Différences

Ci-dessous, les différences entre deux révisions de la page.

--- reseau:dns [2015/09/06 14:08] – [Esclave DNS pour d'autres FAI de la fédération] petites modifs de syntaxe & sémantique kheops
+++ reseau:dns [2020/06/12 07:03] – jca
@@ Ligne 1: / Ligne 1: @@
 ===== Zone DNS faimaison.net =====
-La zone maître est sur trompe-souris, servie par nsd.
+La zone faimaison.net est administrée sur philmore et servie par nsd.
 Pour référence, voici la sortie d'un ''dig -t SOA'' de la zone en fonctionnement normal :
 <code>
+;; QUESTION SECTION:
+;faimaison.net.                 IN      SOA
 ;; ANSWER SECTION:
-faimaison.net.		6635	IN	SOA	trompe-souris.faimaison.net. adminsys.faimaison.net. 2013083100 10800 3600 604800 3600
+faimaison.net.          3403    IN      SOA     philmore.faimaison.net. adminsys.faimaison.net. 2020061203 10800 3600 604800 3600
 ;; AUTHORITY SECTION:
-faimaison.net.		6397	IN	NS	chomsky.autogeree.net.
+faimaison.net.          1454    IN      NS      trompe-souris.faimaison.net.
-faimaison.net.		6397	IN	NS	ns2.faimaison.net.
+faimaison.net.          1454    IN      NS      philmore.faimaison.net.
-faimaison.net.		6397	IN	NS	trompe-souris.faimaison.net.
+faimaison.net.          1454    IN      NS      bosco.faimaison.net.
-faimaison.net.		6397	IN	NS	ns6.gandi.net.
+faimaison.net.          1454    IN      NS      ns6.gandi.net.
 ;; ADDITIONAL SECTION:
-ns2.faimaison.net.	6635	IN	A	88.191.132.173
+trompe-souris.faimaison.net. 1454 IN    A       89.234.129.130
-ns2.faimaison.net.	49250	IN	AAAA	2a01:e0b:1:132:62eb:69ff:fe07:f4e6
+philmore.faimaison.net. 1339    IN      A       89.234.177.205
-ns6.gandi.net.		48027	IN	A	217.70.177.40
+bosco.faimaison.net.    1454    IN      A       91.224.149.122
-chomsky.autogeree.net.	48634	IN	A	91.216.110.36
+philmore.faimaison.net. 1355    IN      AAAA    2a00:5881:1040:100::53
-trompe-souris.faimaison.net. 6397 IN	A	89.234.129.130
+bosco.faimaison.net.    1454    IN      AAAA    2a03:7220:8081:7a00::53
+;; Query time: 0 msec
+;; SERVER: 127.0.0.1#53(127.0.0.1)
+;; WHEN: Fri Jun 12 08:55:11 CEST 2020
+;; MSG SIZE  rcvd: 286
 </code>
-==== Rechargement de la zone ====
+==== Modification de la zone ====
-Pour recharger la zone après un changement (et après avoir modifié le serial, hein ;) ), il faut trois étapes :
+Philmore fait office de DNS maître, la configuration se fait donc dessus.
+  - ''ssh philmore.faimaison.net''
+  - passer en root avec ''sudo -i''
+  - ''cd /etc/nsd/master''
+  - ''cp db.faimaison.net db.faimaison.net.orig'' # backup avant de faire une modification :)
+  - ''nano db.faimaison.net''
+    * rajouter/supprimer/modifier des entrées
+    * remplacer le serial par la date courante (tout en haut du fichier)
+  - vérifier avec adminsys@ # optionnel, si on n'est pas sûr de soit
+  - Recharger la zone dns avec ''service nsd reload''
+==== Reverse-DNS ====
+(voir aussi [[adminsys:reseau:adressage|Adresses publiques]])
+La gestion du reverse-DNS de nos blocs IPv4 et IPv6 nous est déléguée. Elle est donc gérée par nsd, comme les enregistrements DNS, dans un fichier de zone.
+La seule chose qui peut être déroutante est que seule la fin (dernier octet) de l'adresse est mentionée dans le fichier de zone.
+Par exemple, l'enregistrement de reverse-DNS pour //89.234.176.**252**//, s'écrit, dans ///etc/nsd/master/db.176.234.89.in-addr.arpa// :
+<code>
+   IN  PTR fresk.faimaison.net.
+</code>
-  * Reconstruire la base de donnée de la zone : ''nsdc rebuild''
-  * Informer les slaves : ''nsdc notify''
-  * Recharger le serveur DNS : ''nsdc reload''
 ===== Esclave DNS pour d'autres FAI de la fédération =====
+:!: //Pas à jour ?//
 Il y a une recette ansible ''nsd-slave.yml'', pour configurer des zones pour lesquelles notre serveur DNS fait office d'esclave, c'est-à-dire qu'il peut répondre aux requêtes de la zone en faisant autorité à la place du maître si on lui demande.
@@ Ligne 47: / Ligne 82: @@
 ==== Configuration des zones ====
 Voici un exemple de fichier de configuration pour la recette :
-<code>
-zones:
-  autre.fai:
-    reverse: 0.168.192.in-addr.arpa
-    ip: 192.168.0.7
-    tsig: true
-    key_name: faimaison-autreFAI
-    secret: stoi-le-secret
-</code>
-Si l'option tsig est à true, la vérification de la clé du master sera activée, sinon ce sera le template de zone sans clé qui sera utilisé.
+  zones:
+    autre-fai.tld:
+      reverse: 0.168.192.in-addr.arpa
+      ip: 192.168.0.7
+      tsig: true
+      key_name: faimaison-autreFAI
+      secret: stoi-le-secret
+La clé ''autre-fai.tld'' définit la zone pour laquelle on est esclave. ''ip'' est nécessaire pour donner l'adresse IP du serveur maître à contacter, et ''reverse'' donne la zone reverse.
+Si l'option ''tsig'' est à ''true'', la vérification de la clé du master sera activée, sinon ce sera le template de zone sans clé qui sera utilisé.
 Avec TSIG, le nom de la clé doit être le même côté serveur maître et côté esclave, sinon la vérification est refusée.
@@ Ligne 63: / Ligne 99: @@
 Pour référence, voici un exemple de ligne de commande pour générer la clé, côté maître :
-<code>
-dnssec-keygen -a HMAC-SHA1 -b 160 -n HOST ${FAINAME_HOSTNAME}-faimaison
+  dnssec-keygen -a HMAC-SHA1 -b 160 -n HOST ${FAINAME_HOSTNAME}-faimaison
-</code>