Re: serveur DNS et forwarders

Page principale

Répondre à ce message
Auteur: Olivier Allard-Jacquin
Date:  
CC: GUILDE
Sujet: Re: serveur DNS et forwarders
    Salut Patrice,

Patrice Karatchentzeff a écrit :
> Salut,
>
> Toujours dans la manip de configurer une passerelle pour un domicile,
> j'y ai mis un serveur DNS dessus... la première étape à consister
> simplement à en faire une simple courroie de transmission pour ceux du
> FAI :
>
>                  IP via DHCP  <--------------->  serveur DHCP
> réseau local :     ----------------------------  passerelle : ----- Internet
>                adres. DNS = passerelle  <---->    serveur DNS <---> DNS FAI

>
>
> Pour le moment, pas de gestion du domaine réseau privé par le DNS de
> la passerelle...
>
> Sur une Sarge, bind est déjà tout installé : il suffit d'ajouter les
> forwarders sur le bind de la passerelle vers ceux du FAI pour que
> cela fonctionne « out of the box »...
>
> Du moins, je le croyais... je viens de me rendre compte que j'ai fait
> une fausse manip :
>
> le fichier /etc/bind/named.conf.options contient :
>
> // If your ISP provided one or more IP addresses for stable
> // nameservers, you probably want to use them as forwarders.
> // Uncomment the following block, and insert the addresses replacing
> // the all-0's placeholder.
>
> //       forwarders {
> //                  0.0.0.0 ;
> //                  0.0.0.0 ;
>                 212.27.54.252;
>                 213.228.0.23;
> //              };

>
> notez l'erreur : j'ai oublié de décommenter devant forwarders et les
> accolades...
>
> Avant, cela ne fonctionnait pas. Après avoir mis les DNS dans ce
> fichier, cela fonctionne... (i.e. depuis le réseau local, en mettant
> la passerelle comme DNS, je résous les adresses sur Internet)...
>
> Voici le log de named à son lancement dans ce cas :
>
> # /etc/init.d/bind restart
> Stopping domain name service: named.
> Starting domain name service: named.
>
> # tail -f /var/log/syslog
> Nov 5 15:44:08 belledonne named[6170]: master zone "localhost" (IN) loaded (serial 1)
> Nov 5 15:44:08 belledonne named[6170]: master zone "127.in-addr.arpa" (IN) loaded (serial 1)
> Nov 5 15:44:08 belledonne named[6170]: master zone "0.in-addr.arpa" (IN) loaded (serial 1)
> Nov 5 15:44:08 belledonne named[6170]: master zone "255.in-addr.arpa" (IN) loaded (serial 1)
> Nov 5 15:44:08 belledonne named[6170]: listening on [127.0.0.1].53 (lo)
> Nov 5 15:44:08 belledonne named[6170]: listening on [81.56.168.155].53 (eth0)

                                          ^^^^^^^^^^^^^^^^^^^^^^^^^^^^
    Oula ! Quelle horreur ! Ton serveur DNS écoute sur ton adresse IP
externe !!!


    Que tu ais déjà netfilter d'activé sur ta passerelle ne te dispense pas
de restreindre "named" à ta seule interface réseau local :


Dans "/etc/bind/named.conf.options", rajoute :

options {
    listen-on {
        127.0.0.0/8;
        192.168.0.1/24;
    };
;


> Nov 5 15:44:08 belledonne named[6170]: listening on [192.168.0.1].53 (eth1)
> Nov 5 15:44:08 belledonne named[6170]: Forwarding source address is [::].34545
> Nov 5 15:44:08 belledonne named[6170]: Forwarding source address is [0.0.0.0].34546
> Nov 5 15:44:08 belledonne named[6171]: Ready to answer queries.
>
>
> belledonne, c'est le nom (original) de ma passerelle..
>
> Donc, le DNS n'est pas « gênée » par cet oubli...
>
> Corrigeons l'erreur :
>
>        forwarders {
>                 212.27.54.252;
>                 213.228.0.23;
>               };

>
> # /etc/init.d/bind restart
> Stopping domain name service: named.
> Starting domain name service: named.
>
> # tail -f /var/log/syslog
>
> Nov 5 15:47:30 belledonne named[6367]: sysquery: no addrs found for root NS (A.ROOT-SERVERS.NET)
>
> et là, j'en ai une tripotée (tous les root NS définis dans
> /etc/bind/db.root)...
>
> LA résolution continue d'être bonne depuis le réseau...
>
> Une idée de ce qui se passe ?


    Oui : Pas la peine de te prendre la tête avec "forwarders", son
utilisation est quelque plus complexe que ce dont tu as besoin. Voir à
ce sujet la doc "BIND 9 Administrator Reference Manual" (ches moi:
"/usr/share/doc/bind-9.3.1/html/Bv9ARM.ch01.html", chapitre "1.4.5.1.
Forwarding").


    La seul chose que tu ais besoin, pour faire le "cache simple" que tu
cherches, c'est ceci :


options {
                212.27.54.252;
                213.228.0.23;
};


> Pourquoi les adresses des DNS sont
> prises en compte avec une mauvaise syntaxe ?


    En fait, dans ton premier test, ce que le serveur named à compris,
c'est ceci:


options {
    192.168.0.1/24;
};



ce qui d'après "man named.conf" ne signifie rien. Le serveur a dûs voir
l'erreur de syntaxe, mais n'a pas crié au loup. Il a donc fonctionné
avec les paramètres par défaut, c'est à dire en faisant du forwarding.

> Pourquoi les root par
> défaut sont mauvais ?


    Il te manque le fichier "named.ca", à mettre dans "/var/named" (voir
attachement). Je n'en n'ai pas fait référence lors de mon précédent
envoi sur la Guilde, car ce n'est normalement pas nécessaire. Ce fichier
permet de faire que ta passerelle devienne un serveur DNS "complet", qui
ne fait référence QUE aux "root servers", et non plus à ton FAI.


    Pour une configuration comme la tienne, il n'est pas nécessaire de
dialoguer directement avec les "root servers" (il n'est pas la peine de
les surcharger).


> Merci d'avance,


    De rien.


    A plus,


                        Olivier


-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
      /   / \  / \   \   Web:  http://olivieraj.free.fr/
     /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!