wikinotes

Outils pour utilisateurs

Outils du site

Piste : definir_commande_cli authentification_postgres installer_pgadmin flask_application_factory configuration-serveur configurer-bind9 ssh
sysadmin:configurer-bind9

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
sysadmin:configurer-bind9 [2013/05/21 17:38] rootsysadmin:configurer-bind9 [2025/10/27 15:17] (Version actuelle) yoann
Ligne 1: Ligne 1:
 +{{tag>sysadmin netadmin linux dns bind}}
 +
 ======= Configurer bind9 ====== ======= Configurer bind9 ======
  
-Instalation serveur de nom sur la zone lan+Installation du serveur de résolution de nom ISC BIND((Berkeley Internet Name Domain)). 
 +Configuration minimale en tant que serveur faisant autorité sur la zone internal.
  
 <code bash> <code bash>
Ligne 10: Ligne 13:
 Dans le fichier de configuration **''/etc/bind/named.conf.options''** définir les interfaces sur lesquelles le serveur bind sera à l'écoute en modifiant la ligne listen-on-v6. Dans le fichier de configuration **''/etc/bind/named.conf.options''** définir les interfaces sur lesquelles le serveur bind sera à l'écoute en modifiant la ligne listen-on-v6.
  
-Ecoute sur toutes les interfaces+Écoute sur toutes les interfaces
 <file> <file>
         listen-on-v6 { any; };         listen-on-v6 { any; };
 </file> </file>
  
-Ecoute sur la boucle locale+Écoute sur la boucle locale
 <file> <file>
         listen-on-v6 { ::1; };         listen-on-v6 { ::1; };
 </file> </file>
  
-Le retrait de la déclaration **forwarders** permet d'éviter de s'appuyer sur les DNS du FAI. Dans ce cas bind interroge directement les DNS racine. On ne bénéficie plus du cache DNS du FAI mais on évite également ses DNS menteurs s'il existent.+Le retrait de la déclaration **forwarders** permet d'éviter de s'appuyer sur les DNS du FAI. Dans ce cas bind interroge directement les DNS racines. On ne bénéficie plus du cache DNS du FAI mais on évite également ses DNS menteurs s'il existent.
  
 Commenter les forwarders Commenter les forwarders
Ligne 31: Ligne 34:
 ===== Configuration en serveur maître ===== ===== Configuration en serveur maître =====
  
-bind va être configuré en tant que serveur maître sur la zone **lan.**+bind va être configuré en tant que serveur maître sur la zone **internal.** C'est lui qui fera autorité sur cette zone.
  
-Modifier le fichier de configuration ''**/etc/bind/named.conf.local**'' afin de déclarer la zone lan.+Modifier le fichier de configuration ''**/etc/bind/named.conf.local**'' afin de déclarer la zone internal.
  
 <file> <file>
-zone "lan" { +zone "internal" { 
         type master;          type master; 
-        file "/etc/bind/db.lan"; +        file "/etc/bind/db.internal";  
 +        allow-update { none; };
 }; };
 </file> </file>
  
-Le fichier ''**/etc/bind/db.lan**'' contiendra la définition de la zone lan. Créer le fichier+Remarque: Pour éviter qu'un tiers ne mette à jour dynamiquement votre zone DNS, utiliser la déclaration **allow-update** 
 +  
 +Le fichier ''**/etc/bind/db.internal**'' contiendra la définition de la zone internal. Créer le fichier
 <code bash> <code bash>
-root@kerberos:/etc/bind# touch db.lan+touch db.internal
 </code> </code>
  
Ligne 50: Ligne 56:
 <file> <file>
 ; ;
-; BIND fichier de données pour la zone lan+; BIND fichier de données pour la zone internal
 ; ;
 $TTL    604800 $TTL    604800
-@       IN      SOA     ns.lanadmin.lan. ( +@       IN      SOA     ns.internalcontact.internal. ( 
-                      201305201         ; Serial+                                      ; Serial
                          604800         ; Refresh                          604800         ; Refresh
                           86400         ; Retry                           86400         ; Retry
Ligne 60: Ligne 66:
                          604800 )       ; Negative Cache TTL                          604800 )       ; Negative Cache TTL
 ; ;
-      IN      NS      ns.lan+       IN      NS      ns1.internal
-ns      IN      A       192.168.1.15 +ns1      IN      A       192.168.1.15 
-gw      IN      A       192.168.1.1+gateway  IN      A       192.168.1.1
 </file> </file>
  
  
 Vérifier la syntaxe des fichiers de configuration: Vérifier la syntaxe des fichiers de configuration:
 +
 <code bash> <code bash>
-root@kerberos:/etc/bindnamed-checkconf -z+named-checkconf -z 
 +</code> 
 + 
 +===== Créer la zone de recherche inversée ===== 
 + 
 +Cette zone va permettre au serveur DNS de convertir une adresse IP en nom. A nouveau modifier le fichier de configuration ''**/etc/bind/named.conf.local**'' pour ajouter la zone de recherche inversée. 
 + 
 +<file> 
 +zone "1.168.192.in-addr.arpa"
 +        type master; 
 +        notify no; 
 +        file "/etc/bind/db.reverse.internal"; 
 +}; 
 +</file> 
 + 
 +Ici c'est dans le fichier ''**db.reverse.internal**'' que seront définies les entrées de la zone. Utiliser un fichier existant en modèle pour créer le nouveau fichier de zone. 
 + 
 +<code bash> 
 +cp db.127 db.reverse.internal 
 +</code> 
 + 
 +Modifier le fichier de zone inversé ''**/etc/bind/db.192**''. Attention a bien modifier l'entrée SOA, le nom du serveur doit correspondre à la zone **lan**. A chaque entrée **A** du fichier de zone **lan** doit correspondre un enregistrement **PTR**. 
 + 
 +<file> 
 +
 +; BIND reverse data file 
 +
 +$TTL    604800 
 +      IN      SOA     ns1.lan. admin.lan. ( 
 +                              1         ; Serial 
 +                         604800         ; Refresh 
 +                          86400         ; Retry 
 +                        2419200         ; Expire 
 +                         604800 )       ; Negative Cache TTL 
 +
 +@       IN      NS      ns1. 
 + 
 +; ================= Serveurs ========================= 
 +200     IN      PTR     ns1.lan. 
 +201     IN      PTR     pi-stache.lan. 
 +254     IN      PTR     gw.lan. 
 + 
 +</file> 
 + 
 +Vérifier la configuration et recharger les fichiers de configuration 
 +<code bash> 
 +named-checkzone 122.168.192.in-addr.arpa /etc/bind/db.reverse.glp.internal 
 + 
 +named-checkconf -z && systemctl reload named.service 
 +</code> 
 + 
 +==== Tester la recherche inversée ==== 
 + 
 +Avec nslookup en passant l'adresse IP directement en paramètre ou en mode interactif en restreignant le type de réponses à PTR:  
 + 
 +<code bash> 
 +nslookup  
 +> set type=PTR 
 +> 192.168.1.201 
 +Server:         192.168.1.200 
 +Address:        192.168.1.200#53 
 + 
 +201.1.168.192.in-addr.arpa      name = pi-stache.lan. 
 +>
 </code> </code>
  
 A propos de la RFC 1918 A propos de la RFC 1918
 +
 +===== Statistiques =====
 +
 +<note>
 +Les statistiques ne doivent pas être exposées sur une interface publique car elles peuvent fournir des informations importantes pouvant faciliter les attaques.
 +</note>
 +
 +Deux méthodes exposent les statistiques du serveur BIND :
 +  * le fichier ''named.stats'' ;
 +  * le serveur HTTP (recommandé).
 +
 +
 +Pour activer le service d'export des statistiques via HTTP, ajouter la directive ''statistics-channels'' dans le fichier de configuration ''/etc/bind/named.conf.local'' :
 +
 +<file>
 +statistics-channels { inet 127.0.0.1 port 8080 ; };
 +</file>
 +
 +Valider la syntaxe et relancer le service :
 +<code bash>
 +named-checkconf -z
 +systemctl reload named.service
 +</code>
 +
 +:TODO:
 +
 +  * voir paramètre ''query logging'' affiché par la commande **''rndc status''** ;
 +  * directive
 +
 +
 +<code bash>
 +rndc querylog on
 +</code>
  
 ===== Références ===== ===== Références =====
  
   * http://doc.ubuntu-fr.org/bind9   * http://doc.ubuntu-fr.org/bind9
 +  * http://www.linuxpedia.fr/doku.php/bind
 +  * https://www.it-connect.fr/dns-avec-bind-9/
 +  * [[https://kb.isc.org/docs/monitoring-recommendations-for-bind-9|Recommandation pour la supervision d'une serveur BIND 9 (isc.org) (en)]]
 +  * [[https://access.redhat.com/solutions/477073|Comment obtenir les statistiques d'un serveur BIND 9 (redhat.com) (en)]]
 +  * [[https://www.it-connect.fr/linux-comment-configurer-un-serveur-dns-bind9-sur-un-reseau-deconnecte-dinternet/|Configurer BIND 9 comme résolveur sur un réseau local non connecté]]
 +  * [[https://blog.tips4tech.fr/creer-un-serveur-dns-avec-bind9/|Configurer un serveur DNS BIND (tips4tech.fr)]]
sysadmin/configurer-bind9.1369157908.txt.gz · Dernière modification : 2021/02/01 21:51 (modification externe)

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : GNU Free Documentation License 1.3
GNU Free Documentation License 1.3 Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki