CV
Blog

BIND 9

BIND, Berkeley Internet Name Domain, est un serveur de noms (DNS) utile à plusieurs niveaux.

  • Si vous disposez d’une IP fixe, il peut gérer un nom de domaine, réservé par exemple sur EU.org.
  • Il peut servir de cache DNS, ce qui est utile quand vous voulez vider le cache sans attendre la propagation standard d’un nom de domaine (rndc flush en root), ou pour éviter de subir les pannes des serveurs DNS de votre FAI.
  • Il peut enregistrer les adresses des machines qui utilisent un même réseau local, pour avoir quelque chose de plus mnémotechnique, et éviter d’avoir à taper des adresses IP.

Ce tutoriel est tenu à jour régulièrement. Dernière révision : 10 octobre 2014.

Les commandes préfixées d’un # sont à lancer en root. Les commandes préfixées d’un % sont à lancer en simple utilisateur.

Cache DNS et réseau local

Tout d’abord, il faut installer BIND :

# apt-get install bind9

BIND est configuré par défaut pour faire cache DNS.

Le fichier de configuration global

On va lui ajouter de quoi faire la convertion IP → nom de machine pour le réseau local. Les modifications effectuées par l’administrateur doivent aller dans le fichier /etc/bind/named.conf.local. On va rajouter une zone « lan ».

zone "lan" {
    type master;
    file "/etc/bind/local/lan";
};

zone "168.192.in-addr.arpa" {
    type master;
    file "/etc/bind/local/lan.inv";
};

Le fichier de configuration secondaire, spécifique au réseau local

Nous allons ensuite passer à configuration du DNS pour le réseau local, dans le fichier /etc/bind/local/lan. Il faut savoir que les noms de machines doivent se terminer par un point. « machine. » signifie « machine », mais « machine » désigne « machine.mondomaine.fr ».

$TTL    86400

@       IN      SOA    serveur. root.serveur. (
    1
    8H
    2H
    1W
    1D
)
 
@           IN  NS      serveur.
@           IN  A       192.168.0.254
 
poste1          A       192.168.0.1
poste2          A       192.168.0.2
poste3          A       192.168.0.3
poste4          A       192.168.0.4
poste5          A       192.168.0.5
poste6          A       192.168.0.6
poste7          A       192.168.0.7
poste8          A       192.168.0.8

webcache        CNAME   serveur

Cette partie demande quelques explications :

  • TTL signifie « Time To Live », la durée de vie des informations dans le cache des autres serveurs DNS. C’est une durée exprimée en secondes et elle représente ici une journée.
  • Dans la deuxième ligne on retrouve l’hôte ou tourne le serveur de nom et l’email de l’administrateur réseau : « root.localhost. » — il faut remplacer le @ par un « . ».
  • On a ensuite le numéro de série caractérisant la modification que l’on est en train de faire. Dans le cas d’un serveur maître qui répercutera à des esclaves, ce numéro est là pour indiquer à ces derniers qu’ils doivent se mettre à jour. Ici c’est inutile, puisqu’il s’agit d’une zone locale.
  • Les 3 lignes suivantes sont dénommées « Refresh », « Retry » et « Expire ». À l’expiration du délai Refresh, un serveur esclave tentera de contacter son maitre. S’il ne le trouve pas, il fera une nouvelle tentative au bout du délai Retry. Au bout du délai Expire, il considérera que son maître n’est plus disponible.
  • Ensuite nous avons la durée de vie minimum du cache.
  • Nous indiquons après quel hôte est le serveur de noms du domaine (« NS pour Name Server »).
  • On passe ensuite à la définition entre les noms d’hôtes et leurs IP.
  • On peut ajouter des alias entre noms d’hôtes en utilisant CNAME, en plaçant à gauche le nouvel alias et à droite le nom ayant été défini sur une ligne A.

Pour vérifier que vous n’avez pas fait d’erreur, utiliser la commande suivante :

% /usr/sbin/named-checkzone lan /etc/bind/local/lan
zone lan/IN: loaded serial 1
OK

La résolution inverse

Créez le fichier /etc/bind/local/lan.inv.

$TTL    604800

@       IN      SOA     serveur. root.serveur. (
    1
    8H
    2H
    1W
    1D
)

@       IN  NS      serveur.

254       PTR     serveur.lan.
1         PTR     poste1.lan.
2         PTR     poste2.lan.
3         PTR     poste3.lan.
4         PTR     poste4.lan.
5         PTR     poste5.lan.
6         PTR     poste6.lan.
7         PTR     poste7.lan.
8         PTR     poste8.lan.

Vérification

Pour vérifier que vous n’avez pas fait d’erreur, vous pouvez utiliser la commande suivante :

% /usr/sbin/named-checkconf

Si elle ne renvoie rien, c’est que le fichier de configuration global est valide.

Ensuite lancez la commande suivante :

# service bind9 reload

Il vaut mieux utiliser reload que restart, pour éviter de vider le cache de BIND. Vérifiez que tout s’est bien passé en inspectant les logs.

% tail -n 20 /var/log/syslog

Vous devriez voir apparaître à la fin quelque chose comme :

Jan 30 01:11:54 serveur named[13221]: zone localhost/IN: loaded serial 1
Jan 30 01:11:54 serveur named[13221]: running
Jan 30 01:11:54 serveur named[13221]: zone 168.192.in-addr.arpa/IN: sending notifies (serial 1)

Cela signifie que BIND est lancé.

Vous devriez pouvoir faire un ping sur les machines de votre réseau local, ainsi que des hôtes extérieurs sur Internet.

Intégrer le serveur DNS au système

Il ne reste plus qu’à éditer le fichier /etc/resolv.conf, pour utiliser le serveur que l’on vient d’installer :

search lan
nameserver IP_SERVEUR

Au cas où, assurez-vous que votre /etc/hosts.conf est bien de la forme :

order hosts,bind
multi on

Conflit avec DHCP qui réécrit /etc/resolv.conf

Si vous utilisez le DHCP, et que vos machines ont un client DCHP avec une configuration standard, ce dernier peut écraser le contenu de /etc/resolv.conf à chaque lancement. Pour éviter ce comportement avec dhcp3-client, créer le fichier /etc/dhcp3/dhclient-enter-hooks.d/resolv :

make_resolv_conf() {
        echo "Nothing to do for /etc/resolv.conf"
}

Gestion d’un nom de domaine EU.org

Retour au fichier de configuration global

Éditez à nouveau /etc/bind/named.conf.local pour y rajouter :

acl "ns_secondaire" {
    IP_NS_SECONDAIRE;
};
 
zone "domaine.fr.eu.org" {
    type master;
    file "/etc/bind/masters/domaine.fr.eu.org";
    allow-transfer { "ns_secondaire"; };
    allow-query { any; };
};

Voir plus bas pour la configuration d’un serveur secondaire. Si vous n’avez pas de deuxième serveur disponible, et si personne dans votre entourage ne peut faire NS secondaire, vous pouvez regarder du côté de zoneedit.

Le fichier de zone

Il faut le créer, par exemple /etc/bind/masters/domaine.fr.eu.org.

$TTL 86400      ; 1 day
 
domaine.fr.eu.org.   IN  SOA ns.domaine.fr.eu.org. EMAIL. (
    2006091001  ; serial
    3H          ; refresh
    1H          ; retry
    1W          ; expire
    3H          ; minimum
)
 
@         NS      ns.domaine.fr.eu.org.
@         NS      ns_secondaire.
 
@     IN  MX  10  ns.domaine.fr.eu.org.
 
@         A       IP_NS_PRIMAIRE
ns        A       IP_NS_PRIMAIRE
www       CNAME   ns
webmail   CNAME   ns

Vérification

Utilisez les commandes /usr/sbin/named-checkconf et /usr/sbin/named-checkzone pour vérifier votre configuration. Une fois que tout est bon, dites à BIND de prendre en compte vos modifications.

# service bind9 reload

Pour finir, n’oubliez pas d’ouvrir le port 53 en TCP et en UDP si vous avez un firewall.

Serveur secondaire pour une zone

Voilà un exemple de la configuration d’un serveur en secondaire pour « domaine.fr.eu.org ». Dans /etc/bind/named.conf.local rajoutez :

zone "domaine.fr.eu.org" {
    type slave;
    file "/etc/bind/slaves/domaine.fr.eu.org";
    masters { IP_NS_PRIMAIRE; };
};

Vous devez créer le répertoire /etc/bind/slaves/. Le fichier /etc/bind/slaves/domaine.fr.eu.org sera créé et géré par BIND, c’est l’endroit où sera copiée la zone reçue du serveur primaire.

Ensuite on demande à BIND de recharger sa configuration (sur le secondaire) :

# service bind9 reload

En voulant ajouter une zone sur un secondaire, j’ai déjà été confronté à ce message d’erreur dans les logs :

[Jour] [Heure] [Hostname] named[5993]: client IP#PORT: received notify for zone 'domain.tld': not authoritative

Après avoir lancé les commandes named-checkconf et named-checkzone sur le primaire pour s’assurer qu’il n’y a pas une typo quelque part, j’ai demandé au primaire de renotifier la zone :

# rndc notify domain.tld

Mais le message d’erreur était toujours là, et le fichier n’était pas créé dans /etc/bind/slaves/. En fait, la commande service bind9 reload n’avait pas suffit, j’ai dû faire sur le secondaire :

# service bind9 stop
# service bind9 start

Réservation du nom de domaine

Maintenant que votre serveur DNS est fonctionnel, vous êtes fin prêt à aller sur le formulaire de création sur EU.org. Vous y remplirez les champs :

  • Mandatory email address ;
  • Organization ;
  • Administrative contact ;
  • Pas le « Technical contact »
  • Type of resource record: NS
  • NS primaire (votre serveur) : le nom de domaine que vous voulez réserver suivi de l’adresse IP du serveur ;
  • Au moins un NS secondaire, avec le nom du domaine et l’adresse IP du serveur.

Il ne reste plus qu’à attendre la validation par les administrateurs d’EU.org. Elle est manuelle, ça peut donc prendre un moment.

Protéger l’accès à votre serveur DNS

En l’état, tout le monde peut se servir de votre serveur DNS. Ce dernier n’a aucun intérêt par rapport à celui d’un FAI, mais autant protéger son accès.

Dans /etc/bind/named.conf.local rajoutez :

acl "lan" {
     192.168.0.0/16;
};

Ensuite dans /etc/bind/named.conf.options à la fin du bloc options{} rajoutez :

allow-recursion {
     "lan";
     127.0.0.1/8;
     IP_PUBLIQUE/32;
};

Le problème des lame-server qui envahissent les logs

À cause de la mauvaise configuration de certains serveurs DNS, vous risquez de voir vos logs envahis par des choses du genre :

Sep 10 00:58:02 serveur named[12588]: lame server resolving 'dns3.hull.ac.uk' (in 'hull.ac.UK'?): 149.170.39.92#53
Sep 10 01:17:14 serveur named[29842]: lame server resolving 'www.ledvdclub.com' (in 'ledvdclub.COM'?): 194.150.236.5#53

Pour éviter ça, vous pouvez ajouter ceci dans /etc/bind/named.conf.local :

logging {
    category lame-servers{ null; };
};
, 29 septembre 2006. Catégorie: Hébergement.

À propos de l’auteur, Almic

Voir tous les articles écrits par Almic