Outils pour utilisateurs

Outils du site


reseau:dns

Zone DNS faimaison.net

La zone maître est sur trompe-souris, servie par nsd.

Pour référence, voici la sortie d'un dig -t SOA de la zone en fonctionnement normal :

;; ANSWER SECTION:
faimaison.net.		6635	IN	SOA	trompe-souris.faimaison.net. adminsys.faimaison.net. 2013083100 10800 3600 604800 3600

;; AUTHORITY SECTION:
faimaison.net.		6397	IN	NS	chomsky.autogeree.net.
faimaison.net.		6397	IN	NS	ns2.faimaison.net.
faimaison.net.		6397	IN	NS	trompe-souris.faimaison.net.
faimaison.net.		6397	IN	NS	ns6.gandi.net.

;; ADDITIONAL SECTION:
ns2.faimaison.net.	6635	IN	A	88.191.132.173
ns2.faimaison.net.	49250	IN	AAAA	2a01:e0b:1:132:62eb:69ff:fe07:f4e6
ns6.gandi.net.		48027	IN	A	217.70.177.40
chomsky.autogeree.net.	48634	IN	A	91.216.110.36
trompe-souris.faimaison.net. 6397 IN	A	89.234.129.130

Modification de la zone

Trompe-souris fait office de DNS maître, la configuration se fait donc dessus.

  1. ssh trompe-souris.faimaison.net
  2. passer en root avec sudo -s
  3. cd /etc/nsd3/
  4. cp db.faimaison.net db.faimaison.net.orig # backup avant de faire une modification :)
  5. nano db.faimaison.net
    • rajouter/supprimer/modifier des entrées
    • remplacer le serial par la date courante (tout en haut du fichier)
  6. vérifier avec adminsys@ # optionnel, si on n'est pas sûr de soit
  7. Recharger la zone dns

Rechargement de la zone

Pour recharger la zone après un changement (et après avoir modifié le serial, hein ;) ), il faut trois étapes :

  • Reconstruire la base de donnée de la zone : nsdc rebuild
  • Informer les slaves : nsdc notify
  • Recharger le serveur DNS : nsdc reload

Reverse-DNS

(voir aussi Adresses publiques)

La gestion du reverse-DNS de nos blocs IPv4 et IPv6 nous est déléguée. Elle est donc gérée par nsd, comme les enregistrements DNS, dans un fichier de zone. La seule chose qui peut être déroutante est que seule la fin (dernier octet) de l'adresse est mentionée dans le fichier de zone.

Par exemple, l'enregistrement de reverse-DNS pour 89.234.176.1, s'écrit, dans /etc/nsd3/db.faimaison-rev-v4 :

1   IN  PTR zephyr-int.faimaison.net.

Esclave DNS pour d'autres FAI de la fédération

Il y a une recette ansible nsd-slave.yml, pour configurer des zones pour lesquelles notre serveur DNS fait office d'esclave, c'est-à-dire qu'il peut répondre aux requêtes de la zone en faisant autorité à la place du maître si on lui demande.

Le serveur esclave prend le contenu de la zone DNS depuis le serveur maître à intervalles réguliers.

La configuration du maître est laissée à la discrétion des adminsys de l'autre FAI ;-) Pour l'instant le transfert de zone a été testé avec succès et TSIG depuis un bind et depuis nsd.

Le principe de fonctionnement de la recette ansible est le suivant :

  • un fichier de configuration contient les informations de chaque zone : il est lu par ansible pour générer un fichier par zone servie
  • ces fichiers de zone sont inclus depuis un fichier slaves.zones qui est regénéré à chaque exécution de la recette en même temps que les fichiers de zones en eux même.

Ensuite le fichier de configuration principal inclut le fichier de zone slave (la recette s'assure que c'est toujours le cas).

Configuration des zones

Voici un exemple de fichier de configuration pour la recette :

zones:
  autre-fai.tld:
    reverse: 0.168.192.in-addr.arpa
    ip: 192.168.0.7
    tsig: true
    key_name: faimaison-autreFAI
    secret: stoi-le-secret

La clé autre-fai.tld définit la zone pour laquelle on est esclave. ip est nécessaire pour donner l'adresse IP du serveur maître à contacter, et reverse donne la zone reverse.

Si l'option tsig est à true, la vérification de la clé du master sera activée, sinon ce sera le template de zone sans clé qui sera utilisé.

Avec TSIG, le nom de la clé doit être le même côté serveur maître et côté esclave, sinon la vérification est refusée. Le partage des clé sera de préférence à faire de manière chiffrée entre les adminsys de l'autre et les adminsys d'ici.

Pour référence, voici un exemple de ligne de commande pour générer la clé, côté maître :

dnssec-keygen -a HMAC-SHA1 -b 160 -n HOST ${FAINAME_HOSTNAME}-faimaison
reseau/dns.txt · Dernière modification: 2016/10/11 19:30 par cecile