DNS et DHCP dans Debian 8 "Jessie" - Réseaux SMB

Index général de la série: Réseaux informatiques pour les PME: introduction

Salut les amis!. Après les deux articles précédents sur le Domain Name System et l' Dynamic Host Configuration Protocol Publié dans "DNS et DHCP dans openSUSE 13.2 'Harlequin'" et "DNS et DHCP sur CentOS 7«, Les deux de la série Réseaux de PME, nous devons configurer ces services dans Debian.

Nous répétons qu'un bon point de départ pour en savoir plus sur les concepts théoriques du DNS et du DHCP est Wikipedia.

Installation du système d'exploitation

Nous commencerons par l'installation de base d'un serveur avec le système d'exploitation Debian 8 "Jessie" sans installer aucun environnement graphique ou autre programme. Une machine virtuelle avec 512 mégaoctets de RAM et un disque dur de 20 gigaoctets est plus que suffisant.

Lors du processus d'installation - de préférence en mode texte - et en suivant l'ordre des écrans, nous avons choisi les paramètres suivants:

  • Langue: Espagnol - espagnol
  • Pays, territoire ou zone: États Unis
  • Keymap à utiliser: Anglais américain
  • Configurer le réseau manuellement:
    • Adresse IP: 192.168.10.5
    • Masque réseau: 255.255.255.0
    • Passerelle: 192.168.10.1
    • Adresses des serveurs de noms: 127.0.0.1
    • Nom de la machine: dns
    • Nom de domaine: desdelinux.ventilateur
  • Mot de passe du super utilisateur: Votre mot de passe (puis demandez confirmation)
  • Nom complet du nouvel utilisateur: Premier buzz du système d'exploitation Debian
  • Nom d'utilisateur pour le compte: bourdonnement
  • Choisissez un mot de passe pour le nouvel utilisateur: Votre mot de passe (puis demandez confirmation)
  • Sélectionnez votre fuseau horaire: Est
  • Méthode de partitionnement: Guidé - utiliser le disque entier
    • Choisissez le disque à partitionner: Disque virtuel 1 (vda) - 21.5 Go de périphérique Virto Block
    • Schéma de partitionnement: tous les fichiers d'une partition (recommandé pour les débutants).
    • Terminer le partitionnement et écrire les modifications sur le disque
    • Voulez-vous écrire les modifications sur les disques?
  • Voulez-vous analyser un autre CD ou DVD?:
  • Voulez-vous utiliser une réplique ded?:
  • Voulez-vous participer à l'enquête sur l'utilisation des packages?:
  • Choisissez les programmes à installer:
    [] Environnement de bureau Debian
    [*] Utilitaires système standard
  • Voulez-vous installer le chargeur de démarrage GRUB dans l'enregistrement de démarrage principal?
    • / dev / vda
  • "Installation terminée":

À mon avis modeste, l'installation de Debian est simple. Il est uniquement nécessaire de répondre aux questions des options prédéfinies et de certaines autres informations. J'ose même dire qu'il est plus facile de suivre les étapes précédentes qu'à travers une vidéo, par exemple. Quand je lis, je ne perds pas ma concentration. Un autre problème est de regarder, lire, interpréter et donner la vidéo dans les deux sens, lorsque je perds ou ne comprends pas bien une signification importante. Une feuille manuscrite, ou un fichier texte brut copié sur le mobile, servira parfaitement de guide efficace.

Paramètres initiaux

Après avoir terminé l'installation de base et le premier redémarrage, nous procédons à la déclaration des référentiels de programmes.

Lors de l'édition du fichier sources.list, nous commentons toutes les entrées existantes par défaut car nous ne travaillerons qu'avec des référentiels locaux. Le contenu final du fichier - à l'exclusion des lignes commentées - serait:

root @ dns: ~ # nano /etc/apt/sources.list
deb http://192.168.10.1/repos/jessie/debian/ jessie contrib principal deb http://192.168.10.1/repos/jessie/debian-security/ jessie / updates contrib principal

Nous mettons à jour le système

root @ dns: ~ # mise à jour d'aptitude
root @ dns: ~ # mise à jour d'aptitude
root @ dns: ~ # redémarrer

Nous installons SSH pour accéder à distance

root @ dns: ~ # aptitude installer ssh

Pour permettre à l'utilisateur de démarrer une session à distance via SSH racine -à partir du LAN d'entreprise uniquement- nous modifions son fichier de configuration:

root @ dns: ~ # nano / etc / ssh / sshd_config
.... PermitRootLogin oui ....

root @ dns: ~ # systemctl restart ssh.service
root @ dns: ~ # systemctl status ssh.service

On démarre une session distante via SSH dans «dns» depuis la machine «sysadmin»:

buzz @ sysadmin: ~ $ rm .ssh / known_hosts buzz @ sysadmin: ~ $ ssh root@192.168.10.5 ... root@192.168.10.5's password: ... root @ dns: ~ #

Principaux fichiers de configuration

Les principaux fichiers de la configuration du système seront en fonction de nos sélections lors de l'installation:

root @ dns: ~ # cat / etc / hosts
127.0.0.1 hôte local 192.168.10.5 DNS.desdelinux.fan dns # Les lignes suivantes sont souhaitables pour les hôtes compatibles IPv6 ::1 localhost ip6-localhost ip6-loopback ff02::1 ip6-allnodes ff02::2 ip6-allrouters

root @ dns: ~ # cat /etc/resolv.conf 
recherche desdelinuxserveur de noms .fan 127.0.0.1

root @ dns: ~ # nom d'hôte
dns

root @ dns: ~ # nom d'hôte -f
dns.dnsdesdelinux.ventilateur

root @ dns: ~ # cat / etc / network / interfaces
# Ce fichier décrit les interfaces réseau disponibles sur votre système # et comment les activer. Pour plus d’informations, consultez interfaces(5). source /etc/network/interfaces.d/* # L'interface réseau de bouclage auto lo iface lo inet loopback # L'interface réseau principale autorise-hotplug eth0 iface eth0 inet adresse statique 192.168.10.5 masque de réseau 255.255.255.0 réseau 192.168.10.0 diffusion 192.168.10.255. 192.168.10.1 gateway 127.0.0.1 # Les options dns-* sont implémentées par le package resolvconf, si installé dns-nameservers XNUMX dns-search desdelinux.ventilateur

Nous installons des packages super expérience

root @ dns: ~ # aptitude installe htop mc deborphan

Nettoyage des packages téléchargés, le cas échéant

root @ dns: ~ # aptitude install -f root @ dns: ~ # aptitude purge ~ c root @ dns: ~ # aptitude clean root @ dns: ~ # aptitude autoclean

Nous installons le BIND9

  • AVANT d'installer le BIND nous recommandons fortement visitez la page Types d'enregistrements DNS sur Wikipédia, dans ses versions espagnole et anglaise. Ces types de registres sont ceux que nous utiliserons dans la configuration des fichiers Zones, à la fois Direct et Reverse. Il est très instructif de savoir à quoi nous avons affaire.
  • Aussi nous suggestons Lisez ce qui suit Demande de commentaires RFC - Demandes de commentaires, qui sont étroitement liées au bon fonctionnement du service DNS, notamment en ce qui concerne la récursivité vers les serveurs racine:
    • RFC 1912, 5735, 6303 et BCP 32: relative à localhost
    • RFC 1912, 6303: Zone de style pour l'adresse d'hôte local IPv6
    • RFC 1912, 5735 et 6303: Relatif au réseau local - «Ce» réseau
    • RFC 1918, 5735 et 6303: Réseaux à usage privé
    • RFC 6598: Espace d'adressage partagé
    • RFC 3927, 5735 et 6303: Lien local / APIPA
    • RFC 5735 et 5736: Affectations de protocole de l'Internet Engineering Task Force
    • RFC 5735, 5737 et 6303: TEST-NET- [1-3] pour la documentation
    • RFC 3849 et 6303: Plage d'exemples IPv6 pour la documentation
    • BCP 32: Noms de domaine pour la documentation et les tests
    • RFC 2544 et 5735: Test de référence du routeur
    • RFC 5735: Réservé IANA - Ancien espace de classe E
    • RFC 4291: Adresses IPv6 non attribuées
    • RFC 4193 et 6303: ULA IPv6
    • RFC 4291 et 6303: lien IPv6 local
    • RFC 3879 et 6303: Adresses locales de site dépréciées IPv6
    • RFC 4159: IP6.INT est obsolète

Installations préconisées

root @ dns: ~ # aptitude search bind9
p bind9 - Internet Domain Name Server p bind9-doc - Documentation pour BIND i bind9-host - Version de 'host' fournie avec BIND 9.X p bind9utils - Utilitaires pour BIND p gforge-dns-bind9 - outil de développement collaboratif - Gestion DNS (en utilisant Bind9) i Une libbind9-90 - Bibliothèque partagée BIND9 utilisée par BIND

Essayez également de courir recherche d'aptitude ~ dbind9

root @ dns: ~ # aptitude installer bind9

root @ dns: ~ # systemctl restart bind9.service

root @ dns: ~ # systemctl status bind9.service
● bind9.service - Serveur de noms de domaine BIND chargé: chargé (/lib/systemd/system/bind9.service; activé) Drop-In: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ named.conf
   Actif: actif (en cours d'exécution) depuis le ven. 2017-02-03 10:33:11 EST; Il y a 1s Docs: man: named (8) Process: 1460 ExecStop = / usr / sbin / rndc stop (code = exit, status = 0 / SUCCESS) PID principal: 1465 (named) CGroup: /system.slice/bind9.service └─1465 / usr / sbin / named -f -u bind Feb 03 10:33:11 dns named [1465]: zone vide automatique: 8.BD0.1.0.0.2.IP6.ARPA Feb 03 10:33:11 dns named [1465]: canal de commande écoutant sur 127.0.0.1 # 953 Feb 03 10:33:11 DNS nommé [1465]: canal de commande écoutant sur :: 1 # 953 Feb 03 10:33:11 DNS nommé [1465]: géré -keys-zone: série chargée 2 février 03 10:33:11 DNS nommé [1465]: zone 0.in-addr.arpa/IN: série chargée 1 février 03 10:33:11 DNS nommé [1465]: zone localhost / IN: série chargée le 2 février 03 10:33:11 DNS nommé [1465]: zone 127.in-addr.arpa/IN: série chargée le 1 février 03 10:33:11 DNS nommé [1465]: zone 255.in -addr.arpa/IN: numéro de série chargé le 1er février 03 10:33:11 dns nommé [1465]: toutes les zones chargées le 03 février 10:33:11 dns nommé [1465]: en cours d'exécution Indice: Certaines lignes ont été ellipsées, utilisez -l à montrer en entier.

Fichiers de configuration installés par le BIND9

D'une manière légèrement différente de la configuration du service DNS dans CentOS et openSUSE, dans Debian les fichiers suivants sont créés dans le répertoire / etc / bind:

root @ dns: ~ # ls -l / etc / bind /
total 52 -rw-r - r-- 1 racine racine 2389 30 juin 2015 bind.keys -rw-r - r-- 1 racine racine 237 30 juin 2015 db.0 -rw-r - r-- 1 racine racine 271 30 juin 2015 db.127 -rw-r - r-- 1 racine racine 237 30 juin 2015 db.255 -rw-r - r-- 1 racine racine 353 30 juin 2015 db.empty -rw- r - r-- 1 root root 270 30 juin 2015 db.local -rw-r - r-- 1 root root 3048 30 juin 2015 db.root -rw-r - r-- 1 root bind 463 30 juin 2015 named.conf -rw-r - r-- 1 root bind 490 30 juin 2015 named.conf.default-zones -rw-r - r-- 1 root bind 165 30 juin 2015 named.conf.local -rw -r - r-- 1 root bind 890 3 février 10:32 named.conf.options -rw-r ----- 1 bind bind 77 3 février 10:32 rndc.key -rw-r - r- - 1 root root 1317 30 juin 2015 zones.rfc1918

Tous les fichiers ci-dessus sont en texte brut. Si nous voulons connaître la signification et le contenu de chacun d'eux, nous pouvons le faire en utilisant les commandes moins o cat, ce qui est une bonne pratique.

Documentation d'accompagnement

Dans le carnet d'adresses / usr / share / doc / bind9 nous aurons:

root @ dns: ~ # ls -l / usr / share / doc / bind9
total 56 -rw-r - r-- 1 racine racine 5927 30 juin 2015 copyright -rw-r - r-- 1 racine racine 19428 30 juin 2015 changelog.Debian.gz -rw-r - r-- 1 root root 11790 27 janvier 2014 FAQ.gz -rw-r - r-- 1 root root 396 30 juin 2015 NEWS.Debian.gz -rw-r - r-- 1 root root 3362 30 juin 2015 README.Debian. gz -rw-r - r-- 1 racine racine 5840 27 janvier 2014 README.gz

Dans la documentation précédente, nous trouverons du matériel d'étude abondant que nous vous recommandons de lire AVANT de configurer le BIND, et même AVANT de rechercher sur Internet des articles liés à BIND et DNS en général.. Nous allons lire le contenu de certains de ces fichiers:

FAQ o Frégulièrement Acuillère Questions sur BIND 9

  1. Questions de compilation et d'installation - Questions sur la compilation et l'installation
  2. Questions de configuration et d'installation - Questions sur la configuration et le réglage
  3. Questions sur les opérations - Questions sur l'opération
  4. Les questions générales - Renseignements généraux
  5. Questions spécifiques au système d'exploitation - Questions spécifiques sur chaque système d'exploitation
    1. HPUX
    2. Linux/Unix
    3. Windows
    4. FreeBSD
    5. Solaris
    6. Apple MacOSX

NOUVELLES.Debian.gz

ACTUALITÉS.Debian nous dit en résumé que les paramètres autoriser-requête-cache y autoriser la récursivité sont activés par défaut pour les ACL intégrées dans BIND -intégré- 'réseaux locaux'et'localhost». Il nous informe également que les modifications par défaut ont été apportées pour rendre les serveurs de cache moins attrayants pour une attaque par Spoofing à partir de réseaux externes.

Pour vérifier ce qui est écrit dans le paragraphe précédent, si à partir d'une machine sur le réseau lui-même 192.168.10.0/24 qui est celui de notre exemple, nous faisons une requête DNS sur le domaine desdelinux.net, et en même temps sur le serveur lui-même dns.dnsdesdelinux.ventilateur nous exécutons tail -f / var / log / syslog nous obtiendrons ce qui suit:

buzz @ sysadmin: ~ $ dig localhost
.... ;; OPT PSEUDOSECTION :; EDNS: version: 0, indicateurs:; udp: 4096 ;; SECTION QUESTION :; localhost. DANS UN ;; SECTION DE RÉPONSE: localhost. 604800 DANS UN 127.0.0.1 ;; SECTION AUTORITÉ: localhost. 604800 IN NS localhost. ;; SECTION SUPPLÉMENTAIRE: localhost. 604800 DANS AAAA :: 1

buzz@sysadmin :~$ creuser desdelinux. Net
....
;; OPTER LA PSEUDOSECTION : ; EDNS : version : 0, drapeaux : ; udp : 4096 ;; SECTION DES QUESTIONS : ;desdelinux.filet. DANS UN
....
root @ dns: ~ # tail -f / var / log / syslog ....
4 février 13:04:31 DNS nommé [1602] : erreur (réseau inaccessible) lors de la résolution de 'desdelinux.net/A/IN' : 2001:7fd::1#53 4 février 13:04:31 DNS nommé [1602] : erreur (réseau inaccessible) lors de la résolution de 'desdelinux.net/A/IN': 2001:503:c27::2:30#53
....

La sortie de syslog elle est beaucoup plus longue en raison de la recherche des serveurs racine par BIND. Bien sûr, le fichier / Etc / resolv.conf sur l'ordinateur administrateur système.desdelinux.ventilateur pointe vers DNS 192.168.10.5.

De l'exécution des commandes précédentes, nous pouvons tirer plusieurs conclusions a priori:

  • Le BIND est configuré par défaut en tant que serveur de cache fonctionnel sans avoir besoin de configurations ultérieures, et répond aux requêtes DNS pour le réseaux locaux et l' localhost
  • Récursivité - Récursivité est activé pour réseaux locaux et l' localhost
  • Pas encore un serveur autoritaire
  • Contrairement à CentOS, où nous devions déclarer le paramètre «Port d'écoute 53 {127.0.0.1; 192.168.10.5; }; » écouter explicitement les requêtes DNS via l'interface réseau 192.168.10.5 DNS lui-même, dans Debian ce n'est pas nécessaire car il prend en charge les requêtes DNS pour réseaux locaux et l' localhost par défaut. Revoir le contenu du fichier /etc/bind/named.conf.options et ils verront qu'il n'y a pas de déclaration écoute.
  • Les requêtes IPv4 et IPv6 sont activées

Si juste en lisant et en interprétant -un étain comme on dit dans Cuba- l'archive NOUVELLES.Debian.gz Nous sommes arrivés à des conclusions intéressantes qui nous permettent d'en savoir un peu plus sur la philosophie de configuration par défaut de l'équipe Debian en ce qui concerne BIND, quels autres aspects intéressants pouvons-nous connaître en continuant à lire les fichiers de la documentation d'accompagnement?.

LISEZMOI.Debian.gz

LISEZ-MOI.Debian nous informe - parmi de nombreux autres aspects - que les extensions de sécurité pour le système de noms de domaine - Extensions de sécurité du système de nom de domaine o DNSSEC, sont activés; et réaffirme que la configuration par défaut fonctionne pour la plupart des serveurs (serveurs feuilles - serveurs feuilles se référant aux feuilles de l'arborescence du domaine) sans intervention de l'utilisateur.

  • DNSSEC selon Wikipedia: Les extensions de sécurité du système de noms de domaine (DNSSEC) sont un ensemble de spécifications de l'IETF (Internet Engineering Task Force) pour sécuriser certains types d'informations fournies par le nom de domaine du système de noms (DNS) utilisé dans le protocole Internet (IP). Il s'agit d'un ensemble d'extensions au DNS qui fournissent aux clients DNS (ou résolveurs) une authentification de la source de données DNS, un déni authentifié de l'existence et de l'intégrité des données, mais pas de disponibilité ni de confidentialité.

Sur Schéma de configuration nous indique que tous les fichiers de configuration statiques, les fichiers de zone pour les serveurs racine et les zones avant et arrière du localhost sont / etc / bind.

Le répertoire de travail des démons nommé es / var / cache / bind afin que tout fichier transitoire généré par le nommé telles que les bases de données pour lesquelles il agit en tant que serveur esclave, sont écrites dans le système de fichiers / var, qui est leur place.

Contrairement aux versions précédentes du paquet BIND pour Debian, le fichier nommé.conf et db. * fournis, ils sont étiquetés comme fichiers de configuration. De telle manière que si nous avons besoin d'un serveur DNS qui agit principalement comme un serveur de cache et qui ne fait autorité pour personne d'autre, nous pouvons l'utiliser tel qu'il est installé et configuré par défaut.

Si vous devez implémenter un DNS faisant autorité, ils suggèrent de placer les fichiers de la zone maître dans le même répertoire / etc / bind. Si la complexité des domaines pour lesquels le nommé fera autorité l'exige, il est recommandé de créer une structure de sous-répertoires, en se référant aux fichiers de zone absolument dans le fichier nommé.conf.

Tout fichier de zone pour lequel le nommé agir en tant que serveur esclave doit être situé dans / var / cache / bind.

Les fichiers de zone soumis à des mises à jour dynamiques par un DHCP ou la commande nmettre à jour, doit être stocké dans / var / lib / bind.

Si le système d'exploitation utilise apparmeur, le profil installé ne fonctionne qu'avec les paramètres BIND par défaut. Modifications ultérieures de la configuration du nommé ils peuvent nécessiter des modifications du profil apparmor. A visité https://wiki.ubuntu.com/DebuggingApparmor avant de remplir un formulaire accusant un bug dans ce service.

Il y a plusieurs problèmes associés à l'exécution de Debian BIND dans une Chroot Cage - prison chroot. Visitez http://www.tldp.org/HOWTO/Chroot-BIND-HOWTO.html pour plus d'informations.

Autres renseignements

homme nommé, homme nommé.conf, homme nommé-checkconf, homme nommé-checkzone, homme rndc, etcetera

root @ dns: ~ # nommé -v
BIND 9.9.5-9 + deb8u1-Debian (version de support étendu)

root @ dns: ~ # nommé -V
BIND 9.9.5-9 + deb8u1-Debian (version de support étendu) construit par make avec '--prefix = / usr' '--mandir = / usr / share / man' \ '--infodir = / usr / share / info' '--sysconfdir = / etc / bind' \ '- -localstatedir = / var '' --enable-threads '' --enable-largefile '\' --with-libtool '' --enable-shared '' --enable-static '\' --with-openssl = / usr '' --with-gssapi = / usr '' --with-gnu-ld '\' --with-geoip = / usr '' --with-atf = no '' --enable-ipv9 '' --enable-rrl '\' --enable-filter-aaaa '\' CFLAGS = -fno-strict-aliasing -fno-delete-null-pointer-checks -DDIG_SIGCHASE -O8 'compilé par GCC 50 en utilisant la version OpenSSL : OpenSSL 6k 2 janvier 4.9.2 en utilisant la version libxml1.0.1: 8

root @ dns: ~ # ps -e | grep nommé
  408? 00:00:00 nommé

root @ dns: ~ # ps -e | grep bind
  339? 00:00:00 rpcbind

root @ dns: ~ # ps -e | grep bind9
root @ dns: ~ #

root @ dns: ~ # ls / var / run / named /
named.pid session.key  
root @ dns: ~ # ls -l /var/run/named/named.pid 
-rw-r - r-- 1 bind bind 4 février 4 13:20 /var/run/named/named.pid

root @ dns: ~ # état rndc
version: 9.9.5-9 + deb8u1-Debian Processeurs trouvés: 9 threads de travail: 8 écouteurs UDP par interface: 50 nombre de zones: 1 niveau de débogage: 1 xfers en cours d'exécution: 1 xfers différés: 100 requêtes soa en cours: 0 la journalisation des requêtes est désactivée clients récursifs: 0/0/0 tcp clients: le serveur 0/0 est opérationnel
  • L'importance de consulter la Documentation installée avec le package BIND9 est indéniable. avant tout autre.

bind9-doc

root @ dns: ~ # aptitude installe bind9-doc links2
root @ dns: ~ # dpkg -L bind9-doc

El Paquete bind9-doc installe, entre autres informations utiles, le Manuel de référence de l'administrateur BIND 9. Pour accéder au manuel -en anglais- nous exécutons:

root @ dns: ~ # fichier links2: ///usr/share/doc/bind9-doc/arm/Bv9ARM.html
Manuel de référence de l'administrateur BIND 9 Copyright (c) 2004-2013 Internet Systems Consortium, Inc. («ISC») Copyright (c) 2000-2003 Internet Software Consortium.

Nous espérons que vous apprécierez de le lire.

  • Sans quitter la maison, nous avons à portée de main une documentation officielle abondante sur le BIND et sur le service DNS en général.

Nous configurons le BIND dans le style Debian

/etc/bind/named.conf "le principal"

root @ dns: ~ # nano /etc/bind/named.conf
// Il s'agit du fichier de configuration principal du serveur DNS BIND nommé.
//
// Veuillez lire /usr/share/doc/bind9/README.Debian.gz pour plus d'informations sur le
// structure des fichiers de configuration BIND dans Debian, * AVANT * de personnaliser
// ce fichier de configuration.
//
// Si vous ajoutez simplement des zones, veuillez le faire dans /etc/bind/named.conf.local

inclure "/etc/bind/named.conf.options";
inclure "/etc/bind/named.conf.local";
inclure "/etc/bind/named.conf.default-zones";

L'en-tête commenté nécessite-t-il une traduction?

/etc/bind/named.conf.options

root @ dns: ~ # cp /etc/bind/named.conf.options /etc/bind/named.conf.options.original

root @ dns: ~ # nano /etc/bind/named.conf.options
options {répertoire "/ var / cache / bind"; // S'il y a un pare-feu entre vous et les serveurs de noms auxquels vous souhaitez // parler, vous devrez peut-être réparer le pare-feu pour permettre à plusieurs // ports de parler. Voir http://www.kb.cert.org/vuls/id/800113 // Si votre FAI a fourni une ou plusieurs adresses IP pour les serveurs de noms // stables, vous voudrez probablement les utiliser comme redirecteurs. // Décommentez le bloc suivant et insérez les adresses en remplaçant // l'espace réservé du tout-0. // transitaires {// 0.0.0.0; //}; // ================================================ ===================== $ // Si BIND enregistre des messages d'erreur concernant l'expiration de la clé racine, // vous devrez mettre à jour vos clés. Voir https://www.isc.org/bind-keys // ================================= ==================================== $

    // Nous ne voulons pas de DNSSEC
        dnssec-enable non;
        //dnssec-validation automatique ;

        auth-nxdomain non; # conforme à RFC1035

 // Nous n'avons pas besoin d'écouter les adresses IPv6
        // écoute-sur-v6 {any; };
    écoute-sur-v6 {aucun; };

 // Pour les vérifications de localhost et sysadmin
    // via fouille desdelinux.fan axfr // Nous n'avons pas de DNS esclave... jusqu'à présent
 allow-transfer {localhost; 192.168.10.1; };
};

root @ dns: ~ # named-checkconf 
root @ dns: ~ #

/etc/bind/named.conf.local

Dans l'en-tête commenté de ce fichier, ils recommandent d'inclure les zones indiquées dans le RFC-1918 décrit dans le dossier /etc/bind/zones.rfc1918. L'inclusion de ces zones localement permet à toute requête les concernant de ne pas sortir du réseau local vers les serveurs racine, ce qui présente deux avantages importants:

  • Résolution locale plus rapide pour les utilisateurs locaux
  • Il ne crée pas de trafic inutile - ou parasite - vers les serveurs racine.

Personnellement, je n'ai pas de connexion Internet pour tester la récursivité ou le transfert. Cependant, et comme nous n'avons pas invalidé la récursivité dans le fichier named.conf.options -par des moyens de récursivité non; - nous pouvons inclure les zones susmentionnées et d'autres que j'explique ci-dessous.

Lors de l'installation de BIND 9.9.7 sur le système d'exploitation FreeBSD 10.0, qui est également - et accessoirement - logiciel libre, le fichier de configuration /usr/local/etc/namedb/named.conf.sample Il contient toute une série de zones qui recommandent de servir localement pour - également - obtenir les avantages mentionnés ci-dessus.

Afin de ne pas modifier la configuration originale de BIND dans Debian, nous suggérons de créer le fichier /etc/bind/zones.rfcFreeBSD et incluez-le dans le /etc/bind/named.conf.local avec le contenu indiqué ci-dessous, et avec les chemins - chemins aux fichiers déjà adaptés à Debian:

root @ dns: ~ # nano /etc/bind/zones.rfcFreeBSD
// Espace d'adressage partagé (RFC 6598)
zone "64.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "65.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "66.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "67.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "68.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "69.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "70.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "71.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "72.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "73.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "74.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "75.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "76.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "77.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "78.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "79.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "80.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "81.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "82.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "83.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "84.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "85.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "86.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "87.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "88.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "89.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "90.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "91.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "92.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "93.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "94.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "95.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "96.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "97.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "98.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "99.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "100.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "101.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "102.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "103.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "104.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "105.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "106.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "107.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "108.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "109.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "110.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "111.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "112.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "113.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "114.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "115.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "116.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "117.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "118.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "119.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "120.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "121.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "122.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "123.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "124.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "125.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "126.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };
zone "127.100.in-addr.arpa" { type master; file "/etc/bind/db.empty"; };

// Link-local / APIPA (RFCs 3927, 5735 et 6303)
zone "254.169.in-addr.arpa" {type maître; fichier "/etc/bind/db.empty"; };

// Attributions de protocole IETF (RFC 5735 et 5736)
zone "0.0.192.in-addr.arpa" {type maître; fichier "/etc/bind/db.empty"; };

// TEST-NET- [1-3] pour la documentation (RFC 5735, 5737 et 6303)
zone "2.0.192.in-addr.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "100.51.198.in-addr.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "113.0.203.in-addr.arpa" {type maître; fichier "/etc/bind/db.empty"; };

// Plage d'exemples IPv6 pour la documentation (RFC 3849 et 6303)
zone "8.bd0.1.0.0.2.ip6.arpa" {type maître; fichier "/etc/bind/db.empty"; };

// Noms de domaine pour la documentation et les tests (BCP 32)
zone "test" {type maître; fichier "/etc/bind/db.empty"; }; zone "exemple" {type maître; fichier "/etc/bind/db.empty"; }; zone "invalide" {type maître; fichier "/etc/bind/db.empty"; }; zone "example.com" {type master; fichier "/etc/bind/db.empty"; }; zone "example.net" {type master; fichier "/etc/bind/db.empty"; }; zone "example.org" {type master; fichier "/etc/bind/db.empty"; };

// Test de référence des routeurs (RFC 2544 et 5735)
zone "18.198.in-addr.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "19.198.in-addr.arpa" {type maître; fichier "/etc/bind/db.empty"; };

// IANA Réservé - Ancien espace de classe E (RFC 5735)
zone "240.in-addr.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "241.in-addr.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "242.in-addr.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "243.in-addr.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "244.in-addr.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "245.in-addr.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "246.in-addr.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "247.in-addr.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "248.in-addr.arpa" {maître de type; fichier "/etc/bind/db.empty"; }; zone "249.in-addr.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "250.in-addr.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "251.in-addr.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "252.in-addr.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "253.in-addr.arpa" {maître de type; fichier "/etc/bind/db.empty"; }; zone "254.in-addr.arpa" {type maître; fichier "/etc/bind/db.empty"; };

// Adresses non attribuées IPv6 (RFC 4291)
zone "1.ip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "3.ip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "4.ip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "5.ip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "6.ip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "7.ip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "8.ip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "9.ip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "a.ip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "b.ip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "c.ip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "d.ip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "e.ip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "0.f.ip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "1.f.ip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "2.f.ip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "3.f.ip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "4.f.ip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "5.f.ip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "6.f.ip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "7.f.ip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "8.f.ip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "9.f.ip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "afip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "bfip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "0.efip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "1.efip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "2.efip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "3.efip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "4.efip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "5.efip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "6.efip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "7.efip6.arpa" {type maître; fichier "/etc/bind/db.empty"; };

// IPv6 ULA (RFC 4193 et ​​6303)
zone "cfip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "dfip6.arpa" {type maître; fichier "/etc/bind/db.empty"; };

// Lien IPv6 local (RFC 4291 et 6303)
zone "8.efip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "9.efip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "aefip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "befip6.arpa" {type maître; fichier "/etc/bind/db.empty"; };

// Adresses locales de site dépréciées IPv6 (RFC 3879 et 6303)
zone "cefip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "defip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "eefip6.arpa" {type maître; fichier "/etc/bind/db.empty"; }; zone "fefip6.arpa" {type maître; fichier "/etc/bind/db.empty"; };

// IP6.INT est obsolète (RFC 4159)
zone "ip6.int" {type maître; fichier "/etc/bind/db.empty"; };

Bien que nous ayons éliminé la possibilité d'écouter les requêtes IPv6 dans notre exemple, il vaut la peine d'inclure les zones IPv6 dans le fichier précédent pour ceux qui en ont besoin.

Le contenu final de /etc/bind/named.conf.local est la suivante:

root @ dns: ~ # nano /etc/bind/named.conf.local
// // Effectuez une configuration locale ici // // Envisagez d'ajouter les zones 1918 ici, si elles ne sont pas utilisées dans votre // organisation
inclure "/etc/bind/zones.rfc1918"; inclure "/etc/bind/zones.rfcFreeBSD";

// Déclaration du nom, du type, de l'emplacement et de l'autorisation de mise à jour
// des zones d'enregistrements DNS // les deux zones sont des MAÎTRES
zone"desdelinux.ventilateur" {
 type maître;
 fichier "/var/lib/bind/db.desdelinux.ventilateur";
};

zone "10.168.192.in-addr.arpa" {
 type maître;
 fichier "/var/lib/bind/db.10.168.192.in-addr.arpa";
};

root @ dns: ~ # named-checkconf root @ dns: ~ #

Nous créons les fichiers pour chaque zone

Le contenu des fichiers dans chaque zone peut être copié littéralement à partir de l'article «DNS et DHCP sur CentOS 7«, Tant que nous prenons soin de changer le répertoire de destination en / var / lib / bind:

[root@dns ~]# nano /var/lib/bind/db.desdelinux.ventilateur
$TTL 3H @ DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. ( 1 ; série 1D ; rafraîchissement 1H ; réessai 1W ; expiration 3H ) ; minimum ou ; Durée de vie de la mise en cache négative ; @ DANS N.-É. DNS.desdelinux.ventilateur. @ IN MX 10 email.desdelinux.ventilateur. @ DANS TXT "DesdeLinux, son blog dédié aux logiciels libres "; Sysadmin dans un 192.168.10.1 AD-DC dans un 192.168.10.3 SERVEUR DE FILE DANS UN 192.168.10.4 DNS DANS UN 192.168.10.5 PROXYWEB DANS UN 192.168.10.6 BLOG DANS UN 192.168.10.7 SERVEUR FTP DANS UN 192.168.10.8 courrier EN A 192.168.10.9

[root @ dns ~] # nano /var/lib/bind/db.10.168.192.in-addr.arpa
$TTL 3H @ DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. ( 1 ; série 1D ; rafraîchissement 1H ; réessai 1W ; expiration 3H ) ; minimum ou ; Durée de vie de la mise en cache négative ; @ DANS N.-É. DNS.desdelinux.ventilateur. ; 1 IN Administrateur système PTR.desdelinux.ventilateur. 3 IN PTR ad-dc.desdelinux.ventilateur. Serveur de fichiers 4 IN PTR.desdelinux.ventilateur. 5 IN PTR dns.desdelinux.ventilateur. 6 IN PTR proxyweb.desdelinux.ventilateur. 7 DANS le blog PTR.desdelinux.ventilateur. Serveur FTP 8 IN PTR.desdelinux.ventilateur. 9 DANS le courrier PTR.desdelinux.ventilateur.

Nous vérifions la syntaxe de chaque zone

root@dns :~# zone de contrôle nommée desdelinux.fan /var/lib/bind/db.desdelinux.ventilateur 
Zone desdelinux.fan/IN : série 1 chargée OK

root @ dns: ~ # named-checkzone 10.168.192.in-addr.arpa /var/lib/bind/db.10.168.192.in-addr.arpa 
zone 10.168.192.in-addr.arpa/IN: série chargée 1 OK

Vérification des paramètres généraux de BIND

root @ dns: ~ # named-checkconf -zp
  • Suite à la procédure de modification du nommé.conf Selon nos besoins et vérifier, et créer chaque fichier de zone et le vérifier, nous doutons que nous devrons faire face à des problèmes de configuration majeurs. Au final on se rend compte que c'est un jeu de garçon, avec de nombreux concepts et une syntaxe pointilleuse,

Les contrôles ont donné des résultats satisfaisants, nous pouvons donc redémarrer le BIND - nommé.

Nous redémarrons le BIND et vérifions son état

[root @ dns ~] # systemctl restart bind9.service
[root @ dns ~] # systemctl status bind9.service
● bind9.service - Serveur de noms de domaine BIND chargé: chargé (/lib/systemd/system/bind9.service; activé) Drop-In: /run/systemd/generator/bind9.service.d └─50-insserv.conf- $ named.conf Actif: actif (en cours d'exécution) depuis le dimanche 2017/02/05 à 07:45:03 EST; Il y a 5s Docs: man: named (8) Process: 1345 ExecStop = / usr / sbin / rndc stop (code = exit, status = 0 / SUCCESS) PID principal: 1350 (named) CGroup: /system.slice/bind9.service └─1350 / usr / sbin / named -f -u bind 05 février 07:45:03 DNS nommé [1350]: zone 1.f.ip6.arpa/IN: série chargée 1 février 05 07:45:03 DNS nommé [1350]: zone afip6.arpa/IN: série chargée 1 février 05 07:45:03 DNS nommé [1350]: zone localhost / IN: série chargée 2 février 05 07:45:03 DNS nommé [1350]: test de zone / IN: série chargée 1 février 05 07:45:03 DNS nommé [1350]: exemple de zone / IN: série chargée 1 février 05 07:45:03 DNS nommé [1350]: zone 5.efip6.arpa/IN: chargé serial 1er février 05 07:45:03 DNS nommé [1350]: zone bfip6.arpa/IN: chargé serial 1er février 05 07:45:03 DNS nommé [1350]: zone ip6.int/IN: série chargé 1er février 05 07:45:03 DNS nommé [1350]: toutes les zones chargées le 05 février 07:45:03 DNS nommé [1350]: en cours d'exécution

Si nous obtenons une erreur quelconque dans la sortie de la dernière commande, nous devons redémarrer le service.nommé et revérifiez votre statuts. Si les erreurs ont disparu, le service a démarré avec succès. Sinon, nous devons procéder à un examen approfondi de tous les fichiers modifiés et créés, et répéter la procédure.

Chèques

Les contrôles peuvent être exécutés sur le même serveur ou sur une machine connectée au LAN. Nous préférons les faire de l'équipe administrateur système.desdelinux.ventilateur auquel nous avons donné une autorisation expresse afin qu'il puisse effectuer des transferts de zone. L'archive / Etc / resolv.conf de cette équipe est la suivante:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# Généré par la recherche NetworkManager desdelinuxserveur de noms .fan 192.168.10.5

buzz@sysadmin :~$ creuser desdelinux.fan axfr
; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> desdelinux.fan axfr ;; options globales : +cmd
desdelinux.ventilateur. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 1 86400 3600 604800 10800
desdelinux.ventilateur. 10800 DANS NS DNS.desdelinux.ventilateur.
desdelinux.ventilateur. 10800 IN MX 10 e-mail.desdelinux.ventilateur.
desdelinux.ventilateur. 10800 EN TXT"DesdeLinux, votre Blog dédié au Logiciel Libre" ad-dc.desdelinux.ventilateur. 10800 DANS Un blog 192.168.10.3.desdelinux.ventilateur. 10800 DANS UN 192.168.10.7 dns.desdelinux.ventilateur. 10800 IN TO 192.168.10.5 serveur de fichiers.desdelinux.ventilateur. 10800 DANS Un serveur FTP 192.168.10.4.desdelinux.ventilateur. 10800 IN A courrier 192.168.10.8.desdelinux.ventilateur. 10800 DANS UN proxyWeb 192.168.10.9.desdelinux.ventilateur. 10800 IN Un administrateur système 192.168.10.6.desdelinux.ventilateur. 10800 IN À 192.168.10.1
desdelinux.ventilateur. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 1 86400 3600 604800 10800 ;; Temps de requête : 1 ms ;; SERVEUR : 192.168.10.5#53(192.168.10.5) ;; QUAND: Sun Feb 05 07:49:01 EST 2017
;; Taille XFR: 13 enregistrements (messages 1, octets 385)

buzz @ sysadmin: ~ $ dig 10.168.192.in-addr.arpa axfr
; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> 10.168.192.in-addr.arpa axfr ;; options globales : +cmd 10.168.192.in-addr.arpa. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 1 86400 3600 604800 10800 10.168.192.in-addr.arpa. 10800 DANS NS DNS.desdelinux.ventilateur. 1.10.168.192.in-addr.arpa. 10800 IN Administrateur système PTR.desdelinux.ventilateur. 3.10.168.192.in-addr.arpa. 10800 XNUMX IN PTR ad-dc.desdelinux.ventilateur. 4.10.168.192.in-addr.arpa. Serveur de fichiers 10800 IN PTR.desdelinux.ventilateur. 5.10.168.192.in-addr.arpa. 10800 IN PTR DNS.desdelinux.ventilateur. 6.10.168.192.in-addr.arpa. 10800 IN PTR proxyweb.desdelinux.ventilateur. 7.10.168.192.in-addr.arpa. Blogue 10800 IN PTR.desdelinux.ventilateur. 8.10.168.192.in-addr.arpa. Serveur ftp 10800 IN PTR.desdelinux.ventilateur. 9.10.168.192.in-addr.arpa. 10800 IN Courrier PTR.desdelinux.ventilateur. 10.168.192.in-addr.arpa. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 1 86400 3600 604800 10800 ;; Temps de requête : 1 ms ;; SERVEUR : 192.168.10.5#53(192.168.10.5) ;; QUAND: Sun Feb 05 07:49:47 EST 2017
;; Taille XFR: 11 enregistrements (messages 1, octets 333)

buzz@sysadmin :~$ creuser DANS SOA desdelinux.ventilateur
buzz@sysadmin :~$ creuser IN MX desdelinux.fan buzz@sysadmin :~$ creuser DANS TXT desdelinux.ventilateur

buzz @ sysadmin: ~ $ host proxyweb
proxyweb.desdelinux.fan a l'adresse 192.168.10.6

buzz @ sysadmin: ~ $ host ftpserver
Serveur ftp.desdelinux.fan a l'adresse 192.168.10.8

buzz @ sysadmin: ~ $ hôte 192.168.10.9
9.10.168.192.in-addr.arpa courrier de pointeur de nom de domaine.desdelinux.ventilateur.

… Et tous les autres contrôles dont nous avons besoin.

Nous installons et configurons DHCP

Sur Debian, le service DHCP est fourni par le paquet isc-dhcp-server:

root @ dns: ~ # aptitude recherche isc-dhcp
i isc-dhcp-client - client DHCP pour obtenir automatiquement une adresse IP p isc-dhcp-client-dbg - serveur DHCP ISC pour l'attribution automatique d'adresse IP (débogage client) i isc-dhcp-common - fichiers communs utilisés par tous les packages isc-dhcp p isc-dhcp-dbg - Serveur DHCP ISC pour l'attribution automatique d'adresse IP (symbole de débogage p isc-dhcp-dev - API pour accéder et modifier le serveur DHCP et l'état du client p isc-dhcp-relay - Relais DHCP ISC démon p isc-dhcp-relay-dbg - Serveur DHCP ISC pour l'attribution automatique d'adresse IP (débogage de relais) p isc-dhcp-server - Serveur DHCP ISC pour l'attribution automatique d'adresse IP p isc-dhcp-server-dbg - Serveur DHCP ISC pour affectation d'adresse IP automatique (débogage du serveur) p isc-dhcp-server-ldap - serveur DHCP qui utilise LDAP comme backend

root @ dns: ~ # aptitude installe isc-dhcp-server

Après l'installation du package, le -omnipresent- systemd se plaint qu'il n'a pas pu démarrer le service. Dans Debian, nous devons déclarer explicitement sur quelle interface réseau il louera les adresses IP et répondra aux demandes, le isc-dhcp-server:

root @ dns: ~ # nano / etc / default / isc-dhcp-server
.... # Sur quelles interfaces le serveur DHCP (dhcpd) doit-il servir les requêtes DHCP? # Séparez les interfaces multiples par des espaces, par exemple "eth0 eth1".
INTERFACES = "eth0"

Documentation installée

root @ dns: ~ # ls -l / usr / share / doc / isc-dhcp-server /
total 44 -rw-r - r-- 1 racine racine 1235 14 décembre 2014 copyright -rw-r - r-- 1 racine racine 26031 13 février 2015 changelog.Debian.gz drwxr-xr-x 2 racine racine 4096 5 février 08 : 10 exemples -rw-r - r-- 1 racine racine 592 14 décembre 2014 NEWS.Debian.gz -rw-r - r-- 1 racine racine 1099 14 décembre 2014 README.Debian

Clé TSIG "clé dhcp"

La génération de la clé est recommandée TSIG o Signature de la transaction - Trançon SIGnature, pour l'authentification des mises à jour DNS dynamiques par DHCP. Comme nous l'avons vu dans l'article précédent «DNS et DHCP sur CentOS 7«, Nous considérons que la génération de cette clé n'est pas si essentielle, surtout lorsque les deux services sont installés sur le même serveur. Cependant, nous proposons la procédure générale pour sa génération automatique:

root @ dns: ~ # dnssec-keygen -a HMAC-MD5 -b 128 -r / dev / urandom -n USER dhcp-key
Clé Kdhcp. + 157 + 11088

root @ dns: ~ # cat Kdhcp-key. +157 + 11088.private 
Private-key-format: v1.3 Algorithm: 157 (HMAC_MD5) Key: TEqfcx2FUMYBQ1hA1ZGelA == Bits: AAA = Créé: 20170205121618 Publier: 20170205121618 Activer: 20170205121618

root @ dns: ~ # nano dhcp.key
clé clé dhcp {
        algorithme hmac-md5;
        secret "TEqfcx2FUMYBQ1hA1ZGelA ==";
};

root @ dns: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key root @ dns: ~ # install -o root -g root -m 0640 dhcp.key / etc / dhcp /dhcp.key root @ dns: ~ # ls -l /etc/bind/*.key
-rw-r ----- 1 liaison racine 78 5 février 08:21 /etc/bind/dhcp.key -rw-r ----- 1 liaison liaison 77 4 février 11:47 / etc / bind / rndc .clé
root @ dns: ~ # ls -l /etc/dhcp/dhcp.key 
-rw-r ----- 1 racine racine 78 5 février 08:21 /etc/dhcp/dhcp.key

Mise à jour des zones BIND à l'aide de la clé dhcp

root @ dns: ~ # nano /etc/bind/named.conf.local
// // Effectuez toute configuration locale ici // // Pensez à ajouter les zones 1918 ici, si elles ne sont pas utilisées dans votre // organisation, incluez "/etc/bind/zones.rfc1918"; inclure "/etc/bind/zones.rfcFreeBSD" ; inclure "/etc/bind/dhcp.key" ; // Déclaration du nom, du type, de l'emplacement et de l'autorisation de mise à jour // des zones d'enregistrement DNS // Les deux zones sont MASTER zone "desdelinux.fan" { tapez master; fichier "/var/lib/bind/db.desdelinux.ventilateur";
 allow-update {clé dhcp-key; };
}; zone "10.168.192.in-addr.arpa" {type maître; fichier "/var/lib/bind/db.10.168.192.in-addr.arpa";
 allow-update {clé dhcp-key; };
};
root @ dns: ~ # named-checkconf 
root @ dns: ~ #

Nous configurons le serveur isc-dhcp

root @ dns: ~ # mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.conf.original
root @ dns: ~ # nano /etc/dhcp/dhcpd.conf
intérimaire de style ddns-update ; mises à jour DDNS activées ; nom de domaine ddns "desdelinux.fan." ; ddns-rev-domainname "in-addr.arpa." ; ignorer les mises à jour du client ; faisant autorité ; option ip-forwarding désactivée ; option nom de domaine "desdelinux.fan" ; inclure "/etc/dhcp/dhcp.key" ; zone desdelinux.ventilateur. { primaire 127.0.0.1 ; clé clé DHCP ; } zone 10.168.192.in-addr.arpa. { primaire 127.0.0.1 ; clé clé DHCP ; } réseau partagé redlocal { sous-réseau 192.168.10.0 masque de réseau 255.255.255.0 { option routeurs 192.168.10.1 ; option masque de sous-réseau 255.255.255.0 ; option adresse de diffusion 192.168.10.255 ; option serveurs de noms de domaine 192.168.10.5 ; option serveurs de noms netbios 192.168.10.5 ; plage 192.168.10.30 192.168.10.250 ; } } # FIN dhcpd.conf

Nous vérifions le fichier dhcpd.conf

root @ dns: ~ # dhcpd -t
Internet Systems Consortium Serveur DHCP 4.3.1 Copyright 2004-2014 Internet Systems Consortium. Tous les droits sont réservés. Pour plus d'informations, veuillez visiter https://www.isc.org/software/dhcp/ Fichier de configuration: /etc/dhcp/dhcpd.conf Fichier de base de données: /var/lib/dhcp/dhcpd.leases Fichier PID: / var / run /dhcpd.pid

Nous redémarrons le BIND et démarrons le serveur isc-dhcp

root @ dns: ~ # systemctl restart bind9.service 
root @ dns: ~ # systemctl status bind9.service 

root @ dns: ~ # systemctl start isc-dhcp-server.service
root @ dns: ~ # systemctl status isc-dhcp-server.service 
● isc-dhcp-server.service - LSB: serveur DHCP Chargé: chargé (/etc/init.d/isc-dhcp-server) Actif: actif (en cours d'exécution) depuis le 2017/02/05 à 08:41:45 EST; Il y a 6s Processus: 2039 ExecStop = / etc / init.d / isc-dhcp-server stop (code = quitté, status = 0 / SUCCESS) Process: 2049 ExecStart = / etc / init.d / isc-dhcp-server start ( code = sorti, statut = 0 / SUCCÈS) CGroup: /system.slice/isc-dhcp-server.service └─2057 / usr / sbin / dhcpd -q -cf /etc/dhcp/dhcpd.conf -pf / var / run / dhcpd.pid eth0 05 février 08:41:43 dns dhcpd [2056]: A écrit 0 baux dans le fichier des baux. 05 février 08:41:43 dns dhcpd [2057]: service de démarrage du serveur. 05 février 08:41:45 DNS isc-dhcp-server [2049]: Démarrage du serveur DHCP ISC: dhcpd.

Vérifie avec les clients

Nous avons démarré un client avec le système d'exploitation Windows 7, avec le nom «LAGER».

buzz @ sysadmin: ~ $ host lager
BIÈRE.desdelinux.fan a l'adresse 192.168.10.30

buzz@sysadmin : ~$ fouille dans la bière blonde txt.desdelinux.ventilateur

Nous changeons le nom de ce client en "sept" et redémarrons le client

buzz @ sysadmin: ~ $ host lager
;; la connexion a expiré; aucun serveur n'a pu être atteint

buzz@sysadmin: ~ $ hôte sept
Sept.desdelinux.fan a l'adresse 192.168.10.30
buzz @ sysadmin: ~ $ hôte 192.168.10.30
30.10.168.192.in-addr.arpa pointeur de nom de domaine sept.desdelinux.ventilateur.

buzz@sysadmin :~$ fouillez dans le txt sept.desdelinux.ventilateur

Nous avons renommé le client Windows 7 en "win7"

buzz @ sysadmin: ~ $ hôte sept
;; la connexion a expiré; aucun serveur n'a pu être atteint

buzz @ sysadmin: ~ $ hôte win7
gagner7.desdelinux.fan a l'adresse 192.168.10.30
buzz @ sysadmin: ~ $ hôte 192.168.10.30
30.10.168.192.in-addr.arpa pointeur de nom de domaine win7.desdelinux.ventilateur.

buzz@sysadmin :~$ fouillez dans txt win7.desdelinux.ventilateur
; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> dans txt win7.desdelinux.ventilateur ;; options globales : +cmd ;; Réponse obtenue : ;; ->>HEADER<<- opcode : QUERY, statut : NOERROR, id : 11218 ;; drapeaux : qr aa rd ra ; REQUÊTE : 1, RÉPONSE : 1, AUTORITÉ : 1, SUPPLÉMENTAIRE : 2 ;; OPTER LA PSEUDOSECTION : ; EDNS : version : 0, drapeaux : ; udp : 4096 ;; SECTION DES QUESTIONS : ;win7.desdelinux.ventilateur. DANS TXT ;; SECTION RÉPONSE : win7.desdelinux.ventilateur. 3600 DANS TXT "31b7228ddd3a3b73be2fda9e09e601f3e9" ;; SECTION AUTORITÉ :
desdelinux.ventilateur. 10800 DANS NS DNS.desdelinux.ventilateur. ;; SECTION SUPPLÉMENTAIRE : DNS.desdelinux.ventilateur. 10800 DANS UN 192.168.10.5 ;; Temps de requête : 0 ms ;; SERVEUR : 192.168.10.5#53(192.168.10.5) ;; QUAND : dim. 05 février 09:13:20 EST 2017 ;; TAILLE MSG reçue : 129

buzz@sysadmin :~$ creuser desdelinux.fan axfr
; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> desdelinux.fan axfr ;; options globales : +cmd
desdelinux.ventilateur. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 8 86400 3600 604800 10800
desdelinux.ventilateur. 10800 DANS NS DNS.desdelinux.ventilateur.
desdelinux.ventilateur. 10800 IN MX 10 e-mail.desdelinux.ventilateur.
desdelinux.ventilateur. 10800 EN TXT"DesdeLinux, votre Blog dédié au Logiciel Libre" ad-dc.desdelinux.ventilateur. 10800 DANS Un blog 192.168.10.3.desdelinux.ventilateur. 10800 DANS UN 192.168.10.7 dns.desdelinux.ventilateur. 10800 IN TO 192.168.10.5 serveur de fichiers.desdelinux.ventilateur. 10800 DANS Un serveur FTP 192.168.10.4.desdelinux.ventilateur. 10800 IN A courrier 192.168.10.8.desdelinux.ventilateur. 10800 DANS UN proxyWeb 192.168.10.9.desdelinux.ventilateur. 10800 IN Un administrateur système 192.168.10.6.desdelinux.ventilateur. 10800 IN À 192.168.10.1
gagner7.desdelinux.ventilateur. 3600 IN  TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"
gagner7.desdelinux.ventilateur. 3600 IN AU 192.168.10.30
desdelinux.ventilateur. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 8 86400 3600 604800 10800 ;; Temps de requête : 2 ms ;; SERVEUR : 192.168.10.5#53(192.168.10.5) ;; QUAND : dim. 05 février 09:15:13 EST 2017 ;; Taille XFR : 15 enregistrements (messages 1, octets 453)

Dans la sortie ci-dessus, nous avons mis en évidence sur audacieux les TTL -en secondes- pour les ordinateurs avec des adresses IP accordées par le service DHCP ceux qui ont une déclaration explicite du TTL 3600 donnée par le DHCP. Les adresses IP fixes sont guidées par le $ TTL de 3H -3 heures = 10800 secondes- déclaré dans l'enregistrement SOA de chaque fichier de zone.

Ils peuvent vérifier la zone inversée de la même manière.

[root @ dns ~] # dig 10.168.192.in-addr.arpa axfr

D'autres commandes extrêmement intéressantes sont:

[root@dns ~]# nommé-journalprint /var/lib/bind/db.desdelinux.fan.jnl
de la desdelinux.ventilateur. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 1 86400 3600 604800 10800 ajouter desdelinux.ventilateur. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 2 86400 3600 604800 10800 ajouter LAGER.desdelinux.ventilateur. 3600 IN A 192.168.10.30 ajouter LAGER.desdelinux.ventilateur. 3600 IN TXT "31b7228ddd3a3b73be2fda9e09e601f3e9" de desdelinux.ventilateur. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 2 86400 3600 604800 10800 de LAGER.desdelinux.ventilateur. 3600 IN A 192.168.10.30 ajouter desdelinux.ventilateur. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 3 86400 3600 604800 10800 du desdelinux.ventilateur. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 3 86400 3600 604800 10800 de LAGER.desdelinux.ventilateur. 3600 IN TXT "31b7228ddd3a3b73be2fda9e09e601f3e9" ajouter desdelinux.ventilateur. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 4 86400 3600 604800 10800 du desdelinux.ventilateur. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 4 86400 3600 604800 10800 ajouter desdelinux.ventilateur. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 5 86400 3600 604800 10800 ajoutez sept.desdelinux.ventilateur. 3600 IN A 192.168.10.30 ajoutez sept.desdelinux.ventilateur. 3600 IN TXT "31b7228ddd3a3b73be2fda9e09e601f3e9" de desdelinux.ventilateur. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 5 86400 3600 604800 10800 sur sept.desdelinux.ventilateur. 3600 IN A 192.168.10.30 ajouter desdelinux.ventilateur. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 6 86400 3600 604800 10800 du desdelinux.ventilateur. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 6 86400 3600 604800 10800 sur sept.desdelinux.ventilateur. 3600 IN TXT "31b7228ddd3a3b73be2fda9e09e601f3e9" ajouter desdelinux.ventilateur. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 7 86400 3600 604800 10800 du desdelinux.ventilateur. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 7 86400 3600 604800 10800 ajouter desdelinux.ventilateur. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 8 86400 3600 604800 10800 ajouter win7.desdelinux.ventilateur. 3600 IN A 192.168.10.30 ajouter win7.desdelinux.ventilateur. 3600 EN TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"

[root @ dns ~] # named-journalprint /var/lib/bind/db.10.168.192.in-addr.arpa.jnl
du 10.168.192.in-addr.arpa. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 1 86400 3600 604800 10800 ajouter 10.168.192.in-addr.arpa. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 2 86400 3600 604800 10800 ajouter 30.10.168.192.in-addr.arpa. 3600 EN BIÈRE PTR.desdelinux.ventilateur. du 10.168.192.in-addr.arpa. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 2 86400 3600 604800 10800 du 30.10.168.192.in-addr.arpa. 3600 EN BIÈRE PTR.desdelinux.ventilateur. ajoutez 10.168.192.in-addr.arpa. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 3 86400 3600 604800 10800 du 10.168.192.in-addr.arpa. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 3 86400 3600 604800 10800 ajouter 10.168.192.in-addr.arpa. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 4 86400 3600 604800 10800 ajouter 30.10.168.192.in-addr.arpa. 3600 IN PTR sept.desdelinux.ventilateur. du 10.168.192.in-addr.arpa. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 4 86400 3600 604800 10800 du 30.10.168.192.in-addr.arpa. 3600 IN PTR sept.desdelinux.ventilateur. ajoutez 10.168.192.in-addr.arpa. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 5 86400 3600 604800 10800 du 10.168.192.in-addr.arpa. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 5 86400 3600 604800 10800 ajouter 10.168.192.in-addr.arpa. 10800 DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. 6 86400 3600 604800 10800 ajouter 30.10.168.192.in-addr.arpa. 3600 EN PTR win7.desdelinux.ventilateur.

[root @ dns ~] # journalctl -f

Modification manuelle des fichiers de zones

Une fois que DHCP est entré dans le jeu de la mise à jour dynamique des fichiers de zone BIND, si jamais nous devons modifier manuellement un fichier de zone, nous devons effectuer la procédure suivante, mais pas avant d'en savoir un peu plus sur le fonctionnement de la zone. rdc -homme rndc- pour le contrôle de nommé.

  • rndc freeze [zone [classe [vue]]], suspend la mise à jour dynamique d'une zone. Si aucun n'est spécifié, tout gèlera. La commande permet l'édition manuelle de la zone gelée ou de toutes les zones. Toute mise à jour dynamique sera refusée tant qu'elle est gelée.
  • dégel rndc [zone [classe [vue]]], active les mises à jour dynamiques sur une zone précédemment gelée. Le serveur DNS recharge le fichier de zone à partir du disque et les mises à jour dynamiques sont réactivées une fois le rechargement terminé.

Précautions à prendre lorsque nous éditons manuellement un fichier de zone? La même chose que si on le créait, sans oublier d'augmenter le numéro de série de 1 ou en série avant d'enregistrer le fichier avec les modifications finales.

Nous gèlons les zones

Comme nous allons apporter des modifications aux zones avant et arrière pendant que DNS et DHCP sont en cours d'exécution, la chose la plus saine à faire est de geler les zones DNS:

[root @ dns ~] # rndc freeze

La Zone desdelinux.ventilateur contient les enregistrements suivants:

[root@dns ~]# cat /var/lib/bind/db.desdelinux.ventilateur
$ORIGINE . $TTL 10800 ; 3 heures
desdelinux.fan DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. (
                                8; en série
                                86400 ; rafraîchissement (1 jour) 3600 ; réessayez (1 heure) 604800 ; expire (1 semaine) 10800 ; minimum (3 heures) ) NS dns.desdelinux.ventilateur. Courriel MX10.desdelinux.ventilateur. SMS"DesdeLinux, votre Blog dédié au Logiciel Libre" $ORIGIN desdelinux.ventilateur. ad-dc Vers 192.168.10.3 blog Vers 192.168.10.7 dns Vers 192.168.10.5 fileserver Vers 192.168.10.4 ftpserver Vers 192.168.10.8 mail Vers 192.168.10.9 proxyweb Vers 192.168.10.6 sysadmin Vers 192.168.10.1 3600 1 $TTL 7 ; 192.168.10.30 heure win31 A 7228 TXT "3b3ddd73a2b9be09fda601e3e9fXNUMXeXNUMX"

Ajoutons le serveur «Shorewall»Avec l'IP 192.168.10.10:

root@dns :~# nano /var/lib/bind/db.desdelinux.ventilateur
$ORIGINE . $TTL 10800 ; 3 heures
desdelinux.fan DANS le DNS SOA.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. (
                9; en série
                86400 ; rafraîchissement (1 jour) 3600 ; réessayez (1 heure) 604800 ; expire (1 semaine) 10800 ; minimum (3 heures) ) NS dns.desdelinux.ventilateur. Courriel MX10.desdelinux.ventilateur. SMS"DesdeLinux, votre Blog dédié au Logiciel Libre" $ORIGIN desdelinux.ventilateur. ad-dc Vers 192.168.10.3 blog Vers 192.168.10.7 dns Vers 192.168.10.5 fileserver Vers 192.168.10.4 ftpserver Vers 192.168.10.8 mail Vers 192.168.10.9 proxyweb Vers 192.168.10.6
shorewall A 192.168.10.10
sysadmin A 192.168.10.1 $ TTL 3600; 1 heure win7 A 192.168.10.30 TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"

Nous sommes censés modifier également la zone inverse:

root @ dns: ~ # nano /var/lib/bind/db.10.168.192.in-addr.arpa
$ORIGINE . $TTL 10800 ; 3 heures 10.168.192.in-addr.arpa IN SOA dns.desdelinux.ventilateur. root.dns.desdelinux.ventilateur. (
                                7; en série
                                86400 ; rafraîchissement (1 jour) 3600 ; réessayez (1 heure) 604800 ; expire (1 semaine) 10800 ; minimum (3 heures) ) NS dns.desdelinux.ventilateur. $ORIGINE 10.168.192.in-addr.arpa. 1 administrateur système PTR.desdelinux.ventilateur. 3 PTR ad-dc.desdelinux.ventilateur. $TTL 3600 ; 1h30 PTR win7.desdelinux.ventilateur. $TTL 10800 ; 3 heures 4 serveur de fichiers PTR.desdelinux.ventilateur. 5 DNS PTR.desdelinux.ventilateur. 6 proxy Web PTR.desdelinux.ventilateur. 7 blog RPT.desdelinux.ventilateur. Serveur FTP 8 PTR.desdelinux.ventilateur. 9 courrier PTR.desdelinux.ventilateur.
Mur de rivage 10 PTR.desdelinux.ventilateur.

Nous dégivrons et rechargons les zones

[root @ dns ~] # rndc dégel

root @ dns: ~ # journalctl -f
-- Les journaux commencent le dimanche 2017/02/05 à 06:27:10 EST. -- 05 février 12:00:29 DNS nommé [1996] : réception de la commande du canal de contrôle 'thaw' 05 février 12:00:29 DNS nommé [1996] : décongélation de toutes les zones : succès 05 février 12:00:29 DNS nommé [ 1996] : zone 10.168.192.in-addr.arpa/IN : le fichier journal est obsolète : suppression du fichier journal le 05 février 12:00:29 DNS nommé [1996] : zone 10.168.192.in-addr.arpa/ IN : série chargée le 7 février 05 12:00:29 DNS nommé [1996] : zone desdelinux.fan/IN : le fichier journal est obsolète : suppression du fichier journal le 05 février 12:00:29 DNS nommé [1996] : zone desdelinux.fan/IN : série 9 chargée

buzz @ sysadmin: ~ $ host shorewall
mur de rivage.desdelinux.fan a l'adresse 192.168.10.10

buzz @ sysadmin: ~ $ hôte 192.168.10.10
10.10.168.192.in-addr.arpa pointeur de nom de domaine Shorewall.desdelinux.ventilateur.

buzz@sysadmin :~$ creuser desdelinux.fan axfr

buzz @ sysadmin: ~ $ dig 10.168.192.in-addr.arpa axfr

root @ dns: ~ # journalctl -f
.... 05 février 12:03:05 DNS nommé [1996] : client 192.168.10.1#37835 (desdelinux.fan) : transfert de 'desdelinux.fan/IN' : AXFR a démarré le 05 février 12:03:05 DNS nommé [1996] : client 192.168.10.1#37835 (desdelinux.fan) : transfert de 'desdelinux.fan/IN' : AXFR terminé le 05 février 12:03:20 DNS nommé[1996] : client 192.168.10.1#46905 (10.168.192.in-addr.arpa) : transfert de '10.168.192.in-addr. arpa/IN' : AXFR a démarré le 05 février 12:03:20 DNS nommé [1996] : client 192.168.10.1#46905 (10.168.192.in-addr.arpa) : transfert de '10.168.192.in-addr.arpa /IN' : AXFR terminé

Résumé

Jusqu'à présent, nous avons un serveur DNS Caché en fonctionnement, qui prend en charge la récursivité, qui est autoritaire pour la zone desdelinux.ventilateur, et cela permet à DHCP de mettre à jour les zones avant et arrière avec les noms d'ordinateurs et l'adresse IP qu'il accorde.

Cet article et les deux précédents «DNS et DHCP dans openSUSE 13.2 'Harlequin'" et "DNS et DHCP sur CentOS 7»Sont pratiquement un. Vous trouverez des concepts généraux sur DNS et DHCP, et les particularités de chaque distribution dans chacune d'elles. Ils sont un Point d'accès au sujet, et une base pour des développements plus complexes.

Nous n'hésiterons pas à insister - une fois de plus - sur l'importance de lire la documentation technique qui est installée par défaut avec chaque package, AVANT de configurer le moindre détail. Nous le disons à partir de notre propre expérience.

Prochaine livraison

C'est probablement "Microsoft® Active Directory + BIND"


23 commentaires, laissez le vôtre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   lézard dit

    Quel morceau de tutoriel que vous avez envoyé partenaire, je ne sais pas d'où vient autant de capacité de détail et d'ordre dans des sujets aussi complexes que cela.

    Mes plus sincères félicitations, un honneur de pouvoir vous lire

  2.   bafo dit

    Je dois vous dire que l'HOSTIA, ce sont les tutoriels que vous publiez, je les adore.
    J'attends toujours votre prochain chapitre.
    Lorsque vous aurez terminé, le mettrez-vous en pdf? C'est une documentation qui à mon avis est très précieuse, elle mérite d'être bien conservée.
    Merci beaucoup et un grand salut.
    Bafo.

  3.   federico dit

    Bafo: Merci beaucoup pour votre évaluation et commentaire. La meilleure récompense pour le temps, le travail et les efforts que je consacre à chaque tuteur est le commentaire. Que ce soit positif ou négatif, mais c'est le signe que cela ne passe pas inaperçu. Je suppose que beaucoup de lecteurs se contentent de le télécharger et de l'enregistrer, ou de le mettre en signet. Mais je ne peux que supposer cela en fonction du nombre de visites. Dommage que peu de commentaires, même si je sais que les problèmes que je traite sont fondamentalement pour les administrateurs système. Salutations à vous aussi et je vous attendrai dans mes prochains articles.

  4.   federico dit

    Lagarto: Merci pour votre évaluation honnête que je garderai toujours à l'esprit.

  5.   Arthur dit

    Comment serait la configuration si j'ai deux interfaces réseau en cas de liaison
    Merci et félicitations pour le matériel.

  6.   federico dit

    Artus: Merci pour ton commentaire et félicitations.
    La réponse à votre question mérite un article séparé sur l'utilisation de Views - Vues dans le BIND.

    Dans le cas où vous avez une zone déléguée sous votre responsabilité et que vous souhaitez avoir un seul BIND pour assister aux requêtes internes de votre LAN et aux requêtes externes depuis Internet - avec le BIND protégé par un pare-feu bien sûr - l'utilisation des vues.

    Les vues, par exemple, vous permettent de présenter une configuration pour votre réseau PME et une autre pour Internet. Lorsque nous ne configurons aucune vue explicitement, le BIND en crée implicitement une seule qui montre tous les ordinateurs qui la consultent.

    Comme l'utilisation des vues, je considère que c'est un sujet avancé peut et rédigez un article à ce sujet, avant ou après le post promis annoncé à la fin de celui-ci.

    Désormais, si vous disposez de deux interfaces réseau face à votre réseau PME -formé par deux réseaux privés- pour quelque raison que ce soit de conception, d'équilibrage de charge, de nombre d'équipements ou autre, et que vous souhaitez présenter toutes vos zones aux deux réseaux, résoudre avec instruction:

    écoute {
    127.0.0.1;
    IP-Private-Interface1;
    IP-interface-Private2;
    };

    De cette manière, le BIND écoute les requêtes sur les deux interfaces.

    Si tous vos ordinateurs sont sur le réseau privé de classe C 192.168.10.0/255.255.240.0 -jusqu'à 4094 hôtes- par exemple, vous pouvez également utiliser l'instruction:

    écoute {127.0.0.1; 192.168.10.0/20; };

    Et vous continuez à afficher une vue unique de tous les ordinateurs connectés à votre réseau local privé.

    J'espère que ma réponse courte vous aidera. Salutations et succès.

    1.    Arthur dit

      Merci pour la réponse si tôt. Vous voyez que je monte un serveur Debian avec la version 9 (Strech), il a DNS, dhcp et squid comme proxy, pour les filtres de contenu, j'utiliserai e2guardian.

      L'ordinateur dispose de deux interfaces réseau, qui permettront aux ordinateurs du réseau local de se connecter à Internet.
      routeur: 192.168.1.1
      eth0: 192.168.1.55 (via cette interface, il ira sur Internet)
      eth1 : 192.168.100.1 (réseau local)

      L'idée est que les ordinateurs peuvent accéder à Internet via ce serveur proxy, qui fournira également des ips et des DNS aux ordinateurs du réseau interne.

      Dans ce cas, je n'ai pas besoin du serveur pour répondre aux requêtes DNS via l'interface eth0 (je ne veux pas présenter mes zones aux deux réseaux, uniquement à mon LAN); donc si je supprime le private-interface-IP1, cela suffirait-il?

      Merci encore et salutations.

  7.   Edouard Noel dit

    Très bon article mon ami
    Vous avez le BIND dans vos veines, même si vous dites et pensez autrement 🙂
    Félicitations

  8.   federico dit

    Artus: Supprimez l'interface 192.168.1.55 de l'instruction Listen-on et c'est parti. Ou déclarez simplement écouter {127.0.0.1; 192.168.100.1; }; et voilà. Le BIND n'écoutera que sur ces interfaces.

    1.    Arthur dit

      Bien merci.

  9.   federico dit

    Eduardo: mon ami, je préfère toujours dnsmasq pour les "petits" réseaux, et nous devrons voir à quel point ils peuvent être "grands". 😉 Bien que je reconnaisse que le serveur BIND + isc-dhcp est le serveur BIND + isc-dhcp. 😉

  10.   federico dit

    Eduardo: J'ai oublié de vous dire que le spécialiste BIND, c'est vous, Maître.

  11.   chasseur dit

    Des années à utiliser BIND et je continue à apprendre de votre écriture, merci beaucoup Federico, avec cette série de tutoriels un administrateur système est viré. Je reviens et je le répète, l'idée d'englober toutes ces connaissances dans un format portable officiel n'est pas mal du tout, donnez-lui la tête que quelque chose de très bon peut sortir. Salutations.

  12.   federico dit

    Ami Dhunter: Vos commentaires sont toujours bien reçus. Tout englober est difficile et presque impossible, car un nouveau sujet revient toujours. Par chapitres, ça va et c'est possible. Certains articles devraient être réécrits pour gagner en cohérence dans les configurations. Je ne promets rien, mais on verra.

  13.   Ismaël Allvarez Wong dit

    bonjour federico, voici mes commentaires:
    1) El hincapié que haces en «…leer antes de configurar el BIND e incluso ANTES de buscar en Internet artículos relativos el BIND y al DNS…» buscándolos en nuestro propio equipo y todo ello «…sin salir de casa…» para usar tus propres mots.
    2) Dans cet article, nous trouvons plus de théorie sur le DNS qui complète celle fournie dans les deux articles précédents et qui est toujours appréciée; par exemple: le DNSSEC (Domain Name System Security Extensions) et à quoi il sert; ainsi que le schéma de configuration BIND avec ses fichiers de configuration statiques, les fichiers de zone pour les serveurs racine et les zones avant et arrière de localhost dans Debian.
    3) GREAT le conseil de ne pas désactiver la récursivité (en utilisant la ligne "recursion no;") puis inclure dans le fichier de configuration /etc/bind/named.conf.local, les fichiers de zone / etc / bind / zones. Rfc1918 et / etc /bind/zones.rfcFreeBSD pour empêcher toute requête les concernant de quitter le réseau local vers les serveurs racine.
    4) Contrairement à l'article précédent sur CentOS 7, dans cet article, si la clé TSIG "dhcp-key" est générée pour les mises à jour DNS dynamiques à partir de DHCP; pour l'autoriser dans le fichier /etc/bind/named.conf.local, incluez "allow-update {key dhcp-key; }; » dans la configuration des zones directes et inverses de notre domaine.
    5) Le grand détail (égal au post précédent dans CentOS 7) de tout ce qui concerne les vérifications du fonctionnement du DNS, DHCP et avec les clients.
    6) GRANDE astuce d'utiliser la commande "install" (si vous l'écrivez, je ne parle pas de l'option du même nom qui est utilisée dans d'autres commandes), je ne le savais pas, car c'est un vrai " 3 en 1 "car les groupes copient (cp), établissement des propriétaires (chown) et des permissions (chmod).
    . Enfin, votre réponse à Artus sur l'utilisation de Views dans BIND est très bonne, une pour le LAN (réseau privé) et l'autre pour Internet afin que seuls les services publics puissent être consultés. J'espère que plus tard, vous aurez le temps de préparer un article car il s'agit d'un sujet d'application très pratique pour de nombreux administrateurs système.
    Rien Federico que je continue à être plus enthousiaste à propos de la série PYMES et j'attends avec impatience le prochain post "Microsoft Active Directory + BIND"

  14.   federico dit

    Wong: Collègue et ami, vos commentaires complètent mes articles et démontrent qu'ils sont compréhensibles. La commande "install" a beaucoup plus d'options. Requete homme installer. Merci mille pour vos commentaires !!!

  15.   crespo88 dit

    Je n'ai pas encore lu les commentaires, je le ferai après avoir énoncé mes critères.
    Vous avez fait et vous avez beaucoup accompli, vous nous avez donné une lumière mais pas celle qui est celle que l'on voit au «bout du tunnel» quand il n'y a plus d'espoir comme on dit; pas que pas du tout, vous avez donné toute la lumière pour pouvoir dire "Au final on se rend compte que c'est un jeu de garçons, avec beaucoup de concepts et une syntaxe pointilleuse" comme tu l'expliques dans le post.
    POST TRUNK et avec les précédents pour quelques distributions plus célèbres. Vous vous êtes conformé à l'expansion des concepts et de la théorie qui, à de nombreuses reprises, nous fait des ravages. J'ai lu en détail, calmement et il est impossible de ne pas commenter et de me sentir COMPLÈTEMENT RECONNAISSANT pour un tel dévouement et un tel dévouement.
    Sans plus tarder, nous vous souhaitons à tous la santé et que vous continuiez à contribuer; Nous vous remercions et que chance, économie, santé (nous vous souhaitons le double) et amour vous accompagnent (avec Sandra pour que plus, hahaha).
    Je sais que le commentaire va un peu au-delà du contenu du post, il va au personnel car nous sommes amis et j'admire votre livraison désintéressée. Personne ne fait ce que vous faites pour ceux d'entre nous qui veulent en apprendre de plus en plus et nous avons la responsabilité de gérer les réseaux de PME sur nos épaules, ce n'est pas une tâche facile.
    Sl2 tout le monde.

  16.   federico dit

    crespo88: Merci beaucoup pour vos évaluations sur cet article et d'autres articles publiés. Certains lecteurs peuvent penser que je donne mon maximum, alors que ce n'est pas vrai. Je me réfère toujours à un point d'entrée, même si les exemples sont pleinement fonctionnels. BIND est l'industrie électronique et DHCP n'est pas loin derrière. Pour les connaître au-dessus de la moyenne, il faut passer un diplôme de troisième cycle à l'Université d'Helsinki, 😉

  17.   Image de balise Miguel Guaramato dit

    Je trouve ce sujet intéressant et très important. Je m'intéresse à cette étude de tout ce qui concerne l'administration des réseaux Linux et en particulier des serveurs: dns, dhcp dynamiques et statiques et réseaux virtuels, bin9, samba, serveurs d'impression, ldap, supervision de réseau avec applications, montages de bases de données pour les programmeurs ' applications et vlan, etc. C'est pourquoi c'est important et ces conseils sont très bons et avec des pratiques et des exemples.

  18.   federico dit

    Bonjour Miguel !!!
    Merci pour vos commentaires et j'espère que la série vous aidera dans ce qui vous intéresse. Salutations.

  19.   jorge dit

    Merci beaucoup pour l'article Federico, cela montre que vous connaissez debian. Un câlin.

  20.   federico dit

    Merci beaucoup Jorge pour ton commentaire. J'espère que mes articles vous aideront.

  21.   Salle Pablo Raul Vargas dit

    Merci beaucoup pour le message qui est bien documenté et nous invite à lire, lire et relire. Maintenant avec le post suivant que vous allez publier, j'aimerais que vous preniez en compte les points de convergence qu'il aurait:
    Microsoft Active Directory avec Samba4 comme Active Directory

    Par ailleurs, je voulais consulter ce qui suit:
    Comment l'implémentation de Bind + Isc-dhcp serait-elle dans le FW dans un dmz où le contrôleur de domaine serait dans le dmz avec un Samba 4 AD