Pages : 1
#1 Le 26/05/2016, à 15:27
- rherchel
Autoriser query sur bind pour une adresse
Je poste ici car j'ai trouver aucune solution à mo problème.
En effet, sur mon log j'ai cette erreur:
24-May-2016 09:01:27.565 security: info: client 127.0.0.1#44682 (yesbycash.test.tsipayment.net): query (cache) 'yesbycash.test.tsipayment.net/A/IN' denied
24-May-2016 09:01:27.565 security: info: client 127.0.0.1#44682 (yesbycash.test.tsipayment.net): query (cache) 'yesbycash.test.tsipayment.net/AAAA/IN' denied
Cette ligne s'ajoute à mon log quand je vais un test de paiement via l'extension YesByCash sur mon store magento.
Normalement, un email devrait arriver à la boite de réception du client mais apparement le DNS n'est pas bien configurer et refuse le query.
Quelqu'un peut-il m'aider à autoriser cette adresse sur bind?
Cordialement
Hors ligne
#2 Le 29/05/2016, à 21:21
- Hunkyu
Re : Autoriser query sur bind pour une adresse
Salut,
ton appli est est en locale ?
Regarde qu'il n'y ai pas de droit chmod ?
Hors ligne
#3 Le 30/05/2016, à 06:19
- rherchel
Re : Autoriser query sur bind pour une adresse
Bonjour,
Vous parler de quel appli? Magento ou l'extension magento YesByCash?
Cordialement
Hors ligne
#4 Le 30/05/2016, à 08:18
- droopy191
Re : Autoriser query sur bind pour une adresse
Salut,
A priori, vous n'avez pas autorisé localhost à interrroger le dns.
Que disent les directives suivantes dans votre config bind ?
allow-query
allow-recursion
allow-query-cache
voir /etc/bind/
named.conf
named.conf.options
named.conf/local
cdlt
Hors ligne
#5 Le 30/05/2016, à 13:46
- rherchel
Re : Autoriser query sur bind pour une adresse
Bonjour,
Merci de trouver ci-après les configurations de bind:
- named.conf:
key "rndc-key" {
algorithm hmac-md5;
secret "1tez1hJRR/AdmMMj3Qa+XQ==";
};
controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { "rndc-key"; };
};
options {
listen-on port 53 { any; };
allow-query { any; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
recursion no;
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
/* fixes 100% cpu usage */
managed-keys-directory "/var/named/dynamic";
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
};
include "/etc/bind/zones.rfc1918";
include "/etc/zpanel/configs/bind/etc/named.conf";
include "/etc/zpanel/configs/bind/etc/log.conf";- named.conf.options:
options {
directory "/var/cache/bind";
// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113
// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.
// forwarders {
// 0.0.0.0;
// };
//========================================================================
// If BIND logs error messages about the root key being expired,
// you will need to update your keys. See https://www.isc.org/bind-keys
//========================================================================
dnssec-validation auto;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { ::1; };
listen-on { 127.0.0.1; };
allow-recursion { 127.0.0.1; ::1; };
allow-query-cache { 127.0.0.1; };
};- named.conf.local:
//
// Do any local configuration here
//
// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";Modération : merci à l'avenir d'utiliser les balises code (explications ici).
Dernière modification par cqfd93 (Le 30/05/2016, à 13:55)
Hors ligne
#6 Le 30/05/2016, à 14:48
- bruno
Re : Autoriser query sur bind pour une adresse
Du coup il faudrait vior aussi le contenu de ce fichier : /etc/zpanel/configs/bind/etc/named.conf
Et pour tester, sur le serveur :
dig +trace yesbycash.test.tsipayment.net#7 Le 30/05/2016, à 15:33
- rherchel
Re : Autoriser query sur bind pour une adresse
Bruno,
Ci-après le contenu de /etc/zpanel/configs/bind/etc/named.conf
controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { "rndc-key"; };
};
options {
listen-on port 53 { any; };
allow-query { any; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
recursion no;
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
/* fixes 100% cpu usage */
managed-keys-directory "/var/named/dynamic";
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
};
include "/etc/bind/zones.rfc1918";
include "/etc/zpanel/configs/bind/etc/named.conf";
include "/etc/zpanel/configs/bind/etc/log.conf";La réponse de la commande dig +trace yesbycash.test.tsipayment.net
dig +trace yesbycash.test.tsipayment.net
; <<>> DiG 9.9.5-3ubuntu0.8-Ubuntu <<>> +trace yesbycash.test.tsipayment.net
;; global options: +cmd
;; Received 28 bytes from 127.0.0.1#53(127.0.0.1) in 0 msHors ligne
#8 Le 30/05/2016, à 16:08
- bruno
Re : Autoriser query sur bind pour une adresse
Au vu de tes fichiers de configuration je vois pas à quoi sert bind… Il n'y a aucune référence à de fichiers de zones (hors zone.rfc), il ne peut donc rien résoudre…
D'ailleurs ta commande dig semble bien ne rien renvoyer.
Donc soit tu reprends la configuration de bind pour le configurer proprement en résolveur cache (iul me semble que c'est ce que font les fichiers de configuration par défaut sous Ubuntu). Soit tu configures ton serveur pour qu'il utilise un résolveur externe.
Dernière modification par bruno (Le 30/05/2016, à 16:55)
#9 Le 30/05/2016, à 16:52
- droopy191
Re : Autoriser query sur bind pour une adresse
C'est surtout un peu le bazar.
named.conf.options et named.conf.local ne sont pas sourcés dans named.conf, donc ne sont pas utilisés.
Ensuite vous avez des éléments de config dans named.conf et /etc/zpanel/configs/bind/etc/named.conf
dans /etc/zpanel/configs/bind/etc/named.conf
les dernières font des includes en boucle
Supprimez toutes les lignes dans named.conf en ne laissant que les dernières lignes avec include et voyez deja ce que cela donne en ne configurant que depuis le zpanel.
Mais, je rejoins bruno, a quoi est censé servir votre serveur dns ?
Hors ligne
#10 Le 31/05/2016, à 10:55
- rherchel
Re : Autoriser query sur bind pour une adresse
Bonjour,
J'ai configuré les fichiers configs comme suit:
- /etc/bind/named.conf
include "/etc/bind/zones.rfc1918";
include "/etc/zpanel/configs/bind/etc/named.conf";
include "/etc/zpanel/configs/bind/etc/log.conf";- /etc/zpanel/configs/bind/etc/named.conf
key "rndc-key" {
algorithm hmac-md5;
secret "1tez1hJRR/AdmMMj3Qa+XQ==";
controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { "rndc-key"; };
};
options {
listen-on port 53 { any; };
allow-query { any; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
/* fixes 100% cpu usage */
managed-keys-directory "/var/named/dynamic";
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
};
include "/etc/bind/zones.rfc1918";
include "/etc/zpanel/configs/bind/etc/named.conf";
include "/etc/zpanel/configs/bind/etc/log.conf";J'ai plus d'erreur de query cache dans les logs bind par contre l'email de confirmation n'arrive pas toujours aux clients.
La réponse du commande dig +trace yesbycash.test.tsipayment.net est:
; <<>> DiG 9.9.5-3ubuntu0.8-Ubuntu <<>> +trace yesbycash.test.tsipayment.net
;; global options: +cmd
. 514281 IN NS d.root-servers.net.
. 514281 IN NS a.root-servers.net.
. 514281 IN NS m.root-servers.net.
. 514281 IN NS g.root-servers.net.
. 514281 IN NS e.root-servers.net.
. 514281 IN NS j.root-servers.net.
. 514281 IN NS f.root-servers.net.
. 514281 IN NS h.root-servers.net.
. 514281 IN NS i.root-servers.net.
. 514281 IN NS l.root-servers.net.
. 514281 IN NS k.root-servers.net.
. 514281 IN NS c.root-servers.net.
. 514281 IN NS b.root-servers.net.
. 517694 IN RRSIG NS 8 0 518400 20160610050000 20160531040000 60615 . MqAiT08LyR2dG/meJlUsKPIDWDJ7KZO+tEfV77AtdI7NPOekZvsPTwqZ MlRx9/Ql2+z6tR22EEesL5b6CAJ4ujUxQxsm++bBmjvJCe7LYOjcjn0y xCJa1DWR2zZBMPwbWTfEu10GmeivfxBG7kTw+5F03cmXEDorqJGT2/GF Reg=
;; Received 913 bytes from 91.121.82.79#53(91.121.82.79) in 6 ms
net. 172800 IN NS c.gtld-servers.net.
net. 172800 IN NS k.gtld-servers.net.
net. 172800 IN NS d.gtld-servers.net.
net. 172800 IN NS f.gtld-servers.net.
net. 172800 IN NS i.gtld-servers.net.
net. 172800 IN NS j.gtld-servers.net.
net. 172800 IN NS m.gtld-servers.net.
net. 172800 IN NS e.gtld-servers.net.
net. 172800 IN NS g.gtld-servers.net.
net. 172800 IN NS b.gtld-servers.net.
net. 172800 IN NS l.gtld-servers.net.
net. 172800 IN NS a.gtld-servers.net.
net. 172800 IN NS h.gtld-servers.net.
net. 86400 IN DS 35886 8 2 7862B27F5F516EBE19680444D4CE5E762981931842C465F00236401D 8BD973EE
net. 86400 IN RRSIG DS 8 1 86400 20160610050000 20160531040000 60615 . RbMFjG3z6vDmrI4QUAGPPln1MHNZhVK3HnWjCZpQcstvtJAPjgirFenS jcy97RsDGdX8Cid5Irg+6bNbe91+Cl54QNSVhzCT36cCrFR4vOJaAOUW uQXS26FSL2fVTNMPKGuzJkho8zTOHFgTPjXK77lobqJbIi2aHrgfiN85 6/w=
;; Received 750 bytes from 192.228.79.201#53(b.root-servers.net) in 136 ms
tsipayment.net. 172800 IN NS ns1.vinc.fr.
tsipayment.net. 172800 IN NS ns2.vinc.fr.
A1RT98BS5QGC9NFI51S9HCI47ULJG6JH.net. 86400 IN NSEC3 1 1 0 - A1RUUFFJKCT2Q54P78F8EJGJ8JBK7I8B NS SOA RRSIG DNSKEY NSEC3PARAM
A1RT98BS5QGC9NFI51S9HCI47ULJG6JH.net. 86400 IN RRSIG NSEC3 8 2 86400 20160607052231 20160531041231 50762 net. Chr4gI0LHWbNsl2jwBsA7Ib65L1tZFzMSnOrpfhSQDN06k7XCooK4vLa VYOrvX6Qdqvk6yx1w0uK6JHLYk39wmFWHM/9+s99YaxcIJizyIAbzxyX ZYJbEM2nksVBebfz/QKQbolYHGWAgv6ZbzWABP2xVSGkFLaCvmJY3/Ak MMI=
07A5JOFDE4PB7D3LAMQSB05TEHLANS8P.net. 86400 IN NSEC3 1 1 0 - 07A8S462TMVTQ6EH0JVENLK2E41GCC9E NS DS RRSIG
07A5JOFDE4PB7D3LAMQSB05TEHLANS8P.net. 86400 IN RRSIG NSEC3 8 2 86400 20160605052730 20160529041730 50762 net. KpGYFsypB+Mfprpz3iR1ZRd1TVYjCs/vZNQBOcZoaguptqEUewDUFNWG hLfmAH6vZ25jw8KWDx0kvlvBKEF2SeFOrjSmJExmLI8kIYHI0IOBO+Ap 1kYRvQ/KlXaEnDAwmEOAMncgXzwYFb4aZEKy2WCk4fvKq84C947ZXT4j Xag=
;; Received 586 bytes from 192.54.112.30#53(h.gtld-servers.net) in 25 ms
yesbycash.test.tsipayment.net. 0 IN A 89.30.106.245
tsipayment.net. 0 IN NS ns2.vinc.fr.
tsipayment.net. 0 IN NS ns1.vinc.fr.
;; Received 149 bytes from 89.30.106.120#53(ns1.vinc.fr) in 5 msDes idées?
J'ai envoyé aussi ce même constatation avec le fournisseur de l'extension.
Cordialement
Hors ligne
#11 Le 31/05/2016, à 11:20
- bruno
Re : Autoriser query sur bind pour une adresse
Donc ton résolveur fonctionne maintenant puisqu'il arrive bien à résoudre le nom yesbycash.test.tsipayment.net en interrogeant les serveurs DNS depuis la racine (je ne sais pas par quel miracle…). Ce fil peut donc être marqué comme résolu.
Le fait que ton serveur n'arrive pas à envoyer de courriels est un autre problème.
#12 Le 31/05/2016, à 11:47
- rherchel
Re : Autoriser query sur bind pour une adresse
Donc ton résolveur fonctionne maintenant puisqu'il arrive bien à résoudre le nom yesbycash.test.tsipayment.net en interrogeant les serveurs DNS depuis la racine (je ne sais pas par quel miracle…). Ce fil peut donc être marqué comme résolu.
Le fait que ton serveur n'arrive pas à envoyer de courriels est un autre problème.
Bien sûr que le sujet peut être clos et merci de votre aide. J'ai l'assistance du FRNS de l'extension et c'est fonctionnel en ce moment.
Merci encore.
Cordialement
Hors ligne
#13 Le 31/05/2016, à 17:53
- droopy191
Re : Autoriser query sur bind pour une adresse
dans
/etc/zpanel/configs/bind/etc/named.conf
les derniers includes sont redondants à mon sens.
Il faut limiter un peu les accès, votre serveur dns est ouvert au 4 vents.
A priori, vous n'utilisez votre serveur que pour faire un cache / resolveur pour le serveur web associé, donc limitez qui peut l'utiliser.
listen-on port 53 { 127.0.0.1; };
allow-query { localhost; };
allow-recursion { localhost; };Hors ligne
Pages : 1