Metagames - DNS avec BIND9 sous Debian

Metagames (https://www.metagames-eu.com/forums/)

- Informatique (https://www.metagames-eu.com/forums/informatique/)

- - DNS avec BIND9 sous Debian (https://www.metagames-eu.com/forums/informatique/dns-avec-bind9-sous-debian-135373.html)

DNS avec BIND9 sous Debian

Bonjour,

Je viens vers vous cette fois si car j'ai comme projet de monter un serveur DNS avec l’outil Bind9 sous Debian 7. Cependant je n'arrive pas a le rendre fonctionnel. Je m'explique, j'ai tout d'abord fait un test avec un nom de domaine du style "prenom.local" et tout fonctionnais correctement, maintenant je doit refaire la même chose sous le nom de domaine "m2l.com".

Le dns : 172.16.0.2 : dsn.m2l.com
Le serveur web (pour test) : 172.16.0.3 : web.m2l.com

Cependant depuis que j'ai changé de nom de domaine, impossible de refaire fonctionner le tout ( j'ai bien fait les modif sur le serveur web au niveau d'appache et des différent fichiers de conf ).

Je me retrouve maintenant avec un DNS qui réussi la résolution inverse mais pas la résolution normal ( cf ci-dessous), je vous met également en copie les fichier de configuration de Bind en espérant que l'un de vous comprenne la ou j'ai merdé ...

Merci d'avance :jap:

http://img11.hostingpics.net/pics/946579nslookup.png

fichier de db m2l.com :

Citation:

$; BIND reverse data file for empty rfc1918 zone
;
; DO NOT EDIT THIS FILE - it is used for multiple zones.
; Instead, copy it, edit named.conf, and use that copy.
;
$TTL 86400
m2l.com. IN SOA dns.m2l.com. root.m2l.com. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
86400 ) ; Negative Cache TTL
;
IN NS dns.m2l.com.
dns IN A 172.16.0.2
web.m2l.com. IN A 172.16.0.3
172.16.0.3 IN A web.m2l.com.

le fichier reverse :

Citation:

; BIND reverse data file for empty rfc1918 zone
;
; DO NOT EDIT THIS FILE - it is used for multiple zones.
; Instead, copy it, edit named.conf, and use that copy.
;
$TTL 86400
0.16.172.in-addr.arpa. IN SOA dns.m2l.com. root.m2l.com. (
1 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
86400 ) ; Negative Cache TTL
;
@ IN NS dns.m2l.com.
2 IN PTR dns.m2l.com.
3 IN PTR web.m2l.com.

le fichier named.conf.default-zones :

Citation:

// prime the server with knowledge of the root servers
zone "." {
type hint;
file "/etc/bind/db.root";
};

// be authoritative for the localhost forward and reverse zones, and for
// broadcast zones as per RFC 1912

zone "localhost" {
type master;
file "/var/cache/bind/m2l";
};

zone "127.in-addr.arpa" {
type master;
file "/etc/bind/db.127";
};

zone "0.in-addr.arpa" {
type master;
file "/etc/bind/db.0";
};

zone "255.in-addr.arpa" {
type master;
file "/etc/bind/db.255";
};

Le fichier named.conf.local :

Citation:

//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

zone "m2l.com" {
type master;
file "/var/cache/bind/m2l";
};

zone "0.16.172.in-addr.arpa" {
type master;
file "/var/cache/bind/reverse";
};

et le fichier named.conf.options

Citation:

options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See Vulnerability Note VU#800113 - Multiple DNS implementations vulnerable to cache poisoning

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

// forwarders {
// 0.0.0.0;
// };

//================================================== ======================
// If BIND logs error messages about the root key being expired,
// you will need to update your keys. See https://www.isc.org/bind-keys
//================================================== ======================
dnssec-validation auto;

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
listen-on {ANY;};
allow-recursion {127.0.0.1;};
};

Code:

web.m2l.com. IN A 172.16.0.3

172.16.0.3 IN A web.m2l.com.

Ces deux ligne sont fausses, la deuxième est a retirer, pour la premiere ça devrait ressembler a celle du dessous.

Code:

web IN A 172.16.0.3

Voici un exemple de zone bind que j'utilisais a un moment chez moi (toutes les IP publiques ont été changées) ...

Code:

$TTL 3H

@       IN      SOA     coreserver.home. root.coreserver.home. (

                        2011412071  ;

                        21600       ;

                        3600        ;

                        604800      ;

                        86400  )    ;





                IN      NS        server.home.

                IN        MX        10        smtp   

                IN        A        192.168.1.224

gateway                IN        A        1.2.3.4

router          IN      A       192.168.1.1

gentoo-vm        IN        A        192.168.1.32

eyetv                IN        A        192.168.1.140

lexmark         IN      A       192.168.1.153

corei7                IN        A        192.168.1.156

smtp                IN        A        192.168.1.224

server                IN        A        192.168.1.224

hp1515n         IN      A       192.168.1.165

coreserver        IN        A        192.168.1.224

coreserver-vnc        IN        A        192.168.1.233

jackbox                IN        A        1.2.3.4

tuner                IN        CNAME        eyetv

link                IN        CNAME        gateway

mail                IN        CNAME        smtp

merci beaucoup pour cette réponse Jack, après les modification faite suivant tes dires ça fonctionne parfaitement ^^

Maintenant j'ai une autre question, comment fait-on pour avoir plusieurs zone inverse ( je m'explique, je suis sur mon réseau LAN avec mon DNS et mon serveur se trouve dans la zone DMZ ( je sais c'est pas très cool tout ça mais c'est a fin de test, car a coté j'ai aussi un firewall et je fait mumuse afin de maitriser a la perfection ces outils a la fin :D)

Admettons que ta DMZ soit sur 172.16.1.0/24

Dans named.conf.local tu rajoutes la declaration de zone. Le nom du fichier on s'en fou, j'ai mis db.172.16.1 mais tu peux l'appeler monsuperchat ca change rien ....

Code:

zone "1.16.172.in-addr.arpa" {

type master;

file "/var/cache/bind/db.172.16.1";

};

Et ton fichier DB de zone dans /var/cache/bind/db.172.16.1, en admettant que 172.16.1.1 soit ton serveur qui s'appelle nomduserveurendmz.m2l.com

Code:

; BIND reverse data file for empty rfc1918 zone

;

; DO NOT EDIT THIS FILE - it is used for multiple zones.

; Instead, copy it, edit named.conf, and use that copy.

;

$TTL 86400

1.16.172.in-addr.arpa. IN SOA dns.m2l.com. root.m2l.com. (

1 ; Serial

604800 ; Refresh

86400 ; Retry

2419200 ; Expire

86400 ) ; Negative Cache TTL

;

@ IN NS dns.m2l.com.

1 IN PTR nomduserveurendmz.m2l.com.

Merci Jack, tes propos m'ont aidé a avancer ^^ et Je sais que je répond un peu tard ... le fait est que je n'arrete pas de courrir cette année :'(
Malheureusement j'ai encore besoin de vous une derniere fois pour un problème concernant le DNS encore ... je rencontre le problème ci dessous (screenshot) :

http://img15.hostingpics.net/pics/62...0615165938.png

Pour faire court, mon serveur DNS resout bien les domaine intranet et internet lorsque je suis connecté dessus ( physiquement, ou en SSH), cependant lorsque j'attribue ce DNS a un client, celui-ci arrive bien a résoudre les domaines intranet mais n'arrive plus a résoudre les domaines internet ... Ce que je trouve bizarre et je n'arrive pas a en trouver la cause ...

Il y as 2 cas possible :
- Soit il me dit "refused" (ou "query refused" sous windows)
- soit il me répond tout simplement que le DNS ne trouve pas le domaine ( danx l'exemple : google)

Merci par avance de vos éventuelles pistes

PS: Je peut également fournir les doc de configuration si ça interesse ( je le ferait dès que possible en principe)

j'ai résolu ce problème, mon DNS résout bien les nom de domaine exterieur, cependant avec un navigateur internet non et je necomprend pas pourquoi... =/

Est-ce que ton navigateur internet a une configuration proxy ?

Finalement, c’était" un problème d'options qui n'existait pas dans mes fichiers de conf (named.conf.options) que j'ai du rajouter :

Citation:

allow-query { any;};
allow-recursion { any; };
allow-transfer { any;};

D'ailleurs sans cette configuration de plus cela ne marchais pas, cependant le fait que tout soit "any" me fait un peu peur niveau sécu...

Depuis ce rajout, j'ai pus lier mon DNS a mon proxy, qui du coup navigue bien sur internet, et mon DNS résout aussi en local mes serveurs.

Juste pour éviter les soucis de sécurité, tu pourrais éventuellement limiter ces configs aux sous réseaux que tu gères, ca serait dommage de participer a une attaque par amplification DNS par mégarde ...