BIND, Berkeley Internet Name Domain, est un serveur de noms (DNS) utile \u00e0 plusieurs niveaux.<\/p>\n
Ce tutoriel a \u00e9t\u00e9 tenu \u00e0 jour jusqu\u2019au 10 octobre 2014<\/b>.<\/p>\n
<\/p>\n
Les commandes pr\u00e9fix\u00e9es d\u2019un # sont \u00e0 lancer en root. Les commandes pr\u00e9fix\u00e9es d\u2019un % sont \u00e0 lancer en simple utilisateur.<\/p>\n
Tout d’abord, il faut installer BIND :<\/p>\n
BIND est configur\u00e9 par d\u00e9faut pour faire cache DNS.<\/p>\n On va lui ajouter de quoi faire la convertion IP \u2192 nom de machine pour le r\u00e9seau local. Les modifications effectu\u00e9es par l’administrateur doivent aller dans le fichier \/etc\/bind\/named.conf.local<\/i>. On va rajouter une zone \u00ab\u00a0lan\u00a0\u00bb.<\/p>\n Nous allons ensuite passer \u00e0 configuration du DNS pour le r\u00e9seau local, dans le fichier \/etc\/bind\/local\/lan<\/i>. Il faut savoir que les noms de machines doivent se terminer par un point. \u00ab\u00a0machine.\u00a0\u00bb signifie \u00ab\u00a0machine\u00a0\u00bb, mais \u00ab\u00a0machine\u00a0\u00bb d\u00e9signe \u00ab\u00a0machine.mondomaine.fr\u00a0\u00bb.<\/p>\n Cette partie demande quelques explications :<\/p>\n Pour v\u00e9rifier que vous n’avez pas fait d’erreur, utiliser la commande suivante :<\/p>\n Cr\u00e9ez le fichier \/etc\/bind\/local\/lan.inv<\/i>.<\/p>\n Pour v\u00e9rifier que vous n’avez pas fait d’erreur, vous pouvez utiliser la commande suivante :<\/p>\n Si elle ne renvoie rien, c’est que le fichier de configuration global est valide.<\/p>\n Ensuite lancez la commande suivante :<\/p>\n Il vaut mieux utiliser reload que restart, pour \u00e9viter de vider le cache de BIND. V\u00e9rifiez que tout s’est bien pass\u00e9 en inspectant les logs.<\/p>\n Vous devriez voir appara\u00eetre \u00e0 la fin quelque chose comme\u00a0:<\/p>\n Cela signifie que BIND est lanc\u00e9.<\/p>\n Vous devriez pouvoir faire un ping sur les machines de votre r\u00e9seau local, ainsi que des h\u00f4tes ext\u00e9rieurs sur Internet.<\/p>\n Il ne reste plus qu’\u00e0 \u00e9diter le fichier \/etc\/resolv.conf<\/i>, pour utiliser le serveur que l’on vient d’installer :<\/p>\n Au cas o\u00f9, assurez-vous que votre \/etc\/hosts.conf<\/i> est bien de la forme :<\/p>\n Si vous utilisez le DHCP, et que vos machines ont un client DCHP avec une configuration standard, ce dernier peut \u00e9craser le contenu de \/etc\/resolv.conf<\/i> \u00e0 chaque lancement. Pour \u00e9viter ce comportement avec dhcp3-client, cr\u00e9er le fichier \/etc\/dhcp3\/dhclient-enter-hooks.d\/resolv<\/i> :<\/p>\n \u00c9ditez \u00e0 nouveau \/etc\/bind\/named.conf.local<\/i> pour y rajouter :<\/p>\n Voir plus bas pour la configuration d\u2019un serveur secondaire. Si vous n\u2019avez pas de deuxi\u00e8me serveur disponible, et si personne dans votre entourage ne peut faire NS secondaire, vous pouvez regarder du c\u00f4t\u00e9 de zoneedit<\/a>.<\/p>\n Il faut le cr\u00e9er, par exemple \/etc\/bind\/masters\/domaine.fr.eu.org<\/i>.<\/p>\n Utilisez les commandes \/usr\/sbin\/named-checkconf<\/i> et \/usr\/sbin\/named-checkzone<\/i> pour v\u00e9rifier votre configuration. Une fois que tout est bon, dites \u00e0 BIND de prendre en compte vos modifications.<\/p>\n Pour finir, n’oubliez pas d’ouvrir le port 53 en TCP et en UDP si vous avez un firewall.<\/p>\n Voil\u00e0 un exemple de la configuration d\u2019un serveur en secondaire pour \u00ab\u00a0domaine.fr.eu.org\u00a0\u00bb. Dans \/etc\/bind\/named.conf.local<\/i> rajoutez :<\/p>\n Vous devez cr\u00e9er le r\u00e9pertoire \/etc\/bind\/slaves\/<\/i>. Le fichier \/etc\/bind\/slaves\/domaine.fr.eu.org<\/i> sera cr\u00e9\u00e9 et g\u00e9r\u00e9 par BIND, c’est l’endroit o\u00f9 sera copi\u00e9e la zone re\u00e7ue du serveur primaire.<\/p>\n Ensuite on demande \u00e0 BIND de recharger sa configuration (sur le secondaire) :<\/p>\n En voulant ajouter une zone sur un secondaire, j\u2019ai d\u00e9j\u00e0 \u00e9t\u00e9 confront\u00e9 \u00e0 ce message d\u2019erreur dans les logs :<\/p>\n Apr\u00e8s avoir lanc\u00e9 les commandes named-checkconf<\/i> et named-checkzone<\/i> sur le primaire pour s\u2019assurer qu\u2019il n\u2019y a pas une typo quelque part, j\u2019ai demand\u00e9 au primaire de renotifier la zone :<\/p>\n Mais le message d\u2019erreur \u00e9tait toujours l\u00e0, et le fichier n\u2019\u00e9tait pas cr\u00e9\u00e9 dans \/etc\/bind\/slaves\/<\/i>. En fait, la commande service bind9 reload<\/i> n\u2019avait pas suffit, j\u2019ai d\u00fb faire sur le secondaire :<\/p>\n Maintenant que votre serveur DNS est fonctionnel, vous \u00eates fin pr\u00eat \u00e0 aller sur le formulaire de cr\u00e9ation<\/a> sur EU.org. Vous y remplirez les champs :<\/p>\n Il ne reste plus qu’\u00e0 attendre la validation par les administrateurs d’EU.org. Elle est manuelle, \u00e7a peut donc prendre un moment.<\/p>\n En l’\u00e9tat, tout le monde peut se servir de votre serveur DNS. Ce dernier n\u2019a aucun int\u00e9r\u00eat par rapport \u00e0 celui d’un FAI, mais autant prot\u00e9ger son acc\u00e8s.<\/p>\n Dans \/etc\/bind\/named.conf.local<\/i> rajoutez :<\/p>\n Ensuite dans \/etc\/bind\/named.conf.options<\/i> \u00e0 la fin du bloc options{} rajoutez :<\/p>\n \u00c0 cause de la mauvaise configuration de certains serveurs DNS, vous risquez de voir vos logs envahis par des choses du genre :<\/p>\n Pour \u00e9viter \u00e7a, vous pouvez ajouter ceci dans \/etc\/bind\/named.conf.local<\/i> :<\/p>\n BIND, Berkeley Internet Name Domain, est un serveur de noms (DNS) utile \u00e0 plusieurs niveaux. Si vous disposez d\u2019une IP fixe, il peut g\u00e9rer un nom de domaine, r\u00e9serv\u00e9 par exemple sur EU.org. Il peut servir de cache DNS, ce qui est utile quand vous voulez vider le cache sans attendre la propagation standard d\u2019un… Continue Reading BIND 9<\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-145","post","type-post","status-publish","format-standard","hentry","category-hebergement","radius"],"_links":{"self":[{"href":"https:\/\/almic.fr\/blog\/wp-json\/wp\/v2\/posts\/145","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/almic.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/almic.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/almic.fr\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/almic.fr\/blog\/wp-json\/wp\/v2\/comments?post=145"}],"version-history":[{"count":47,"href":"https:\/\/almic.fr\/blog\/wp-json\/wp\/v2\/posts\/145\/revisions"}],"predecessor-version":[{"id":771,"href":"https:\/\/almic.fr\/blog\/wp-json\/wp\/v2\/posts\/145\/revisions\/771"}],"wp:attachment":[{"href":"https:\/\/almic.fr\/blog\/wp-json\/wp\/v2\/media?parent=145"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/almic.fr\/blog\/wp-json\/wp\/v2\/categories?post=145"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/almic.fr\/blog\/wp-json\/wp\/v2\/tags?post=145"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}# apt-get install bind9<\/code><\/p>\nLe fichier de configuration global<\/h4>\n
zone \"lan\" {\n type master;\n file \"\/etc\/bind\/local\/lan\";\n};\n\nzone \"168.192.in-addr.arpa\" {\n type master;\n file \"\/etc\/bind\/local\/lan.inv\";\n};<\/pre>\nLe fichier de configuration secondaire, sp\u00e9cifique au r\u00e9seau local<\/h4>\n
$TTL 86400\n\n@ IN SOA serveur. root.serveur. (\n 1\n 8H\n 2H\n 1W\n 1D\n)\n \n@ IN NS serveur.\n@ IN A 192.168.0.254\n \nposte1 A 192.168.0.1\nposte2 A 192.168.0.2\nposte3 A 192.168.0.3\nposte4 A 192.168.0.4\nposte5 A 192.168.0.5\nposte6 A 192.168.0.6\nposte7 A 192.168.0.7\nposte8 A 192.168.0.8\n\nwebcache CNAME serveur<\/pre>\n
\n
% \/usr\/sbin\/named-checkzone lan \/etc\/bind\/local\/lan
\nzone lan\/IN: loaded serial 1
\nOK<\/code><\/p>\nLa r\u00e9solution inverse<\/h4>\n
$TTL 604800\n\n@ IN SOA serveur. root.serveur. (\n 1\n 8H\n 2H\n 1W\n 1D\n)\n\n@ IN NS serveur.\n\n254 PTR serveur.lan.\n1 PTR poste1.lan.\n2 PTR poste2.lan.\n3 PTR poste3.lan.\n4 PTR poste4.lan.\n5 PTR poste5.lan.\n6 PTR poste6.lan.\n7 PTR poste7.lan.\n8 PTR poste8.lan.<\/pre>\n
V\u00e9rification<\/h4>\n
% \/usr\/sbin\/named-checkconf<\/code><\/p>\n# service bind9 reload<\/code><\/p>\n% tail -n 20 \/var\/log\/syslog<\/code><\/p>\nJan 30 01:11:54 serveur named[13221]: zone localhost\/IN: loaded serial 1
\nJan 30 01:11:54 serveur named[13221]: running
\nJan 30 01:11:54 serveur named[13221]: zone 168.192.in-addr.arpa\/IN: sending notifies (serial 1)<\/code><\/p>\nInt\u00e9grer le serveur DNS au syst\u00e8me<\/h4>\n
search lan
\nnameserver IP_SERVEUR<\/code><\/p>\norder hosts,bind
\nmulti on<\/code><\/p>\nConflit avec DHCP qui r\u00e9\u00e9crit \/etc\/resolv.conf<\/h4>\n
make_resolv_conf() {\n echo \"Nothing to do for \/etc\/resolv.conf\"\n}<\/pre>\nGestion d’un nom de domaine EU.org<\/h2>\n
Retour au fichier de configuration global<\/h4>\n
acl \"ns_secondaire\" {\n IP_NS_SECONDAIRE;\n};\n \nzone \"domaine.fr.eu.org\" {\n type master;\n file \"\/etc\/bind\/masters\/domaine.fr.eu.org\";\n allow-transfer { \"ns_secondaire\"; };\n allow-query { any; };\n};<\/pre>\nLe fichier de zone<\/h4>\n
$TTL 86400 ; 1 day\n \ndomaine.fr.eu.org. IN SOA ns.domaine.fr.eu.org. EMAIL. (\n 2006091001 ; serial\n 3H ; refresh\n 1H ; retry\n 1W ; expire\n 3H ; minimum\n)\n \n@ NS ns.domaine.fr.eu.org.\n@ NS ns_secondaire.\n \n@ IN MX 10 ns.domaine.fr.eu.org.\n \n@ A IP_NS_PRIMAIRE\nns A IP_NS_PRIMAIRE\nwww CNAME ns\nwebmail CNAME ns<\/pre>\n
V\u00e9rification<\/h4>\n
# service bind9 reload<\/code><\/p>\nServeur secondaire pour une zone<\/h4>\n
zone \"domaine.fr.eu.org\" {\n type slave;\n file \"\/etc\/bind\/slaves\/domaine.fr.eu.org\";\n masters { IP_NS_PRIMAIRE; };\n};<\/pre>\n# service bind9 reload<\/code><\/p>\n[Jour] [Heure] [Hostname] named[5993]: client IP#PORT: received notify for zone 'domain.tld': not authoritative<\/code><\/p>\n# rndc notify domain.tld<\/code><\/p>\n# service bind9 stop
\n# service bind9 start<\/code><\/p>\nR\u00e9servation du nom de domaine<\/h4>\n
\n
Prot\u00e9ger l’acc\u00e8s \u00e0 votre serveur DNS<\/h4>\n
acl \"lan\" {\n 192.168.0.0\/16;\n};<\/pre>\nallow-recursion {\n \"lan\";\n 127.0.0.1\/8;\n IP_PUBLIQUE\/32;\n};<\/pre>\nLe probl\u00e8me des lame-server qui envahissent les logs<\/h4>\n
Sep 10 00:58:02 serveur named[12588]: lame server resolving 'dns3.hull.ac.uk' (in 'hull.ac.UK'?): 149.170.39.92#53
\nSep 10 01:17:14 serveur named[29842]: lame server resolving 'www.ledvdclub.com' (in 'ledvdclub.COM'?): 194.150.236.5#53<\/code><\/p>\nlogging {\n category lame-servers{ null; };\n};<\/pre>\n","protected":false},"excerpt":{"rendered":"