wikinotes

Outils pour utilisateurs

Outils du site

Piste : definir_commande_cli authentification_postgres installer_pgadmin flask_application_factory configuration-serveur ssh installer_open_ssh_server configurer-bind9
sysadmin:configurer-bind9

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
sysadmin:configurer-bind9 [2015/03/13 11:30] rootsysadmin:configurer-bind9 [2025/10/27 15:17] (Version actuelle) yoann
Ligne 1: Ligne 1:
 +{{tag>sysadmin netadmin linux dns bind}}
 +
 ======= Configurer bind9 ====== ======= Configurer bind9 ======
  
-Instalation serveur de nom sur la zone lan+Installation du serveur de résolution de nom ISC BIND((Berkeley Internet Name Domain)). 
 +Configuration minimale en tant que serveur faisant autorité sur la zone internal.
  
 <code bash> <code bash>
Ligne 10: Ligne 13:
 Dans le fichier de configuration **''/etc/bind/named.conf.options''** définir les interfaces sur lesquelles le serveur bind sera à l'écoute en modifiant la ligne listen-on-v6. Dans le fichier de configuration **''/etc/bind/named.conf.options''** définir les interfaces sur lesquelles le serveur bind sera à l'écoute en modifiant la ligne listen-on-v6.
  
-Ecoute sur toutes les interfaces+Écoute sur toutes les interfaces
 <file> <file>
         listen-on-v6 { any; };         listen-on-v6 { any; };
 </file> </file>
  
-Ecoute sur la boucle locale+Écoute sur la boucle locale
 <file> <file>
         listen-on-v6 { ::1; };         listen-on-v6 { ::1; };
 </file> </file>
  
-Le retrait de la déclaration **forwarders** permet d'éviter de s'appuyer sur les DNS du FAI. Dans ce cas bind interroge directement les DNS racine. On ne bénéficie plus du cache DNS du FAI mais on évite également ses DNS menteurs s'il existent.+Le retrait de la déclaration **forwarders** permet d'éviter de s'appuyer sur les DNS du FAI. Dans ce cas bind interroge directement les DNS racines. On ne bénéficie plus du cache DNS du FAI mais on évite également ses DNS menteurs s'il existent.
  
 Commenter les forwarders Commenter les forwarders
Ligne 31: Ligne 34:
 ===== Configuration en serveur maître ===== ===== Configuration en serveur maître =====
  
-bind va être configuré en tant que serveur maître sur la zone **lan.** C'est lui qui fera autorité sur cette zone.+bind va être configuré en tant que serveur maître sur la zone **internal.** C'est lui qui fera autorité sur cette zone.
  
-Modifier le fichier de configuration ''**/etc/bind/named.conf.local**'' afin de déclarer la zone lan.+Modifier le fichier de configuration ''**/etc/bind/named.conf.local**'' afin de déclarer la zone internal.
  
 <file> <file>
-zone "lan" { +zone "internal" { 
         type master;          type master; 
-        file "/etc/bind/db.lan"; +        file "/etc/bind/db.internal"; 
         allow-update { none; };         allow-update { none; };
 }; };
Ligne 45: Ligne 48:
 Remarque: Pour éviter qu'un tiers ne mette à jour dynamiquement votre zone DNS, utiliser la déclaration **allow-update** Remarque: Pour éviter qu'un tiers ne mette à jour dynamiquement votre zone DNS, utiliser la déclaration **allow-update**
    
-Le fichier ''**/etc/bind/db.lan**'' contiendra la définition de la zone lan. Créer le fichier+Le fichier ''**/etc/bind/db.internal**'' contiendra la définition de la zone internal. Créer le fichier
 <code bash> <code bash>
-root@kerberos:/etc/bind# touch db.lan+touch db.internal
 </code> </code>
  
Ligne 53: Ligne 56:
 <file> <file>
 ; ;
-; BIND fichier de données pour la zone lan+; BIND fichier de données pour la zone internal
 ; ;
 $TTL    604800 $TTL    604800
-@       IN      SOA     ns.lanadmin.lan. ( +@       IN      SOA     ns.internalcontact.internal. ( 
-                      201305201         ; Serial+                                      ; Serial
                          604800         ; Refresh                          604800         ; Refresh
                           86400         ; Retry                           86400         ; Retry
Ligne 63: Ligne 66:
                          604800 )       ; Negative Cache TTL                          604800 )       ; Negative Cache TTL
 ; ;
-      IN      NS      ns.lan+       IN      NS      ns1.internal
-ns      IN      A       192.168.1.15 +ns1      IN      A       192.168.1.15 
-gw      IN      A       192.168.1.1+gateway  IN      A       192.168.1.1
 </file> </file>
  
  
 Vérifier la syntaxe des fichiers de configuration: Vérifier la syntaxe des fichiers de configuration:
 +
 <code bash> <code bash>
-root@kerberos:/etc/bind# named-checkconf -z+named-checkconf -z
 </code> </code>
  
-===== Creer la zone de recherche inversée =====+===== Créer la zone de recherche inversée =====
  
-Cette zone va permettre au serveur DNS de convertir une adresse IP en nom. A nouveau modifier le fichier de configuration ''**/etc/bind/named.cof.local**'' pour ajouter la zone.+Cette zone va permettre au serveur DNS de convertir une adresse IP en nom. A nouveau modifier le fichier de configuration ''**/etc/bind/named.conf.local**'' pour ajouter la zone de recherche inversée.
  
 <file> <file>
Ligne 82: Ligne 86:
         type master;         type master;
         notify no;         notify no;
-        file "/etc/bind/db.192";+        file "/etc/bind/db.reverse.internal";
 }; };
 </file> </file>
  
-Ici c'est dans le fichier ''**db.192**'' que seront définies les entrées de la zone. Utiliser un fichier existant en modèle pour créer le nouveau fichier de zone.+Ici c'est dans le fichier ''**db.reverse.internal**'' que seront définies les entrées de la zone. Utiliser un fichier existant en modèle pour créer le nouveau fichier de zone.
  
 <code bash> <code bash>
-cp db.127 db.192+cp db.127 db.reverse.internal
 </code> </code>
  
Ligne 100: Ligne 104:
 $TTL    604800 $TTL    604800
 @       IN      SOA     ns1.lan. admin.lan. ( @       IN      SOA     ns1.lan. admin.lan. (
-                                      ; Serial+                                      ; Serial
                          604800         ; Refresh                          604800         ; Refresh
                           86400         ; Retry                           86400         ; Retry
Ligne 117: Ligne 121:
 Vérifier la configuration et recharger les fichiers de configuration Vérifier la configuration et recharger les fichiers de configuration
 <code bash> <code bash>
-root@kerberos:/etc/bindnamed-checkconf -z && service bind9 reload+named-checkzone 122.168.192.in-addr.arpa /etc/bind/db.reverse.glp.internal 
 + 
 +named-checkconf -z && systemctl reload named.service
 </code> </code>
  
Ligne 125: Ligne 131:
  
 <code bash> <code bash>
-yoann@hermes:~$ nslookup +nslookup 
 > set type=PTR > set type=PTR
 > 192.168.1.201 > 192.168.1.201
Ligne 136: Ligne 142:
  
 A propos de la RFC 1918 A propos de la RFC 1918
 +
 +===== Statistiques =====
 +
 +<note>
 +Les statistiques ne doivent pas être exposées sur une interface publique car elles peuvent fournir des informations importantes pouvant faciliter les attaques.
 +</note>
 +
 +Deux méthodes exposent les statistiques du serveur BIND :
 +  * le fichier ''named.stats'' ;
 +  * le serveur HTTP (recommandé).
 +
 +
 +Pour activer le service d'export des statistiques via HTTP, ajouter la directive ''statistics-channels'' dans le fichier de configuration ''/etc/bind/named.conf.local'' :
 +
 +<file>
 +statistics-channels { inet 127.0.0.1 port 8080 ; };
 +</file>
 +
 +Valider la syntaxe et relancer le service :
 +<code bash>
 +named-checkconf -z
 +systemctl reload named.service
 +</code>
 +
 +:TODO:
 +
 +  * voir paramètre ''query logging'' affiché par la commande **''rndc status''** ;
 +  * directive
 +
 +
 +<code bash>
 +rndc querylog on
 +</code>
  
 ===== Références ===== ===== Références =====
Ligne 141: Ligne 180:
   * http://doc.ubuntu-fr.org/bind9   * http://doc.ubuntu-fr.org/bind9
   * http://www.linuxpedia.fr/doku.php/bind   * http://www.linuxpedia.fr/doku.php/bind
 +  * https://www.it-connect.fr/dns-avec-bind-9/
 +  * [[https://kb.isc.org/docs/monitoring-recommendations-for-bind-9|Recommandation pour la supervision d'une serveur BIND 9 (isc.org) (en)]]
 +  * [[https://access.redhat.com/solutions/477073|Comment obtenir les statistiques d'un serveur BIND 9 (redhat.com) (en)]]
 +  * [[https://www.it-connect.fr/linux-comment-configurer-un-serveur-dns-bind9-sur-un-reseau-deconnecte-dinternet/|Configurer BIND 9 comme résolveur sur un réseau local non connecté]]
 +  * [[https://blog.tips4tech.fr/creer-un-serveur-dns-avec-bind9/|Configurer un serveur DNS BIND (tips4tech.fr)]]
sysadmin/configurer-bind9.1426246246.txt.gz · Dernière modification : 2021/02/01 21:51 (modification externe)

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : GNU Free Documentation License 1.3
GNU Free Documentation License 1.3 Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki