Ubuntu-fr

Ben5469

Résolution DNS (bind) différentes avec les racines ou des redirecteurs

Bonjour,

Je suis administrateur système et réseau et j'ai rencontré un problème dont je n'arrive pas à déterminer la cause.

Mes utilisateurs m'ont signalé qu'ils n'arrivaient plus à accéder à différents sites google (calendar,gsuite, youtube, ...).

Après investigation, il s'avère que notre filtreur d'URL bloquait ces requêtes car mon serveur DNS résolvait les nom vers les adresses IP des serveurs de cache de google :

host calendar.google.com
calendar.google.com is an alias for www3.l.google.com.
www3.l.google.com has address 193.51.224.174

host 193.51.224.174
174.224.51.193.in-addr.arpa is an alias for 174.revggc.224.51.193.in-addr.arpa.
174.revggc.224.51.193.in-addr.arpa domain name pointer cache.google.com.

Mon serveur DNS n'avait pas de redirecteur et requêtait donc directement les serveurs racines. En ajoutant le serveur DNS de FDN en redirecteur, je n'obtenais plus la même réponse. Mon serveur résolvait bien vers l'adresse du serveur google et mon filtreur d'URL ne bloquait donc plus les requêtes HTTP :

host calendar.google.com
calendar.google.com is an alias for www3.l.google.com.
www3.l.google.com has address 216.58.213.174

Avez-vous, s'il vous plaît, une idée de pourquoi les requêtes de mon serveur DNS via les serveurs racines ne donnaient pas les mêmes résultats que les réquêtes via le redirecteur (serveur DNS de FDN) ?

Merci d'avance pour vos retours.

bruno

Re : Résolution DNS (bind) différentes avec les racines ou des redirecteurs

Bonjour,

C'est difficile de dire quoi que ce soit sans savoir quel logiciel tu utilises (Bind ?) et comment il est configuré. Cependant l'adresse que tu indiques cache.google.com ne semble pas appartenir à Goggle et n'est pas résolue sur un réseau « standard » :

~$ dig cache.google.com

; <<>> DiG 9.9.5-9+deb8u10-Debian <<>> cache.google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 45688
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;cache.google.com.              IN      A

;; AUTHORITY SECTION:
google.com.             60      IN      SOA     ns3.google.com. dns-admin.google.com. 154472373 900 900 1800 60

Et l'adresse IP 193.51.224.174 appartient au réseau Renater.

Le problème semble donc spécifique au réseau auquel tu es connecté. Je suppose que si tu avais vidé le cache du résolveur l'effet aurait été le même qu'en mettant un résolveur FDN (ou autre).
L'examen des logs (s(ils existent) et des sorties de commandes dig +trace aurait pu aider.

Ben5469

Re : Résolution DNS (bind) différentes avec les racines ou des redirecteurs

Bonjour Bruno,

Merci pour ta réponse. J'utilise Bind9. Je l'ai précisé dans le titre du sujet mais c'était peut-être pas assez explicite.

Effectivement, je suis sur le réseau Renater et je n'avais pas vu que cette adresse IP (193.51.224.174) lui appartenait.

J'essaye de comprendre comment mon serveur DNS a pu répondre avec cette adresse IP du coup. Lorsqu'on lui a demandé la résolution de "calendar.google.com", il a interrogé les serveurs racines, qui l'ont renvoyé vers les DNS de Google, qui (en fonction de mon réseau Renater d'origine) lui ont répondu avec cette adresse IP de cache du domaine Google sur le réseau Renater. Est-ce que cela te parait correct ?

Si oui, le fait de modifier mes redirecteurs vers les serveurs DNS de FDN a permis de résoudre vers une adresse directe de Google (216.58.213.174) car ces serveurs devaient l'avoir en cache DNS et n'ont pas renvoyé mon serveur vers les serveurs DNS de Google contrairement aux serveurs racines ?

Merci d'avance pour votre aide.