tj - Wiki

Outils pour utilisateurs

Outils du site

Piste : serveur_bind
serveur_bind

Ceci est une ancienne révision du document !

Table des matières

BIND

Ou DNS ou “named”

installer

package

# aptitude update
# aptitude install bind9

configurer

Par defaut, je crois que tout est permis.

mon reseau

Restreindre les droits d'interrogation…
Pour cela, il faut editer le fichier /etc/bind/named.conf.options, et:
Configurer son reseau:

Limiter les droits: 

// zone local
acl mylan {
      127.0.0.1;
      10.22.0.0/24;
};

Où “10.22.0.0/24” est “mon” reseau local.

Puis dans la section “options”, faire en sorte d'avoir: 

allow-notify {
    none;
};
allow-transfer {
    none;
};
allow-query {
    mylan;
};
allow-recursion {
    mylan;
};

Ainsi, il n'y a que “mylan” qui peut utiliser “mon” DNS, et les autres droits seront definis ultérieurement au cas par cas.

log

Pour qu'on puisse voir des trucs pertinents dans les logs, on peut ajouter dans le fichier /etc/bind/named.conf.options : 

// <tj>

logging {
category "unmatched" { "null"; };
category "default" { "default_syslog"; "default_debug"; };
};

// </tj>

Zone

master

:!: il faut preparer les fichiers “db” au préalable !

Il faut editer le fichier: /etc/bind/named.conf.local

On declare une zone locale, dont on est maitre.

Soit la zone de conversion “nom” en “ip”: 

zone "thierry-jaouen.local" {
      type master;
      file "/etc/bind/LOCAL/db.thierry-jaouen.local";
      allow-query {
              mylan;
      };
};

Soit la zone inverse, de conversion “ip” en “nom”: 

zone "0.168.192.in-addr.arpa" {
      type master;
      file "/etc/bind/LOCAL/db.192.168.0";
      allow-query {
              mylan;
      };
};

En fait, la section “allow-query” est inutile parce ce que redondante avec la declaration de la section “options”.

slave

:!: il faut preparer les fichiers “db” au préalable !

Il faut editer le fichier: /etc/bind/named.conf.local

Imaginons un autre serveur DNS, qui va relayer les zone “master” vu ci-dessus.
Pour cela, on declare un “slave”, c'est a dire une zone qui va recuperer les informations auprés d'un “master”.

sur le SLAVE
zone "thierry-jaouen.local" {
      type slave;
      file "/etc/bind/SLAVE/db.thierry-jaouen.local";
      masters {
              <ADRESSE_DU_MAITRE>;
      };
};

zone "0.168.192.in-addr.arpa" {
      type slave;
      file "/etc/bind/SLAVE/db.192.168.0";
      masters {
              <ADRESSE_DU_MAITRE>;
      };
};
:!: Bien s'assurer que le user “bind” a le droit d'ecrire dans le repertoire “SLAVE”

Si nécessaire: 

# cd /etc/bind
# mkdir SLAVE
# chown root:bind SLAVE
# chmod g+sw SLAVE
# ls SLAVE -ld
drwxrwsr-x 2 root bind 4096 2009-01-25 01:32 SLAVE
sur le MASTER

Modifier les zones concernés, afin qu'elles autorisent le “transfert” de zone ! Donc, ajouter: 

allow-transfer {
  <ADRESSE_IP_DU_SLAVE>;
};
:!: Il y aurait pas un defaut d'authentification ???
serveur_bind.1232901172.txt.gz · Dernière modification : 2009/01/25 16:32 de thierry