reseau:dns
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteProchaine révisionLes deux révisions suivantes | ||
reseau:dns [2015/09/06 14:02] – [Esclave DNS pour d'autres FAI de la fédération] kheops | reseau:dns [2020/07/26 12:54] – [Reverse-DNS] daimrod | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
===== Zone DNS faimaison.net ===== | ===== Zone DNS faimaison.net ===== | ||
- | La zone maître | + | La zone faimaison.net |
Pour référence, | Pour référence, | ||
< | < | ||
+ | ;; QUESTION SECTION: | ||
+ | ; | ||
+ | |||
;; ANSWER SECTION: | ;; ANSWER SECTION: | ||
- | faimaison.net. 6635 IN SOA trompe-souris.faimaison.net. adminsys.faimaison.net. | + | faimaison.net. |
;; AUTHORITY SECTION: | ;; AUTHORITY SECTION: | ||
- | faimaison.net. 6397 IN NS chomsky.autogeree.net. | + | faimaison.net. |
- | faimaison.net. 6397 IN NS ns2.faimaison.net. | + | faimaison.net. |
- | faimaison.net. 6397 IN NS trompe-souris.faimaison.net. | + | faimaison.net. |
- | faimaison.net. 6397 IN NS ns6.gandi.net. | + | faimaison.net. |
;; ADDITIONAL SECTION: | ;; ADDITIONAL SECTION: | ||
- | ns2.faimaison.net. 6635 IN A 88.191.132.173 | + | trompe-souris.faimaison.net. |
- | ns2.faimaison.net. 49250 IN AAAA 2a01: | + | philmore.faimaison.net. |
- | ns6.gandi.net. 48027 IN A 217.70.177.40 | + | bosco.faimaison.net. |
- | chomsky.autogeree.net. 48634 IN A 91.216.110.36 | + | philmore.faimaison.net. |
- | trompe-souris.faimaison.net. | + | bosco.faimaison.net. |
+ | |||
+ | ;; Query time: 0 msec | ||
+ | ;; SERVER: 127.0.0.1# | ||
+ | ;; WHEN: Fri Jun 12 08:55:11 CEST 2020 | ||
+ | ;; MSG SIZE rcvd: 286 | ||
</ | </ | ||
- | ==== Rechargement | + | ==== Modification |
- | Pour recharger | + | Philmore fait office de DNS maître, la configuration se fait donc dessus. |
+ | |||
+ | - '' | ||
+ | - passer en root avec '' | ||
+ | - '' | ||
+ | - '' | ||
+ | - '' | ||
+ | * rajouter/ | ||
+ | * remplacer le serial par la date courante (tout en haut du fichier) | ||
+ | - vérifier avec adminsys@ # optionnel, si on n'est pas sûr de soit | ||
+ | - Recharger | ||
+ | |||
+ | |||
+ | ==== Reverse-DNS ==== | ||
+ | |||
+ | (voir aussi [[adminsys: | ||
+ | |||
+ | La gestion du reverse-DNS de nos blocs IPv4 et IPv6 nous est déléguée. Elle est donc gérée par nsd, comme les enregistrements DNS, dans un fichier de zone. | ||
+ | La seule chose qui peut être déroutante est que seule la fin (dernier octet) de l' | ||
+ | |||
+ | Par exemple, l' | ||
+ | |||
+ | < | ||
+ | 252 | ||
+ | </ | ||
+ | |||
+ | Pour trouver le reserve-DNS d'une ip, par exemple de l'IPv6 '' | ||
+ | |||
+ | < | ||
+ | dig -x 2a00: | ||
+ | </ | ||
+ | |||
+ | La réponse DNS affichée sera: | ||
+ | |||
+ | < | ||
+ | |||
+ | ; <<>> | ||
+ | ;; global options: +cmd | ||
+ | ;; Got answer: | ||
+ | ;; ->> | ||
+ | ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 5 | ||
+ | |||
+ | ;; OPT PSEUDOSECTION: | ||
+ | ; EDNS: version: 0, flags:; udp: 4096 | ||
+ | ;; QUESTION SECTION: | ||
+ | ; | ||
+ | |||
+ | ... reste de la réponse ... | ||
+ | </ | ||
+ | |||
+ | La section qui nous intéresse est '' | ||
+ | |||
+ | < | ||
+ | |||
+ | C'est cette ligne qu'il faudra utilisée dans le fichier de zone reverse. | ||
+ | |||
+ | ==== Vérification des modifications ==== | ||
+ | |||
+ | Les commandes suivantes peuvent être utilisées pour vérifier les enregistrements ajoutés, modifiés ou supprimés. Ces commandes envoient une requête DNS au serveur DNS de FAImaison. La configuration doit donc avoir été rechargée après les modifications. | ||
+ | |||
+ | * Pour tester l' | ||
+ | * Pour tester l' | ||
+ | * Pour tester l' | ||
+ | |||
- | * Reconstruire la base de donnée de la zone : '' | ||
- | * Informer les slaves : '' | ||
- | * Recharger le serveur DNS : '' | ||
===== Esclave DNS pour d' | ===== Esclave DNS pour d' | ||
- | Il y a une recette ansible '' | + | |
+ | :!: // Pas à jour ? Recette non utilisée depuis sa création. // | ||
+ | |||
+ | Il y a une recette ansible '' | ||
+ | |||
+ | Le serveur esclave prend le contenu de la zone DNS depuis le serveur maître à intervalles réguliers. | ||
La configuration du maître est laissée à la discrétion des adminsys de l' | La configuration du maître est laissée à la discrétion des adminsys de l' | ||
Pour l' | Pour l' | ||
+ | Le principe de fonctionnement de la recette ansible est le suivant : | ||
- | Le principe de fonctionnement est le suivant : | + | * un fichier de configuration contient les informations de chaque zone : il est lu par ansible pour générer un fichier par zone servie |
- | Il y a un fichier de configuration | + | * ces fichiers de zone sont inclus depuis un fichier '' |
- | Ces fichiers de zones sont inclus depuis un fichier '' | + | |
- | Ensuite le fichier de configuration principal | + | Ensuite le fichier de configuration principal |
==== Configuration des zones ==== | ==== Configuration des zones ==== | ||
Voici un exemple de fichier de configuration pour la recette : | Voici un exemple de fichier de configuration pour la recette : | ||
- | < | ||
- | zones: | ||
- | autre.fai: | ||
- | reverse: 0.168.192.in-addr.arpa | ||
- | ip: 192.168.0.7 | ||
- | tsig: true | ||
- | key_name: faimaison-autreFAI | ||
- | secret: stoi-le-secret | ||
- | </ | ||
- | Si l' | + | zones: |
+ | autre-fai.tld: | ||
+ | reverse: 0.168.192.in-addr.arpa | ||
+ | ip: 192.168.0.7 | ||
+ | tsig: true | ||
+ | key_name: faimaison-autreFAI | ||
+ | secret: stoi-le-secret | ||
+ | |||
+ | La clé '' | ||
+ | |||
+ | Si l' | ||
Avec TSIG, le nom de la clé doit être le même côté serveur maître et côté esclave, sinon la vérification est refusée. | Avec TSIG, le nom de la clé doit être le même côté serveur maître et côté esclave, sinon la vérification est refusée. | ||
Ligne 61: | Ligne 137: | ||
Pour référence, | Pour référence, | ||
- | < | + | |
- | dnssec-keygen -a HMAC-SHA1 -b 160 -n HOST ${FAINAME_HOSTNAME}-faimaison | + | dnssec-keygen -a HMAC-SHA1 -b 160 -n HOST ${FAINAME_HOSTNAME}-faimaison |
- | </ | + |
reseau/dns.txt · Dernière modification : 2022/11/06 01:42 de jca