Topic: Comment arrêter requêtes DNS

[jimro]

Bonjour,
     Je constate des requêtes port 53 (plusieurs par minute) sur des adresses comme :
128.9.0.107
198.32.64.12
193.0.14.129
192.33.4.12
128.8.10.90
192.36.148.17
192.112.36.4
202.12.27.33
198.41.0.4
192.58.128.30
192.5.5.241
128.63.2.53
     Je précise que ma machine SME Server est sur un intranet non connecté à Internet (intranet disposant de ses propres serveurs DNS), configuré pour l'instant uniquement en tant que serveur Web.
     Indépendamment du fait que ces adresses ne sont peut-être plus d'actualité, quels sont les services faisant appel à ces adresses (tinydns ou dnscache). Dans l'urgence, j'ai vidé le fichier /etc/dnsroots.global et un fichier template (je ne sais plus lequel ), mais je ne pense pas que ce soit la manière la plus propre pour résoudre le pb.
     N'ayant pas besoin de ces fonctionnalités DNS pour l'instant, comment puis-je les désactiver proprement ?
     Si j'ai besoin de les réactiver comment faire ? Comment les paramétrer pour bénéficier éventuellement de serveurs DNS de mon intranet ?

     Merci pour votre aide. J'ai bien essayé de comprendre les explications à ce sujet (notamment sur djbdns), mais ça me semble assez hermétique.

[Davidator]

Salut à toi, Conan

Effectivement, ta méthode de suppression à la louche m'a l'air un peu bourrine.

Si tu veux que ton serveur e-smith utilise un autre serveur DNS présent sur ton réseau, tu peux le lui indiquer en te loggant sur la console d'admin. Deux possibilités pour ça selon ta config :
- Se logger en local peut suffire
- Sinon se logger en local ou SSH en utilisant le compte admin ou bien en faisant un "su admin" après s'etre loggé en root.
Tu verras alors la console d'admin qui est une interface ANSI de paramétrage de base. Dans le lot de question, y'en a une qui concerne la gestion des DNS locaux par un autre serveur, c'est ici que tu indiqueras son IP.

Tu ne peux pas désactiver DNS sur une e-smith il me semble. Il est utilisé en local par le serveur lui meme (évite de le killer). Ces requêtes sont-elles si gênantes après tout ?

[jimro]

Bourrine, j'en conviens d'où mon post, mais efficace puisque les requêtes en question n'apparaissent plus.

Dans le lot de question, y'en a une qui concerne la gestion des DNS locaux par un autre serveur, c'est ici que tu indiqueras son IP.

OK, j'avais vu. Mais lequel de dnscache ou tinydns fait ces requêtes, le premier qui est un resolver ou peut-être que tinydns a besoin de synchroniser ses data avec d'autres DNS ?

Il est utilisé en local par le serveur lui meme (évite de le killer).

Pour quoi faire en local, accéder à www.mondomaine.xxx ou ftp.mondomaine.xxx ? Parce que je n'en ai vraiment pas besoin pour l'instant. Donc selon toi, mieux vaut ne pas désactiver dnscache et tinydns, soit.

Ces requêtes sont-elles si gênantes après tout ?

Gênantes, je ne sais pas, mais elles génèrent du trafic inutile sur le réseau, ce qui n'est jamais très top.

Merci pour ta réponse

[jimro]

Bon... Ca n'a pas l'air de passionner les foules !
Figés dans l'attente de la sortie de la version Lycoris de SME Server ?
Pourtant au cours de mes recherches sur le sujet, j'ai eu l'occasion de lire des dizaines de messages à ce sujet (essentiellement en anglais), sans qu'une solution véritablement "propre" ne soit mentionnée.
Il y a bien le guide de djbdns (=combo dnscache tinydns), mais rien trouvé sur son paramétrage avec une SME et son système de templates.

Est-ce qu'une bonne âme pourrait m'indiquer où trouver un manuel de référence (s'il existe) pour le paramétrage du DNS sur une SME Server 6.0.1-01 ?
Par exemple, à partir de quel template génère-t-on /etc/dnsroots.global ? Quels sont les rôles exacts de /etc/resolv.conf, /var/dnscache/.../root/servers/@, and so on ?

[572452]

Il me semble qu'il s'agit des ip des dns root (K.root.dns, etc). J'ai eu le même soucis sur le réseau de ma société qui est complétement hermétique et utilise ses propres serveurs puis utilise les redirecteurs pour les requetes vers l'extérieur. Ces adresses sont fermées sur mon réseau et ne peuvent etre jointes directement. Celà génére du trafic réseau et des refus sur les serveurs de dns de ma société. Pour résoudre cela j'ai fait comme toi, puis j'ai remli le fichier avec les deux adresses ip des serveurs de dns de la société et lors de la config du sme à la question "vous devrez indiquer ici une adresse IP '...' ou si un autre serveur de dns résout les adresses locales sur votre réseau local" j'ai indiqué ici l'adresse de mon serveur de dns local dont les redirecteurs sont configurés vers les dns de ma société. Comme celà plus de requetes intempestives et fonctionnement ok.

[jimro]

Salut,

Merci pour ton retour d'expérience. J'ai appliqué une solution sensiblement identique.
Faut dire que malheureusement le forum français sur contribs.org est plutôt en état de léthargie. Quasiment tout se passe sur www.ixus.net pour ce qui concerne le français (voir aussi free-eos.org et smerp.free.fr).
Pour en revenir au sujet qui nous occupe, j'ai pu, dans les semaines qui ont suivi ma question ici, trouver la marche à suivre à force de recherches et de tests en m'appuyant sur des bribes d'infos essentiellement en anglais à divers endroits.
D'ailleurs  j'ai en projet de rédiger, dès que j'aurai un peu de temps disponible, un petit topo explicatif pour ce type de paramétrage DNS en mode server only de SME 6.0.1-01, sur intranet ou pas, parce qu'en mode passerelle et server, y'a qqs petites différences (notamment au niveau affectation des adresses IP externe et interne). Curieux que cela n'ait pas été fait depuis le temps...
Donc après avoir décortiqué le fonctionnement de djbdns (dnscache, tinydns, ...), il a fallu mettre ça en pratique en le système de templates-custom de SME.
En résumé :
- /etc/dnsroots.global : fichier à renseigner a mano avec les adresses IP des root servers d'Internet,
- /etc/dnsroots.local (optionnel) : idem, mais avec les adresses IP des serveurs DNS internes
- SME va s'appuyer (entre autres) sur ces deux fichiers pour construire le fichier @ dans /var/.../dnscache...
- dnscache et tinydns doivent tourner sur des adresses IP différentes, dans mon cas dnscache tourne sur 127.0.0.1 et tinydns sur l'adresse IP qui est affectée au serveur SME sur mon réseau local ;
- tinydns gère, par le biais de sa base de données dans /etc/.../tinydns/..., uniquement les adresses des domaines et hôtes déclarés sur mon serveur SME (c'est le cas qui m'intéressait), par exemple : mondomaine.local, www.mondomaine.local, mail.mondomaine.local, ftp.mondomaine.local ;
- dnscache gère le reste à partir de /etc/resolv.conf  et du fichier @ : cache, résolution d'adresses sur le serveur SME et sur l'intranet, et reverse DNS ;
- il faut donc renseigner /etc/resolv.conf ainsi :
domain mondomaine.local
nameserver 192.168.0.10 (exemple d'adresse du serveur SME sur le réseau local) ;
- deux autres petites choses pour finir :
. il faut créer au même niveau que @ un fichier du nom de ton domaine auquel appartient ton serveur SME, par exemple le fichier mondomaine.local contenant l'adresse IP 127.0.0.1 pour que cela fonctionne ; car il semble qu'il n'ait pas été prévu que SME le fasse automatiquement ;
. si on utilise, une station cliente Windows 2000 (je ne sais plus pour Windows XP) pour faire les tests, il faut absolument faire qqs modifs sur son client DNS (aarrgh ! ça m'a fait perdre qqs heures ça aussi) ; en effet, il garde en cache durant un certain temps le fait qu'une adresse lui est inconnue, même si on modifie la config du serveur SME. Solutions : soit désactiver le client DNS de Windows 2000, soit régler la durée des adresses non résolues à 0 (dans la base de registre), soit exécuter à la ligne de commande ipconfig /flushdns pour vider le cache avant tout nouvel essai.
- reste ensuite à mettre tout ça d'aplomb avec les templates custom utilisés dans SME Server.
- j'écris tout ça de mémoire, donc il y a peut-être qqs petites imprécisions par ci par là, mais dans le principe c'est bon.

Depuis, ça fonctionne nickel