====== Rappel ======
On se passe de DNS en utilisant le fichier /etc/hosts de chaque machine.
Dans ce cas, il faut renseigner la correspondance entre l'adresse IP et le nom de la machine manuellement. Valable pour un petit réseau, vous comprenez facilement que cela n'est pas utilisable avec un grand réseau, a fortiori Internet !
Sous GNU/Linux, il faut de toute façon mettre deux lignes dans le fichier ///etc/hosts// lorsque l'on implante un service DNS :
* La résolution de la zone locale.
* La propre résolution de la machine dans son domaine DNS d'appartenance (fortement conseillé pour un serveur).
Exemple :
# Fichier /etc/hosts sur le server
127.0.0.1 localhost.localdomain localhost
192.168.20.2 srvlan.maison.lan srvlan
====== Installation du DNS ======
* Installer le package **Bind** et ses dépendances par apt :
# apt-get install bind9
====== Configuration ======
Fichiers de configuration :
* /etc/bind/named.conf
* /etc/bind/named.conf.options
* /etc/bind/named.conf.local
\\
==== Le fichier named.conf ====
On modifie le fichier général en ajoutant la directive //allow-update// et ainsi rendre impossible la mise à jour de la configuration par un tiers :
include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
// Reference aux serveurs racines
zone "." {
type hint;
file "/etc/bind/db.root";
};
// Zone locale
zone "localhost" {
type master;
file "/etc/bind/db.local";
allow-update { none; };
};
zone "127.in-addr.arpa" {
type master;
file "/etc/bind/db.127";
allow-update { none; };
};
zone "0.in-addr.arpa" {
type master;
file "/etc/bind/db.0";
allow-update { none; };
};
zone "255.in-addr.arpa" {
type master;
file "/etc/bind/db.255";
allow-update { none; };
};
\\
==== Le fichier named.conf.local ====
C'est dans ce fichier que l'on indique nos zones :
//include "/etc/bind/zones.rfc1918";
// Les zones
zone "maison.lan" {
type master;
file "db.maison.lan";
allow-update { none; };
};
zone "20.168.192.in-addr.arpa" {
type master;
file "rev.maison.lan";
allow-update { none; };
};
Explications :
* L'emplacement des fichiers de zones se détermine à partir du répertoire de référence donné comme option ///var/cache/bind// avec la directive **directory** dans le fichier named.conf.options.
* L'instruction //**allow-update { none; };**// n'autorise pas de mise à jour dynamique du DNS par d'autres machines.
\\
==== Les fichiers de zones ====
Dans ces fichiers, le symbole @ (arobase) est un raccourci pour désigner le nom de la zone actuelle spécifié dans l'instruction //zone// du fichier ///etc/bind/named.conf.local//.
* Création du fichier de zone directe pour nos machines (///var/cache/bind/db.maison.lan//)
; Fichier pour la résolution directe de notre zone
$TTL 86400
@ IN SOA srvlan.maison.lan. root.maison.lan. (
2008030901 ; serial
1W
1D
4W
1W )
@ IN NS srvlan.maison.lan.
srvlan IN A 192.168.20.2
andromede IN A 192.168.20.10
phoenix IN A 192.168.20.11
srvdmz IN A 192.168.8.2
* Création du fichier pour la zone inverse (///var/cache/bind/rev.maison.lan//)
; Fichier pour la résolution inverse de notre zone
$TTL 86400
@ IN SOA srvlan.maison.lan. root.maison.lan. (
2008030901 ; serial
1W
1D
4W
1W )
@ IN NS srvlan.maison.lan.
2 IN PTR srvlan.maison.lan.
10 IN PTR andromede.maison.lan.
11 IN PTR phoenix.maison.lan.
Le numéro de serie (serial) se compose de la date du jour du fichier lors de la rédaction de ces lignes, à "l'envers" et accolée à un numéro d'index de départ. Ce numéro sert pour les échanges avec un serveur secondaire.
* Pour que le daemon Bind puisse lire nos fichier de zone, on modifie leur groupe d'appartenance
# chgrp bind /var/cache/bind/*
\\
==== Le fichier resolv.conf ====
* Modifier le fichier ///etc/resolv.conf// pour qu'il contienne les lignes suivantes :
search maison.lan
nameserver 192.168.20.2
nameserver dns_de_votre_fai
\\
====== Check et démarrage du service ======
* Lancer l'utilitaire de vérification //named-checkconf// (s'il ne retourne rien ,c'est ok) qui vérifie par défaut le fichier ///etc/bind/named.conf//.
* Lancer l'utilitaire de vérification //named-checkzone// sur les fichiers de zone :
# cd /var/cache/bind/
# named-checkzone -d maison.lan db.maison.lan
loading "maison.lan" from "db.maison.lan" class "IN"
zone maison.lan/IN: loaded serial 2008030901
OK
* Lancer le service :
# /etc/init.d/bind9 restart
* Vérifier les logs :
# cat /var/log/syslog | grep named
Mar 9 18:07:50 srvlan named[2383]: exiting
Mar 9 18:07:53 srvlan named[2476]: starting BIND 9.3.4 -u bind
Mar 9 18:07:53 srvlan named[2476]: found 1 CPU, using 1 worker thread
Mar 9 18:07:53 srvlan named[2476]: loading configuration from '/etc/bind/named.conf'
Mar 9 18:07:53 srvlan named[2476]: listening on IPv4 interface lo, 127.0.0.1#53
Mar 9 18:07:53 srvlan named[2476]: listening on IPv4 interface eth0, 192.168.20.2#53
Mar 9 18:07:53 srvlan named[2476]: command channel listening on 127.0.0.1#953
Mar 9 18:07:53 srvlan named[2476]: zone 0.in-addr.arpa/IN: loaded serial 1
Mar 9 18:07:53 srvlan named[2476]: zone 127.in-addr.arpa/IN: loaded serial 1
Mar 9 18:07:53 srvlan named[2476]: zone 20.168.192.in-addr.arpa/IN: loaded serial 2008030901
Mar 9 18:07:53 srvlan named[2476]: zone 255.in-addr.arpa/IN: loaded serial 1
Mar 9 18:07:53 srvlan named[2476]: zone maison.lan/IN: loaded serial 2008030901
Mar 9 18:07:53 srvlan named[2476]: zone localhost/IN: loaded serial 1
Mar 9 18:07:53 srvlan named[2476]: running
\\
====== Vérification plus approfondie ======
* La commande ci-dessous (package dnsutils) doit montrer les différentes questions au service DNS et les bonnes réponses pour les enregistrements conforme à vos fichiers de configuration :
# host -v srvlan.maison.lan
Trying "srvlan.maison.lan"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35591
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;srvlan.maison.lan. IN A
;; ANSWER SECTION:
srvlan.maison.lan. 86400 IN A 192.168.20.2
;; AUTHORITY SECTION:
maison.lan. 86400 IN NS srvlan.maison.lan.
Received 65 bytes from 192.168.20.2#53 in 6 ms
Trying "srvlan.maison.lan"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63209
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;srvlan.maison.lan. IN AAAA
;; AUTHORITY SECTION:
maison.lan. 86400 IN SOA srvlan.maison.lan. root.maison.lan. 2008030901 604800 86400 2419200 604800
Received 76 bytes from 192.168.20.2#53 in 4 ms
Trying "srvlan.maison.lan"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64979
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;srvlan.maison.lan. IN MX
;; AUTHORITY SECTION:
maison.lan. 86400 IN SOA srvlan.maison.lan. root.maison.lan. 2008030901 604800 86400 2419200 604800
Received 76 bytes from 192.168.20.2#53 in 4 ms
\\
ou
\\
# dig SOA maison.lan
; <<>> DiG 9.3.4 <<>> SOA maison.lan
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15634
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
;; QUESTION SECTION:
;maison.lan. IN SOA
;; ANSWER SECTION:
maison.lan. 86400 IN SOA srvlan.maison.lan. root.maison.lan. 2008030901 604800 86400 2419200 604800
;; AUTHORITY SECTION:
maison.lan. 86400 IN NS srvlan.maison.lan.
;; ADDITIONAL SECTION:
srvlan.maison.lan. 86400 IN A 192.168.20.2
;; Query time: 7 msec
;; SERVER: 192.168.20.2#53(192.168.20.2)
;; WHEN: Sun Mar 9 18:25:46 2008
;; MSG SIZE rcvd: 106
* Enfin, on peut vérifier la résolution avec un ping sur la zone locale et un ping vers l'extérieur :
# ping srvlan.maison.lan
et
# ping www.google.fr
\\
====== Utiliser des DNS externes ======
Maintenant que notre DNS est opérationnel, il va falloir le rendre plus performant !
Actuellement, il s'occupe des résolutions de la zone //maison.lan// mais aussi des résolutions externes pour les machines du réseau et construit son cache en fonction.
De façon à réduire sa charge de travail, on peut faire en sorte que cette seconde tâche soit dévolue au serveur DNS "supérieur".
* Supprimer la référence au DNS externe dans le fichier ///etc/resolv.conf// :
search maison.lan
nameserver 192.168.20.2
* Commenter les lignes ayant trait aux serveurs racines dans le fichier ///etc/bind/named.conf// pour ne plus les interroger :
// Reference aux serveurs racines
//zone "." {
// type hint;
// file "/etc/bind/db.root";
//};
\\
==== Le fichier named.conf.options ====
* Modifier les lignes suivantes dans le fichier ///etc/bind/named.conf.options// :
options {
directory "/var/cache/bind";
// query-source address * port 53;
forward only;
forwarders {
xxx.xxx.xxx.xxx; // dns1 de votre FAI
xxx.xxx.xxx.xxx; // dns2 de votre FAI
};
auth-nxdomain no; # conform to RFC1035
allow-recursion { localnets; };
};
* Positionner à //no// pour l'utilisation de //resolv.conf// dans le fichier ///etc/default/bind9// :
RESOLVCONF=no
RESOLVCONF=no permet de ne pas se faire écraser notre configuration dans le ///etc/resolv.conf// par un DHCP par exemple.
* Relancer le service Bind :
# /etc/init.d/bind9 restart
\\
====== Installer un DNS secondaire ======
Dans notre exemple, le serveur DNS secondaire s'intitule SRVDMZ et a pour IP 192.168.8.3. Il est en réseau avec le primaire sur son interface en 192.168.8.2
* Ajouter dans le fichier ///etc/bind/named.conf.local// la notification et l'autorisation pour le serveur secondaire de ce mettre à jour :
// Les zones
zone "maison.lan" {
type master;
file "db.maison.lan";
allow-update { none; };
notify yes;
allow-transfer { 192.168.8.3; };
};
zone "20.168.192.in-addr.arpa" {
type master;
file "rev.maison.lan";
allow-update { none; };
notify yes;
allow-transfer { 192.168.8.3; };
};
* Modifier le fichier de zone ///var/cache/bind/db.maison.lan// pour ajouter le serveur secondaire (comme faisant autorité) :
@ IN NS srvdmz.maison.lan.
* Idem pour la zone inverse ///var/cache/bind/rev.maison.lan// :
@ IN NS srvdmz.maison.lan.
* Installer Bind sur le serveur de secours et modifier les fichiers de cette façon :
\\
///etc/bind/named.conf.options//
options {
directory "/var/cache/bind";
query-source address * port 53;
forward only;
forwarders {
212.27.54.252;
212.27.53.252;
};
auth-nxdomain no; # conform to RFC1035
allow-recursion { 192.168.8.0/24; 192.168.20.0/24; };
};
\\
///etc/bind/named.conf//
Ce fichier reste identique au serveur principal
\\
///etc/bind/named.conf.local//
// Les zones
zone "maison.lan" {
type slave;
notify no;
masters { 192.168.8.2; };
file "db.maison.lan";
};
zone "20.168.192.in-addr.arpa" {
type slave;
notify no;
masters { 192.168.8.2; };
file "rev.maison.lan";
};
Pas de fichiers de zone à faire ici, puisqu'ils seront créés lors de la synchronisation avec le serveur primaire !
* Modifier le fichier ///etc/resolv.conf// :
nameserver 192.168.8.3
* Modifier le fichier ///etc/hosts// :
127.0.0.1 localhost.localdomain localhost
192.168.8.3 srvdmz.maison.lan srvdmz
* Relancer d'abord le serveur primaire puis le secondaire. Vérifier les logs !