messagepar Franck78 » 03 Mars 2006 20:05

Si t'es observateur tu remarqueras que le serveur WINS aussi change. En fait que c'est carrèment un nouveau bail que tu obtiens.
Avec des infos différentes, c'est tout.

Alors tu en as surement oublié un truc de test quelquepart sur ton réseau, ou le serveur dns/AD n'est pas clean!

Plus une merdouille supplémentaire sur le client pour changer de bails avant la mi-temps (3 heures?).
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Yv4n » 03 Mars 2006 21:29

Re ,
Le virus inverseur de configuration DHCP ne m'a pas frappé : "tout n'est ceci rumeurs que. nous n'avons pas problème de détecté" . :D :D

Oué en effet j'avais pas remarqué le coup du Wins inversé ...

- J'ai nettoyé les paramètres réseaux du serveur dhcp au cas où ...
- J ai check ce que je pouvais dans les log du dhcp ... C'est pas terrible ... y a de tout ...
- J'ai stoppé les demande de mises à jour dns client - qui n'aboutissait jamais ...

Pour le changement de bail , il est dû au /registerdns.
15h29 renouvellement (heure du poste client)
11,03/03/06,15:34:13,Renouveler,10.7.126.114,suppr-REXEL-FDE9B7AD1.france.rexel,0013D3039C9E,

16h37 registerdns qui réactualise le bail
11,03/03/06,16:42:45,Renouveler,10.7.126.114,suppr-REXEL-FDE9B7AD1.france.rexel,0013D3039C9E,

16h53 post @ ixus :lol:

A suivre . . .
gniii !
Avatar de l’utilisateur
Yv4n
Matelot
Matelot
 
Messages: 7
Inscrit le: 25 Nov 2003 01:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron