Académique Documents
Professionnel Documents
Culture Documents
AFPA DE DUNKERQUE
VANLERBERGHE Nicolas
-- MINIPROJET --
CONFIGURATION DE DNS POUR UN RESEAU DE PETITE ENTREPRISE AVEC BIND9 SOUS UBUNTU LINUX 10.04 ''Lucid Lynx"
Le 25 novembre 2010
AFPA DE DUNKERQUE
INDEX
A - Historique du systme de noms de domaines B - Le systme de noms de domaines C - Le principe de DNS C1 - Domaines C2 - Dlgation d'autorit et zones C3 - Serveurs de noms de la racine C4 - La rsolution d noms C5 - Les serveurs cache C6 - La rsolution inverse D - Prsentation du modle rseau Schma du modle rseau Schma de principe VMWare E - Installation du DNS pour le rseau local E1 - Construction du fichier de zones E11 - Zone directe E12 - Zone inverse E13 - Changement de l' appartenance et du groupe des fichiers de zone E14 - Vrification du fichier HOSTS E15 - Modification du fichier resolv.conf E16 - Vreification de la conformit de configuration de BIND9 F - Installation du DHCP et du DNS ynamique sur SRVLAN F1 - Installation du serveur DHCP F2 - Vrifications G - Mise en oeuvre de DNS sur SRVDMZ, dlgation de zone SRVLAN et accs internet pour le LAN G1 - Nous allons cacher l'existence des serveurs racine SRVDMZ G2 - Cration des fichiers de zones sur srvdmz G3-configuration des options gnrales "forward" sur srvdmz G4- cration du fichier de zone directe sur srvdmz G5- cration du fichier de zone inverse sur srvdmz G6-vrification des fichiers hosts et resolv.conf G7- cacher l'existence des serveurs racines G8- configuration des options gnrales "forward" sur srvlan G9 - Vrifications H - ouverrture de l'entreprise vers l' extrieur
Le 25 novembre 2010
AFPA DE DUNKERQUE
I - Le mcanisme des vues split DNS et transfert de zones I1- Dfinition des ACL. I2 - Dfinition des vues I2- Modification du fichier named.conf de bind9 sur srvdmz I3- Cration de nos fichiers de zones directe et inverse pour la vue externe I4- installation et configuration de bind9 sur ns02.hermite2012.tk. J - Configuration des translations d' adresses J1 - Dfinir les redirections de ports sur les boxs et sur SRVFWL J2 - Vrifications
Le 25 novembre 2010
AFPA DE DUNKERQUE
Durant les annes 70 ARPAnet est demeur une petite communaut de quelques centaines d'htes. La table de correspondances entres Htes et adresses tait entretenue par le "Network Information Consortium" ( NIC ) au "StanfordResearch Institute" (SRI )dans un fichier unique HOSTS.TXT.Ce fichier n'tait tlchargeable qu' partir d' une machine unique SRI-NIC. Les administrateurs ARPANET envoient leurs modifications par e-mail au NIC, et rcuprent priodiquement le dernier HOSTS.TXT par connexion ftp au SRI-NIC. Les mises jour du fichier HOSTS.TXT se font la cadence de l'ordre de une deux fois par semaine.La taille de HOSTS.TXT a augment proportionnellement l' arrive de nouveaux htes sur le rseau, et le trafic gnr, s'est envol, un nouvel hte entrainant non seulement, une nouvelle entre dans HOSTS.TXT, mais galement une nouvelle diffusion potentielle par SRI-NIC. Lors de l' volution du rseau ARPAnet vers l' utilisation de TCP/IP dvelopp par l 'universit de Berckeley, la taille des htes connects a explos, engendrant ainsi une sries de problmes dans l'utilisation de HOSTS.TXT
Le traffic et la charge.
Le cot en terme de charge du rseau et du processeur, est devenu bien trop lev.
Les conflits de noms.
Dans HOSTS.TXT deux htes ne pouvaient avoir le mme nom. Mme si le NIC garantissait l' unicit de l'attribution des adresses IP. Il ne pouvait en revanche empcher quelqu'un d'utiliser un nom d' hte dj prsent sur le rseau. Ainsi si un nouvel hte apparaissait sur le rseau avec par exemple un nom dj utilis par un serveur de messagerie, ceci engendrait une interruption du service dans la zone concerne.
Cohrence.
La gestion d' un fichier HOSTS.TXT statique dans un rseau en pleine expansion est devenue quasiment impossible. Le temps mis par le fichier HOSTS.TXT pour atteindre les htes en priphrie du rseau ne garantissait pas son exactitude. En effet, entre temps un nouvel hte a pu, soit faire son apparition, soit avoir chang son adresse, ou encore avoir disparu du rseau.
Le 25 novembre 2010
AFPA DE DUNKERQUE
Une rflexion a lors t lance par les autorits de ARPAnet avec les points de reflexion suivants : - Trouver un systme permettant de rsoudre les problmes engendrs par l' utilisation d' un systme central de descriptions d' htes0 - Donnes gres localement, mais accessibles globalement - Dcentralisation de la gestion pour liminer le goulot d'tranglement sur SRI-NIC - Gestion locale permettant ainsi d'avoir des informations plus facilement mises jour. - Espace de nom hirarchique garantissant l' unicit des noms. La conception hirarchique du nouveau systme fut alors confie PAUL MOCKAPETRIS en 1983, alors en poste l' Information Science Institutede l' USC. En 1984, il produisit les RFC 882 et 883 qui dcrivaient le systme de nom de domaine. Ces deux RFC furent ultrieurement remplaces par les RFC 1034 et 1035 toujours d'actualit. Les RFC 1034 et 1035, sont aujourd'hui compltes par d'autres RFC traitant de mise en uvre, de gestion de scurisation et de mises jours automatiques des serveurs de noms.
Le 25 novembre 2010
AFPA DE DUNKERQUE
"."
com
edu
gov
mil
Le systme de noms de domaine est une base de donnes distribues, ceci permet un contrle local de la base de donnes globale, les donnes de chaque segment tant accessibles de partout par un mcanisme client serveur. Des duplications et des mmoires caches rglent les problmes de robustesse et de performance. La base de donnes du DNS est reprsente comme un arbre invers, avec le nud racine en haut, un nom unique identifie chaque noeud de l'arbre relativement son nud parent. Le nud racine est reprsent par un point unique ( " . " ). Chaque nud est aussi la racine d' un nouveau sous-arbre de l'arbre global. Chaque sous arbre, reprsente une partie de la base de donnes globale. Chaque domaine peut tre divis en sousdomaines. Les sous domaines sont reprsentes comme des enfants de leur domaine parent.
Le 25 novembre 2010
AFPA DE DUNKERQUE
Chaque domaine possde un nom unique, et indique sa position dans la base de donnes. Le nom de est la runion de tous les noms de noeud spars par un " . " en partant de la feuille jusqu' la racine de l'arbre invers.
"."
tk
hermite2012
intra
clientxp1
clientxp1.intra.hermite2012.tk.
Le 25 novembre 2010
AFPA DE DUNKERQUE
Dans le DNS chaque domaine peut tre gr par un organisme diffrent, chaque organisme peut scinder son domaine en sous-domaines, et distribuer la responsabilit des sous domaines d'autres organismes
fr
tk
hermite2012
C' est VANLERBERGHE Nicolas un stagiaire de TSRIT l' AFPA de DUNKERQUE qui gre le hermite2012.tk. Dans le cadre de son miniprojet de fin d'apprentissage on lui a demand de prsenter DNS, il a donc enregistr son domaine gratuitement auprs de DOT.tk. Et a demand la dlgation de la gestion de son domaine en indiquant DOT.TK l'adresse IP et le nom des serveurs DNS de sa zone.
Cest Dot TK une filiale du gouvernement de Tokelau, son entreprise de communication Teletok et de Taloha Inc, une socit base San Francisco (USA) avec une filiale Amsterdam, aux Pays-Bas qui gre le .TK jusquen 2014. Il distribue actuellement gratuitement les noms de domaine en .TK.
Le 25 novembre 2010
AFPA DE DUNKERQUE
Un domaine peut contenir simultanment des htes, des sous domaines, des alias pointant vers des noms canoniques.
"."
tk
hermite2012
www
intra
www
clientxp1
srvlan
www
Dans l' exempleci dessus: - "intra" est un sous domaine de hemite2012.tk. - "www.intra" est un alias pointant vers "srvlan.intra" - clientxp1 et srvlan sont des noms d' htes.
Illustration en rouge : Nous voyons que nous ne pouvons pas avoir deux nuds possdant le mme nom au mme niveau, par analogie aux fichiers et dossier d' un systme d' exploitation, nous ne pouvons pas avoir deux fichiers portant le mme nom au sein d' un mme dossier. Par contre rien n' empche au sein d' un domaine partir du moment o les enregistrements de se situent pas au mme niveau de l'arborescence, d' avoir deux fois un mme nom : - www.hermite2012.tk. -www.intra.hermite2012.tk.
Le 25 novembre 2010
AFPA DE DUNKERQUE
C - Principes de DNS
C - 1 Domaines "."
intra
Un domaine est tout simplement un sous arbre de l' espace de nommage, le nom d'un domaine est le nom du noeud se situant au sommet de l'arbre. Ainsi le sommet du domaine hermite2012.tk. est le noeudhermite2012.tk . Tout nom du sous arbre est condidr comme faisant partie du domaine, ainsi le nom intra.hermite2012.tk. fait partie du domaine hermite2012.tk et fait galement partie intgrante du domaine .tk. Dans la figure ci dessus nous pouvons diffrencier les domaines par leur niveau, " tk " est un domaine de premier niveau " Top Level Domain " car enfant direct de la racine " . ", et hermite2012 est un domaine de second niveau car enfant du domaine " tk ".
10
Le 25 novembre 2010
AFPA DE DUNKERQUE
"."
fr
tk
edu
gov
hermite2012
berckeley
intra
La distinction entre domaines et zones est pour le moins subtile et mrite que l'on s'y attarde un instant. Les domaines de niveau suprieur ainsi que de nombreux domaines de niveau infrieur sont diviss en units plus petites et plus faciles grer par dlgation d' autorit. On voit dans la figure ci dessus que le domaine ".tk" scind en zones : - La zone "tk" - La zone "hermite2012.tk", elle mme subdivise avec la zone "intra.hermite2012.tk" Il est normal que ce soit aux administrateurs de "hermite2012.tk" de grer leur propre base de donne et non ceux de la zone ".tk." de le faire. La base de donne de la zone ".tk." contiendra essentiellement les informations de dlgations des zones de niveau infrieur. exemple : - la zone ".tk" contiendra les noms et adresses des serveurs de noms de la zone "hermite2012.tk - la zone "hermite2012.tk" contiendra les informations concernant les serveurs de noms de sa zone, les informations de dlgation pour la zone " intra.hermite2012.tk.", les correspondances noms, adresses, services mail, pour sa propre zone... - la zone "intra.hermite2012.tk" quant elle contiendra une base de donne des htes de son rseau local et les directives indiquant qui retransmettre les requtes ne concernant pas la zone dont elle a autorit...
11
Le 25 novembre 2010
AFPA DE DUNKERQUE
Les serveurs de noms de la racine savent o se trouvent les serveurs de noms de chaque domaine de niveau suprieur (la plupart des serveurs de noms de la racine ont autorit sur les domaines de niveau suprieur).Lorsquils rpondent une requte quelconque les serveurs de la racine renvoient au minimum des informations concernant les serveurs de noms du domaine infrieur, quil faudra alors contacter pour poursuivre la rsolution de noms. En absence dinformations supplmentaires, un serveur DNS local qui effectuera une recherche pour un rsolveur, interrogera en premier lieu les serveurs de la racine. En effet, chaque serveur de noms a connaissance des adresses des serveurs de noms de la racine. Sil arrivait que tous les serveurs de la racine deviennent indisponibles pendant un grand laps de temps, plus aucune requte naboutirait et toute communication serait alors interrompue. Les serveurs de noms de la racine occupent une position centrale dans larchitecture d internet, ils peuvent recevoir plusieurs milliers de requtes la seconde, on voit par l quils sont soumis un trafic trs dense. La position stratgique centrale des serveurs de noms de la racine, les expose des attaques organises visant les inonder de requtes simultanes afin de les faire tomber en dni de service. Une attaque est survenue en 2002 sur les serveurs ROOT, 7 sur les 13 serveurs sont devenus inoprants aprs une attaque massive en deni de service. Une technique de duplication de serveurs a t mise en place. Le serveur logique F possde 46 rpliques toutes accessibles la mme adresse IP grace une technique de routage dite anycast, cest le rseau qui se chargera de router au mieux les demandes de rsolutions vers le serveur le plus appropri. Certains serveurs DNS racine sont en fait de grosses grappes de serveurs utilisant anycast. Les serveurs C, F, I, J, K et M sont parpills sur plusieurs continents et utilisent anycast pour fournir un service dcentralis. Du coup, la plupart des serveurs racine physiques sont en dehors des tats-Unis. La RFC 3258 dcrit comment anycast est utilis pour fournir un service DNS. Plusieurs ccTLD utilisent galement cette technique, comme le .fr [1]. Cette technique est aussi utilise sur le registre suisse qui gre le nom de domaine de premier niveau .
12
Le 25 novembre 2010
AFPA DE DUNKERQUE
C - 4 la rsolution de noms
Requte www.hermite2012.tk.
Serveurs de noms de tk tk fr be
Requte www.hermite2012.tk.
RESOLVER
@SOA ns01.hermite2012.tk. root.hermite2012.tk. . Contenu .... omis .. IN NS ns01.hermite2012.tk. IN NS ns02.hermite2012.tk. IN MX srvdmz.hermite2012.tk. Srvdmz IN A 88.169.218.210 ns01 IN A 88.169.218.210 ns02 IN A 77.234.33.25 www IN CNAME srvdmz www ns01 ftp IN CNAME srvdmz
Le 25 novembre 2010
AFPA DE DUNKERQUE
14
Le 25 novembre 2010
AFPA DE DUNKERQUE
a.root-servers.net
Serveurs de noms
B
2 1
3
root-c.taloha.tk
C
4
ns02.hermite2012.tk
A
7
?
1
15
Le 25 novembre 2010
AFPA DE DUNKERQUE
La plupart des serveurs DNS jouent galement le rle de serveur cache, le serveur apprend beaucoup de ses prcdentes requtes. A chaque fois qu' il se rfre une nouvelle zone il apprend quels serveurs en ont autorit.Le serveur placera donc dans son cache toutes ses prcieuses informations qui lui serviront probablement pour une requte ultrieure.
CACHE
tk primary name-server ROOT-A.TALOHA.TK. nameserver = ROOT-A.taloaha.tk. nameserver = ROOT-B.taloha.tk. nameserver = ROOT-C.taloaha.tk. nameserver = ROOT-D.taloha.tk. internet address 217.119.57.22 hermite2012.tk primary nameserver NS01.HERMITE2012.TK. nameserver = NSO1.hermite2012.tk. internet address 88.169.218.210 nameserver = NS02.hermite20120.tk. internet address 77.237.33.25
A
7
ns01.hermite2012.tk
?
1
ftp.hermite2012.tk. = 88.169.218.210 Resolver ftp.hermite2012.tk ? Lors de sa prcdente recherche le serveur DNS A a appris, non seulement l' adresse correspondant www.hermite2012.tk. , mais galement de nombreuses autres informations prcieuses : La liste des serveurs ayant autorit sur la zone tk, et galement la liste des serveurs de noms ayant autorit sur la zone hermite2012.tk. Sachant que sa recherche porte sur la zone hermite2012.tk, il va directement aller interroger l' un des serveurs ayant autorit sur la zone, sa rsolution de noms se voit ainsi considrablement raccourcie.
16
Le 25 novembre 2010
AFPA DE DUNKERQUE
C -6 La rsolution inverse
. Adresse IP 88.169.218.210
arpa
in-address
88
169
Etant donn quil est ais de retrouver une adresse lorsque lon dispose du nom, une section de lespace de nommage a t cre, cette zone utilise les adresses comme des noms. Dans la figure ci-dessus, nous voyons une adresse IP de 32 de bits reprsente par 4 nombres en dcimal point, allant de 0 255 spars par des points. Le domaine in-address .arpa. par exemple, peut contenir 256 sous domaines correspondants la valeur que peut prendre le premier octet dune adresse IP. Chacun de ses sous domaines peuvent eux mme contenir 256 sous domaines correspondantes aux valeurs de leurs octets respectifs, et ce, jusquau 4eme niveau o lenregistrement de ressource attach cette valeur fait correspondre le nom complet de l hte Ex : 210.218.169.88.in-addr.aprpa. PTR ns01.hermite2012.tk. Au final le domaine in-address.arpa. est suffisemment spacieux pour contenir toutes les addresses IPV4 existentes(soit 254^4 = 41 623 142 565 adresses..)
17
Le 25 novembre 2010
AFPA DE DUNKERQUE
D - Prsentation du modle rseau retenu Ce modle rseau est surtout un modle bas sur l'apprentissage et constitue un bon labo pour mettre en application bon nombre de services rseaux dont pourrait avoir besoin une petite entreprise. Ce labo a t ralis en virtualisant des serveurs linux Ubuntu 10.04 LTS, et des machines clientes Ubuntu desktop, et Windows XP Professionnel, afin de montrer que les services rseau offerts par ces serveurs ne se cantonnent pas l'environnement linux, mais sont galement disponibles pour les clients XP. La machine hte VmWare sur laquelle nous faisons tourner toutes les machines virtuelles du labo avec un grand confort de travail, est dote d' un processeur Intel Core I7 et dispose de 6 Go de mmoire Ram. Le systme d'exploitation embarqu est un windows 7 en version 64 bits, et nous avons dot cette machine d'un disque dur SSD de 30 Go dont l'unique rle est de recevoir les fichiers d' change ( SWAP).
18
Le 25 novembre 2010
AFPA DE DUNKERQUE
192.168.3.0 /24
.1
dhcp
dhcp
clientxp1
clientubuntu2
La premire chose prendre en considration, et mettre en oeuvre lorsque l' on monte un rseau est le service DNS, nous allons donc attribuer un rle bien particulier chacun de nos serveurs, leur donnant une position et un rle bien prcis au sein de l'arborescence de DNS. SRVLAN sera serveur DNS autoritaire pour la zone intra.hermite2012.tk. , la zone intra.hermite2012.tk. correspond au domaine interne de l' organisation. Sa base de donnes DNS sera constitue de deux types d'entres: - des entres statiques, entres manuellement par l'administrateur - des entres dynamiques apprises par le serveur DHCP ( SRVLAN Fait galement office de serveur DHCP ) La base de donne du domaine " intra.hermite2012.tk." ne doit tre disponible sur le rseau local, SRVLAN se verra donc dlguer l'autorit de cette zone par NS01. NS01 se trouve dans une zone sensible, car accessible aussi bien du rseau local, que de l' internet. Son rle est primordial du point de vue de la communication de l' organisation avec l'extrieur, site web, serveur ftp public.. et le plus importants serveur matre autoritaire pour la zone hermite2012.tk. Son rle n' tant pas de s'occuper de la base de donne DNS du rseau local, mais plus de la partie oriente vers l'extrieur, il va dlguer l' autorit de la zone intra.hermite2012.tk. SRVLAN.Il contiendra dans sa base de donnes des informations concernant les adresses de sites web, ftp, et du serveur secondaire pour la zone hermite2012.tk qui sera NS02 situ sur un autre site. NS01, sera configur avec le principe du split DNS, grce un mcanisme de vues, il ne fournira pas les mmes rponses que les requtes proviennent du rseau interne ou de l 'extrieur. NS02 par souci de redondance, sera le serveur secondaire pour la zone hemite2012.tk. il rpliquera sa base de donne partir de celle contenue par NS01
19
Le 25 novembre 2010
AFPA DE DUNKERQUE
srvdmz
192.168.2.254
La connexion internet se fait via un routeur modem freebox, les reprsentations nommes Vmnetx sont des switchs virtuels de VMWare Workstation. SRVDMZ est dot de : 1 interface rseau eth1 relie VMNET 2 @IP=192.168.2.1. 1 sous interface eth1:0 @IP=192.168.2.11, elle fournira une adresse IP virtuelle pour apache en https. SRVFWL est dot de 3 interfaces rseau : 1 interface rseau eth0 bridge avec la carte rseau physique du systme Hte @IP=192.168.0.10. 1 interface rseau eth1 relie VMNET 2 @IP=192.168.2.254. 1 interface rseau eth2 relie VMNET 3 @IP=192.168.2.254. SRVLAN est dot de deux interfaces rseau : 1 interface rseau eth2 relie VMNET3 @IP=192.168.3.1. 1 interface rseau eth3 relie VMNET4 @IP=192.168.4.254. Les divers clients du LAN ont chacun une interface rseau relie VMNET4, sur le rseau 192.168.4.0/24.
20
Le 25 novembre 2010
AFPA DE DUNKERQUE
dhcp
dhcp
clientxp1
clientubuntu2
21
Le 25 novembre 2010
AFPA DE DUNKERQUE
E-1-3- Changement de l' appartenance du groupe pour les fichiers de zone root@srvlan:/var/cache/bind# chgrp bind * root@srvlan:chmod 664 * root@srvlan:/var/cache/bind# ls -l
-rw-rw-r-- 1 bind bind -rw-rw-r-- 1 bind bind 406 2010-11-22 19:38 db.intra.hermite2012.tk 386 2010-11-22 19:42 rev.intra.hermite2012.tk
22
Le 25 novembre 2010
AFPA DE DUNKERQUE
# The following lines are desirable for IPv6 capable hosts ::1localhost ip6-localhost ip6-loopback fe00::0 ip6-localnet ff00::0 ip6-mcastprefix ff02::1 ip6-allnodes ff02::2 ip6-allrouters
la directive "domain" fixele domaine courant d'appartenance de la machine . la directive "search" ajoute le domaine "intra.hermite2012.tk" toute demande de nom d'hte non pleinement qualifi. exemple: une recherche sur "machine-test" sera transforme en "machine-test.intra.hermite2012.tk." avant d'envoyer une requte au serveur dns. E1-6 Vrification de la conformit de la configuration de bind9 Pour ce faire nous allons utiliser l' utilitaire "named-checkconf"; qui vrifie par dfaut la configuration de "/etc/bind/named.conf" si la configuration est correcte, la commande ne retourne rien, en cas d' erreurs, la sortie est suffisamment explicite pour retrouver o l' erreur a t commise. root@srvlan:/var/cache/bind# named-checkconf root@srvlan:/var/cache/bind# La deuxime vrification consiste contrler la conformit de nos fichier de zones l'aide de l'utilitaire "named-checkzone" root@srvlan:/var/cache/bind# named-checkzone -d intra.hermite2012.tk db.intra.hermite2012.tk
loading "intra.hermite2012.tk" from "db.intra.hermite2012.tk" class "IN" zone intra.hermite2012.tk/IN: loaded serial 2010111316 OK
23
Le 25 novembre 2010
AFPA DE DUNKERQUE
Nous allons maintenant vrifier le fichiers de log gnral dans une nouvelle console [Alt] [F2], root@srvlan:/var/cache/bind# tail -f /var/log/syslog la premire console [Alt] [F1] et redmarrage du service bind9 root@srvlan:/var/cache/bind#service bind9 restart
Nov 25 17:21:38 srvlannamed[3196]: starting BIND 9.7.0-P1 -u bind
Nov 25 17:21:38 srvlan named[3196]: built with '--prefix=/usr' '--mandir=/usr/share/man' '-infodir=/usr/share/info' '--sysconfdir=/etc/bind' '--localstatedir=/var' '--enable-threads' '--enable-largefile' '--withlibtool' '--enable-shared' '--enable-static' '--with-openssl=/usr' '--with-gssapi=/usr' '--with-gnu-ld' '--with-dlzpostgres=no' '--with-dlz-mysql=no' '--with-dlz-bdb=yes' '--with-dlz-filesystem=yes' '--with-dlz-ldap=yes' '--with-dlzstub=yes' '--with-geoip=/usr' '--enable-ipv6' 'CFLAGS=-fno-strict-aliasing -DDIG_SIGCHASE -O2' 'LDFLAGS=-Wl,Bsymbolic-functions' 'CPPFLAGS='
Nov 25 17:21:38 srvlannamed[3196]: adjusted limit on open files from 1024 to 1048576 Nov 25 17:21:38 srvlannamed[3196]: found 1 CPU, using 1 worker thread Nov 25 17:21:38 srvlannamed[3196]: using up to 4096 sockets Nov 25 17:21:38 srvlannamed[3196]: loading configuration from '/etc/bind/named.conf' Nov 25 17:21:38 srvlannamed[3196]: reading built-in trusted keys from file '/etc/bind/bind.keys' Nov 25 17:21:38 srvlannamed[3196]: using default UDP/IPv4 port range: [1024, 65535] Nov 25 17:21:38 srvlannamed[3196]: using default UDP/IPv6 port range: [1024, 65535] Nov 25 17:21:38 srvlannamed[3196]: listening on IPv6 interfaces, port 53 Nov 25 17:21:38 srvlannamed[3196]: listening on IPv4 interface lo, 127.0.0.1#53 Nov 25 17:21:38 srvlannamed[3196]: listening on IPv4 interface eth2, 192.168.3.1#53 Nov 25 17:21:38 srvlannamed[3196]: listening on IPv4 interface eth3, 192.168.4.254#53 Nov 25 17:21:38 srvlannamed[3196]: generating session key for dynamic DNS Nov 25 17:21:38 srvlannamed[3196]: automatic empty zone: 254.169.IN-ADDR.ARPA Nov 25 17:21:38 srvlannamed[3196]: automatic empty zone: 2.0.192.IN-ADDR.ARPA Nov 25 17:21:38 srvlannamed[3196]: automatic empty zone: 255.255.255.255.IN-ADDR.ARPA Nov 25 17:21:38 srvlannamed[3196]: automatic empty zone: 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA Nov 25 17:21:38 srvlannamed[3196]: automatic empty zone: 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA Nov 25 17:21:38 srvlannamed[3196]: automatic empty zone: D.F.IP6.ARPA Nov 25 17:21:38 srvlannamed[3196]: automatic empty zone: 8.E.F.IP6.ARPA Nov 25 17:21:38 srvlannamed[3196]: automatic empty zone: 9.E.F.IP6.ARPA Nov 25 17:21:38 srvlannamed[3196]: automatic empty zone: A.E.F.IP6.ARPA Nov 25 17:21:38 srvlannamed[3196]: automatic empty zone: B.E.F.IP6.ARPA Nov 25 17:21:38 srvlannamed[3196]: command channel listening on 127.0.0.1#953 Nov 25 17:21:38 srvlannamed[3196]: command channel listening on ::1#953 Nov 25 17:21:38 srvlannamed[3196]: zone 0.in-addr.arpa/IN: loaded serial 1 Nov 25 17:21:38 srvlannamed[3196]: zone 127.in-addr.arpa/IN: loaded serial 1 Nov 25 17:21:38 srvlannamed[3196]: zone 4.168.192.in-addr.arpa/IN: loaded serial 2010111311 Nov 25 17:21:38 srvlannamed[3196]: zone 255.in-addr.arpa/IN: loaded serial 1 Nov 25 17:21:38 srvlannamed[3196]: zone localhost/IN: loaded serial 2 Nov 25 17:21:38 srvlannamed[3196]: zone intra.hermite2012.tk/IN: loaded serial 2010111316 Nov 25 17:21:38 srvlannamed[3196]: running
24
Le 25 novembre 2010
AFPA DE DUNKERQUE
autre vrification possible en utilisant l' utilitaire "dnsutils" root@srvlan:~# aptitude installdnsutils root@srvlan:~# host -v srvlan.intra.hermite2012.tk
Trying "srvlan.intra.hermite2012.tk" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36780 ;; flags: qraardra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;srvlan.intra.hermite2012.tk.
IN
192.168.4.254
86400
IN
NS
srvlan.intra.hermite2012.tk.
Received 75 bytes from 127.0.0.1#53 in 0 ms Trying "srvlan.intra.hermite2012.tk" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10674 ;; flags: qraardra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;srvlan.intra.hermite2012.tk.
IN
AAAA
SOA
srvlan.intra.hermite2012.tk. root.intra.hermite2012.tk.
Received 86 bytes from 127.0.0.1#53 in 0 ms Trying "srvlan.intra.hermite2012.tk" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31643 ;; flags: qraardra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;srvlan.intra.hermite2012.tk.
IN
MX
SOA
srvlan.intra.hermite2012.tk. root.intra.hermite2012.tk.
25
Le 25 novembre 2010
AFPA DE DUNKERQUE
IN
SOA
;; ANSWER SECTION: intra.hermite2012.tk. 86400 IN SOA srvlan.intra.hermite2012.tk. root.intra.hermite2012.tk. 2010111316 604800 86400 2419200 604800 ;; AUTHORITY SECTION: intra.hermite2012.tk.
86400
IN
NS
srvlan.intra.hermite2012.tk.
;; ADDITIONAL SECTION: srvlan.intra.hermite2012.tk. 86400 IN ;; ;; ;; ;; Query time: 0 msec SERVER: 127.0.0.1#53(127.0.0.1) WHEN: Fri Nov 26 08:36:24 2010 MSG SIZE rcvd: 116
192.168.4.254
ms ms ms ms
26
Le 25 novembre 2010
AFPA DE DUNKERQUE
DHCP constitue la suite logique de la mise en service de notre rseau local, le but tant, pour l'administrateur rseau, de pouvoir s' affranchir de toute configuration IP fixe sur les machines clientes, en leur attribuant toutes les informations ncessaires leur connectivit au sein du rseau local. Le serveur DHCP, attribue l' IP de la machine cliente pour une dure dtermine appele bail, il leur fournit galement leurs DNS, l' adresse de la passerelle par dfaut, l'adresse du serveur de temps NTP etc... L' inconvnient majeur du DHCP, est qu'il engendre un trafic de broadcast proportionnel au nombre de machines qui sont prsentes sur le LAN. L'administrateur aura tout intrt prvoir cette charge de trafic au moment de la conception de son rseau, la charge maximale engendre se fera surtout sentir l' ouverturee des bureaux entre 8h et 9h au moment o les salaris allumeront leur quipement. F-1 Installation du serveur DHCP Cette installation se fera pour la carte rseau relie notre rseau local, (dans notre cas eth3). root@srvlan:~# aptitude install dhcp3-server sauvegarde des fichiers de configuration de base ( "ceinture et bretelle" ) root@srvlan:~#cp /etc/dhcp3/dhcpd.conf/etc/dhcp3/dhcp.conf.back Indiquer sur quelle interface doit couter le serveur dhcp root@srvlan:~# nano /etc/default/dhcp3-server
# Defaults for dhcpinitscript # sourced by /etc/init.d/dhcp # installed at /etc/default/dhcp3-server by the maintainer scripts # # This is a POSIX shell fragment # # On what interfaces should the DHCP server (dhcpd) serve DHCP requests? # Separate multiple interfaces with spaces, e.g. "eth0 eth1". INTERFACES="eth3"
27
Le 25 novembre 2010
AFPA DE DUNKERQUE
Nous allons maintenant modifier le fichier de configuration du serveur dhcp. root@srvlan:~#nano /etc/dhcp3/dhcpd.conf
# mthode dynamique pour la mise jour ddns-update-style interim; # autorisation des mises jour ddns-updates on; # lamise a jour est faite par le serveur dhcp ignore client-updates; # misea jour mme en cas d'IP statiques update-static-leases on; # autoriser les clients dont la mac est inconnue allow-unknow-clients; # indique quelle zone DNS mettre jour zone intra.hermite2012.tk. { primary 127.0.0.1; } zone 4.168.192.in-addr.arpa. { primary 127.0.0.1; } # option definitions common to all supported networks... option domain-name "intra.hermite2012.tk"; optiondomain-name-servers 192.168.4.254; # dure du bail par dfaut sans nouvelle demande du client default-lease-time 86400; # duremaximale du bail ( 1 week ) max-lease-time 604800; # If this DHCP server is the official DHCP server for the local # network, the authoritative directive should be uncommented. authoritative; # Use this to send dhcp log messages to a different log file (you also # have to hack syslog.conf to complete the redirection). log-facility local7; subnet 192.168.4.0 netmask 255.255.255.0 { # passerelle par dfaut "srvlan" optionrouters 192.168.4.254; # masque optionsubnet-mask 255.255.255.0; # etendue range 192.168.4.30 192.168.4.99; }
28
Le 25 novembre 2010
AFPA DE DUNKERQUE
sparation de des logs de dhcppour pouvoir suivre les vnements dhcp dans un fichier part de l'norme syslog, qui trace tout ce qui se passe sur votre machine. root@srvlan:~# echo "local7.* /var/log/dhcpd.log" >> "/etc/rsyslog.conf" ce qui a pour effet d'ajouter la ligne "local7.* /var/log/dhcpd.log" la fin du fichier
rsyslog.conf
nous allons maintenant pouvoir suivre uniquement les logs concernant le serveur grce au fichier
"dhcpd.log".
nous allons ouvrir une nouvelle console [Alt] [F3] afin de pouvoir suivre les logs du serveur dhcp root@srvlan:~# tail -f /var/log/dhcpd.log
Nov Nov Nov Nov Nov Nov Nov Nov Nov Nov 22 25 25 25 25 25 25 25 25 25 19:27:27 15:49:20 15:49:20 15:49:20 15:49:20 15:49:20 15:49:20 15:49:20 15:49:20 15:49:20 srvlandhcpd: srvlandhcpd: srvlandhcpd: srvlandhcpd: srvlandhcpd: srvlandhcpd: srvlandhcpd: srvlandhcpd: srvlandhcpd: srvlandhcpd: Wrote 3 leases to leases file. Internet Systems Consortium DHCP Server V3.1.3 Copyright 2004-2009 Internet Systems Consortium. All rights reserved. For info, please visit https://www.isc.org/software/dhcp/ Internet Systems Consortium DHCP Server V3.1.3 Copyright 2004-2009 Internet Systems Consortium. All rights reserved. For info, please visit https://www.isc.org/software/dhcp/ Wrote 3 leases to leases file.
F-2 vrifications Dmarrage de la machine virtuelle clientxp1, de nouvelles lignes apparaissent dans notre fichier journal dhcpd.log
Nov 26 10:50:11 srvlandhcpd: DHCPDISCOVER from 00:0c:29:7d:64:86 (clientxp1) vi a eth3 Nov 26 10:50:12 srvlandhcpd: DHCPOFFER on 192.168.4.30 to 00:0c:29:7d:64:86 (cl ientxp1) via eth3 Nov 26 10:50:12 srvlandhcpd: DHCPREQUEST for 192.168.4.30 (192.168.4.254) from 00:0c:29:7d:64:86 (clientxp1) via eth3 Nov 26 10:50:12 srvlandhcpd: DHCPACK on 192.168.4.30 to 00:0c:29:7d:64:86 (clie ntxp1) via eth3
29
Le 25 novembre 2010
AFPA DE DUNKERQUE
Dmarrage de la machine virtuelle clientubuntu2, de nouvelles lignes apparaissent dans notre fichier journal dhcpd.log
Nov 26 10:56:42 srvlandhcpd: DHCPDISCOVER from 00:0c:29:7e:c6:5b via eth3 Nov 26 10:56:43 srvlandhcpd: DHCPOFFER on 192.168.4.31 to 00:0c:29:7e:c6:5b (clientubuntu2) via eth3 Nov 26 10:56:43 srvlandhcpd: Added new forward map from clientubuntu2.intra.hermite2012.tk to 192.168.4.31 Nov 26 10:56:43 srvlandhcpd: added reverse map from 31.4.168.192.in-addr.arpa. to clientubuntu2.intra.hermite2012.tk Nov 26 10:56:43 srvlandhcpd: DHCPREQUEST for 192.168.4.31 (192.168.4.254) from 00:0c:29:7e:c6:5b (clientubuntu2) via eth3 Nov 26 10:56:43 srvlandhcpd: DHCPACK on 192.168.4.31 to 00:0c:29:7e:c6:5b (clientubuntu2) via eth3
30
Le 25 novembre 2010
AFPA DE DUNKERQUE
31
Le 25 novembre 2010
AFPA DE DUNKERQUE
32
Le 25 novembre 2010
AFPA DE DUNKERQUE
33
Le 25 novembre 2010
AFPA DE DUNKERQUE
Comment se fait-il que clientxp1 et clientubuntu2 soient accessibles par leur nom alors que nous ne leur avons pas ajout d' enregistrement"IN A" et "PTR" dans les fichiers de configuration "db.intra.hermite2012.tk" et "rev.intra.hermite2012.tk" de bind9 ?? Simplement par le fait que nous ayons autoris le serveur dhcp mettre jour dynamiquement les entres dns de bind9 voyons cela de plus prs... sur srvlan root@srvlan:/var/cache/bind#ls -l
On peut remarquer l'apparition de deux nouveaux fichiers "*.jnl"dans le dossier contenant les configurations de zones de bind9.
34
Le 25 novembre 2010
AFPA DE DUNKERQUE
Regardons maintenant le contenu des fichiers de zones directe et inverse. Fichier de zone directe
A quoi peuvent bien servir ces enregistrements .TXT ? Ca sert au systme de mise jour ne pas craser un enregistrement ajout manuellement: Chaque fois qu'un nouvel enregistrement est ajout dynamiquement, on positionne une zone de texte du mme nom que l'enregistrement A. Quand la fois suivante, le systme de mise jour essaie de mettre jour l'enregistrement, il trouve un enregistrement A du mme nom. Si pour ce nom l il existe un enregistrement TXT, il effectue la mise jour. Dans le cas contraire, cela veut dire que l'enregistrement a t crit manuellement, et qu'il ne doit pas tre cras.
35
Le 25 novembre 2010
AFPA DE DUNKERQUE
On remarque l' ajout de nouveaux enregistrements de type A pour toutes les machines du rseau local qui se sont vues attribuer une adresse ip dynamiquement par le serveur dhcp.
36
Le 25 novembre 2010
AFPA DE DUNKERQUE
G - Mise en oeuvre de DNS sur SRVDMZ, dlgation de zone et accs internet pour le LAN
Nous ne reviendrons pas sur l'installation de bind9, et sur les divers contrles effectuer pour vrifier son bon fonctionnement , nous allons uniquement prsenter les fichiers de configuration de srvdmz, et les modifications apporter sur srvlan. But de l' opration : un client du lan qui envoie une demande de rsolution rcursive srvlan, vera sa requte transmise srvdmz, qui son tour la transmettra aux DNS du FAI. Pourquoi ? Afin de ne pas surcharger le rseau par des requtes de rsolution de noms. Srvdmz, aurait trs bien pu enregistrer les requtes rcursives de srvlan, et son tour effectuer une recherche itrative afin de rsoudre la requte. Pour notre cas, ce sera pas le rle de srvdmz, Ainsi, les requtes de rsolution qui seront effectues par les resolvers de notre rseau local seront plus rapides car s'appuyant sur les serveurs dns du FAI qui possdent des dbits de connexion bien suprieurs au notre, et qui contiendra une bonne part des informations demandes dans son cache DNS. Dans cette conception du service DNS srvlan ne s'occupera que des requtes pour la zone intra.hermite2012.tk qui lui a t dlgue, et srvdmz des requtes pour la zone hermite2012.tk
srvfwl ns01
88.169.218.210
192.168.3.0 /24
.1
dhcp
dhcp
clientxp1
clientubuntu2
sursrvdmz
37
Le 25 novembre 2010
AFPA DE DUNKERQUE
G1- nous allons cacher l'existence des serveurs racine srvdmz root@srvdmz:/etc/bind# nano named.conf.default-zones en commentant les lignes ci dessous :
// prime the server with knowledge of the root servers //zone "." { // typehint; // file "/etc/bind/db.root"; //};
38
Le 25 novembre 2010
AFPA DE DUNKERQUE
par l'instruction "forwardonly", srvdmz se contente de transmettre les requtes dns aux serveurs mentionns par l'instruction "forwarders". G4- cration du fichier de zone directe sur srvdmz dans ce fichier nous aurons l' inscription de la dlgation de la zone intra.hermite2012.tk. srvlan, et les divers enregistrements "CNAME" ( Alias ) pour les divers services proposs sur srvfwl. root@srvdmz:/var/cache/bind# nano db.int.hermite2012.tk
; Fichier pour la resolution directe $TTL 86400 @ IN SOA srvdmz.hermite2012.tk. root.hermite2012.tk. ( 2010110409 1w 1d 4w
1w ) @ IN NS srvdmz.hermite2012.tk. intra IN NS srvlan.intra.hermite2012.tk. srvlan.intra.hermite2012.tk. IN A 192.168.3.1 @ IN MX 10 srvdmz.hermite2012.tk. srvdmz IN A 192.168.2.1 ftp IN CNAME srvdmz secu IN CNAME srvdmz www IN CNAME srvdmz sup IN CNAME srvdmz smtp IN CNAME srvdmz pop IN CNAME srvdmz
39
Le 25 novembre 2010
AFPA DE DUNKERQUE
G5- cration du fichier de zone inverse sur srvdmz root@srvdmz:/var/cache/bind# nano db.ext.hermite2012.tk
; Fichier de rsolution inverse $TTL 84600 @ IN SOA srvdmz.hermite2012.tk. root.hermite2012.tk. ( 2010110401 1w 1d 4w IN NS srvdmz.hermite2012.tk. IN PTR srvdmz.hermite2012.tk.
1w ) @ 1
G7- cacher l'existence des serveurs racines sur srvlan nous allons apporter galement quelques modifications root@srvlan:/etc/bind# nano named.conf.default-zones
// prime the server with knowledge of the root servers //zone "." { // typehint; // file "/etc/bind/db.root"; //};
40
Le 25 novembre 2010
AFPA DE DUNKERQUE
G8- configuration des options gnrales "forward" sur srvlan root@srvlan:/etc/bind# nanonamed.conf.options
options { directory "/var/cache/bind"; forward only; forwarders { 192.168.2.1 ;@IP de srvdmz }; auth-nxdomain no; # conform to RFC1035 allow-recursion { localnets; }; listen-on-v6 { any; }; };
/!\ Ne pas oublier de redmarrer le service DNS aprs chaque modification et d'effectuer les vrifications vues au chapitre prcdent.
G9 - Vrifications
Plaons nous sur l'un des clients de notre rseau local, ce sera clientxp1. testde ping sur srvdmz,
41
Le 25 novembre 2010
AFPA DE DUNKERQUE
Plaons nous sur clientubuntu2 pour vrifier la conformit de la dlgation de zone Essai pour la zone "intra.hermite2012.tk.", et pour la zone "hermite2012.tk." et google.fr". Zone intra.hermite2012.tk.
42
Le 25 novembre 2010
AFPA DE DUNKERQUE
Zone hermite2012.tk.
On voit bien par l que srvdmz, qui a autorit sur la "zone hermite2012.tk.", a bien dlgu l'autorit de la zone "intra.hermite2012.tk." srvlan. nos clients doivent maintenant tre en mesure de se connecter internet zone "google.fr"
43
Le 25 novembre 2010
AFPA DE DUNKERQUE
On voit bien que par dfaut, c'est srvlan qui rpond la requte mais que sa rponse ne fait pas autorit. suite logique, on doit pouvoir effectuer une requte ping sur un site extrieur partir d' un de nos clients.
Ouvrons maintenant un explorateur web sur clientxp1 afin de s' assurer que celui est bien en mesure d' accder internet.
44
Le 25 novembre 2010
AFPA DE DUNKERQUE
Test d'accs aux services " l'intranet " web, (voir les Alias dans le fichier de configuration " db.intra.hermite2012.tk sur srvlan. )
Un utilisateur local doit tre en mesure d' accder a son rpertoire "home" ( voir configuration de apache pour l' intranet.) Ici, nous avions cr un utilisateur "Max" qui doit pouvoir accder son rpertoire perso l'adresse http://www.intra.hermite2012.tk/~max Test d'accs aux servives web internes
45
Le 25 novembre 2010
AFPA DE DUNKERQUE
nous devons galement pouvoir accder au site internet http://www.hermite2012.tk partir de l'ip locale de srvdmz, car celui n'est pas encore accessible depuis l'extrieur. Tests d'accs au serveur web partir de son ip locale
46
Le 25 novembre 2010
AFPA DE DUNKERQUE
merci Julien pour ce prcieux document qu'il a mis la disposition des stagiaires tsrit2010.
47
Le 25 novembre 2010
AFPA DE DUNKERQUE
48
Le 25 novembre 2010
AFPA DE DUNKERQUE
L'accs en local aux ressources rseau est une bonne chose, mais il faut maintenant passer dans une optique d'entreprise possdant sa propre identit sur internet. Afin de proposer des services ses clients et ses employs, tels que site internet, ftp public, boite mail.... Tout d'abord nous allons nous crer un nom de domaine, aprs quelques recherches sur internet on apprend que l' le de tokelau comptant 1500 habitants s'est vue attribuer un domaine de premier niveau ( TLD) en ".tk" et qu' elle propose gratuitement des noms de domaines. Il est galement possible de les acqurir pour la modique somme de 10 /an Pourquoi ? Afin de promouvoir cette le travers le monde, et de contribuer aux revenus de l' le. Ces attributions de domaine couvrent 10 % des revenus de l 'le.
49
Le 25 novembre 2010
AFPA DE DUNKERQUE
notons les nombreuses les possibilits offertes par un domaine en ".tk" - possibilit de faire une redirection de domaine : exemple si vous avez un site de la forme "http://www.monsite.free.fr", vous pouvez le transformer en "www.monsite.tk" - possibilit d' utiliser leurs propres serveurs DNS vous n' aurez alors qu' indiquer vos enregistrements de type A, CNAME, MX.....directement sur la page de configuration de votre domaine - comme indiqu sur la capture ci dessus, et c'est ce qui nous intresse ici, utilisation de nos propres serveurs de noms. Pour la suite des vnements, nous allons, non seulement utiliser notre DNS, mais par souci de redondance, nous allons galement configurer un serveur secondaire, qui rpliquera la base de donne partir du serveur primaire, ainsi nous n'aurons qu' un seul serveur administrer. Les administrateurs du domaine ".tk" ne vous obligent pas avoir vos serveurs dns personnels en fonctionnement lors de leur enregistrement, nous allons donc les enregistrer tout de suite. rendez-vous sur votre espace personnel d'administration de votre domaine, - renseignez les champs @mail d'enregistrement et mot de passe - cliquez sur mes domaines - modifier un domaine - choississez le domaine modifier. - dans le menu droulant choisir utiliser autre service dns - indiquer la ou les IP de vos serveurs DNS personnels.
50
Le 25 novembre 2010
AFPA DE DUNKERQUE
Par souci de conformit avec les dnominations des serveurs de noms de l' internet j'ai choisi de nommer mon serveur primaire ns01.hermite2012.tk, et mon serveur secondaire ns02.hermite2012.tk.( Ceci n'est pas une obligation ) Les @IP indiques en vis a vis du nom du serveur correspondent aux @IP_publiquesde la pseudo entreprise "hermite2012.tk" Notons que le fournisseur d'accs internet pour les deux sites est free, nous reviendrons sur la configuration des "boxs" par la suite.
51
Le 25 novembre 2010
AFPA DE DUNKERQUE
srvfwl
ns01
88.169.218.210
VUE EXTERNE
192.168.3.0 /24
.1
dhcp
dhcp
clientxp1
clientubuntu2
VUE INTERNE
Notre serveur DNS ne rpondra pas de la mme faon suivant que les requtes proviennent de notre LAN, ou de l 'internet.
- La rsolution de noms sur intra.hermite2012.tk ne doit pas tre disponible depuis internet. - L' adresseip d' accs nos services doit tre publique si les requtes proviennent d'internet - L'adresse ip d'accs nos services doit tre prive si les requtes proviennent de notre LAN, ce afin de ne pas engendrer de trafic inutile sur notre liaison internet et de permettre aux
52
Le 25 novembre 2010
AFPA DE DUNKERQUE
clients de notre LAN, de pouvoir accder aux informations beaucoup plus rapidement et sans tre brid par les limitations de bande passante de notre FAI. - Les serveurs de noms accepteront uniquement les requtes rcursives en provenance de notre LAN. Leur rle n'est en aucun cas de servir de relais DNS pour quiconque se trouvant sur la toile.
- les requtes de transfert de zones ne seront admises uniquement par NS01.hermite2012.tk. que si elles proviennent de NS02.hermite2012.tk. Ceci tant pos, nous allons aborder le mcanisme du split DNS et des vues par contrle d'accs.
53
Le 25 novembre 2010
AFPA DE DUNKERQUE
I2- Dfinition des vues au nombre de deux : - vue interne pour notre rseau local -vue externe pour le reste du monde I3- Modification du fichier named.conf de bind9 sur srvdmz
// // // // // // //
This is the primary configuration file for the BIND DNS server named. Please read /usr/share/doc/bind9/README.Debian.gz for information on the structure of BIND configuration files in Debian, *BEFORE* you customize this configuration file. If you are just adding zones, please do that in /etc/bind/named.conf.local
//options //debut des options globales //--------------------------include "/etc/bind/named.conf.options"; //debut des vues //vue interne view "INTERNE" { match-clients { lans; }; allow-recursion { lans; }; include "/etc/bind/named.conf.default-zones"; include "/etc/bind/named.conf.local"; }; view "EXTERNE" { match-clients { any; }; allow-query { any; }; allow-transfer { ns02; }; allow-recursion {127.0.0.1; none; }; include "/etc/bind/named.conf.external"; };
54
Le 25 novembre 2010
AFPA DE DUNKERQUE
I4- Cration de nos fichiers de zones directe et inverse pour la vue externe root@srvdmz:/etc/bind# nanonamed.conf.external
// // Do any local configuration here // // Consider adding the 1918 zones here, if they are not used in your // organization //include "/etc/bind/zones.rfc1918"; zone "hermite2012.tk" IN { type master; file "db.ext.hermite2012.tk"; allow-update { none; }; }; zone "210.218.169.88.in-addr.arpa" IN { type master; file "rev.ext.hermite2012.tk"; allow-update { none; }; }; zone "25.33.234.78.in-addr.arpa" IN { type master; file "rev2.ext.hermite2012.tk"; allow-update { none; }; };
root@srvdmz:/var/cache/bind/# nanodb.ext.hermite2012.tk
; Fichier pour la rsolution directe $TTL 86400 @ IN SOA ns01.hermite2012.tk. root.hermite2012.tk. ( 2010112222 7201 ;refreshapres 2 heures 3600 ;retry aprs 1 heure 604800 ;expire aprs 1 semaine 86400 ) ;minimum TTL 1 jour @ IN NS ns01.hermite2012.tk. @ IN NS ns02.hermite2012.tk. @ IN MX 10 srvdmz.hermite2012.tk. srvdmz IN A 88.169.218.210 ns01 IN A 88.169.218.210 ns02.hermite2012.tk. IN A 78.234.33.25 ftp IN CNAME srvdmz secu IN CNAME srvdmz www IN CNAME srvdmz sup IN CNAME srvdmz smtp IN CNAME srvdmz pop IN CNAME srvdmz miniprojet IN CNAME srvdmz
55
Le 25 novembre 2010
AFPA DE DUNKERQUE
root@srvdmz:/var/cache/bind/# nanorev.ext.hermite2012.tk
; Fichier de rsolution inverse $TTL 84600 @ IN SOA ns01.hermite2012.tk. root.hermite2012.tk. ( 2010112222 1w 1d 4w IN NS ns01.hermite2012.tk. IN NS ns02.hermite2012.tk. IN PTR ns01.hermite210.tk.
1w ) @ @
210.218.169.88.in-addr.arpa.
root@srvdmz:/var/cache/bind/# nanorev2.ext.hermite2012.tk
; Fichier de rsolution inverse $TTL 84600 @ IN SOA ns01.hermite2012.tk. root.hermite2012.tk. ( 2010112222 1w 1d 4w IN NS ns01.hermite2012.tk. IN NS ns02.hermite2012.tk. IN PTR ns02.hermite2012.tk.
1w ) @ @
25.33.234.78.in-addr.arpa.
56
Le 25 novembre 2010
AFPA DE DUNKERQUE
//include "/etc/bind/named.conf.options"; //include "/etc/bind/named.conf.local"; //include "/etc/bind/named.conf.default-zones"; include "/etc/bind/named.conf.options"; view "EXTERNAL" { allow-query { any; }; allow-transfer { 88.169.218.210; }; match-clients { any; }; zone "hermite2012.tk" { type slave; masters { 88.169.218.210; } ; file "/var/cache/bind/db.ext.hermite2012.tk"; }; zone "210.218.169.88.in-addr.arpa" { type slave; masters { 88.169.218.210; } ; file "/var/cache/bind/rev.ext.hermite2012.tk"; }; zone "25.33.234.78.in-addr.arpa" { type slave; masters { 88.169.218.210; }; file "/var/cache/bind/rev2.ext.hermite2012.tk"; }; include "/etc/bind/named.conf.default-zones"; };
57
Le 25 novembre 2010
AFPA DE DUNKERQUE
root@ns02:/etc/bind# nanonamed.conf.options
options { directory "/var/cache/bind"; // If there is a firewall between you and nameservers you want // to talk to, you may need to fix the firewall to allow multiple // ports to talk. See http://www.kb.cert.org/vuls/id/800113 // If your ISP provided one or more IP addresses for stable // nameservers, you probably want to use them as forwarders. // Uncomment the following block, and insert the addresses replacing // the all-0's placeholder. allow-recursion { none; }; forward only; forwarders { 212.27.40.241; 212.27.40.240; }; auth-nxdomain no; # conform to RFC1035 listen-on-v6 { any; }; };
Nos serveurs de nom sont maintenant configurs, mais pas encore accessibles depuis internet.
58
Le 25 novembre 2010
AFPA DE DUNKERQUE
J - CONFIGURATION DES TRANSLATIONS D' ADRESSE J1 - Dfinir les redirections de ports sur les boxs et sur SRVFWL Nous ferons ici la dmonstration pour la box offrant l'accs internet notre rseau virtuel. La mme procdure doit tre mise en oeuvre sur la box hbergeant notre serveur dns secondaire ns02.hermite2012.tk. Notre fournisseur d'accs internet ( FAI ) est free nous allons donc nous rendre sur l'interface de gestion de notre freebox.
59
Le 25 novembre 2010
AFPA DE DUNKERQUE
60
Le 25 novembre 2010
AFPA DE DUNKERQUE
freebox
srvdmz
88.169.218.210
53
61
Le 25 novembre 2010
AFPA DE DUNKERQUE
Les services devant tre visibles de lextrieur, il faut rediriger les paquets vers la machine interne fournissant le service voulu Les requte DNS externes seffectuent en UDP sur le port 53. Le client qui demande la rsolution de noms pour www.hermite2012.tk le fera sur lIP publique: 88.169.218.210:53|udp Regardons la table de translation.
88.169.218.210:53|udp 192.168.0.10:53|udp
Ce nest pas suffisant, ce nest pas srvfwl qui fournit le service DNS, mais srvdmz, charge srvfwl de router les paquets sur le bon serveur. Pour cela nous allons allons utiliser des rgles simples iptables. Etape 1- Tous les paquets entrant dans srvfwl par lune de ses interfaces internes et destin lextrieur doit en ressortir par son interface relie au routeur freebox sur le rseau 192.168.0.0/24, le routeur freebox na pas connaissance du sous rseau 192.168.2.0/24.Il doit donc croire que le paquet provient de srvfwl. -A POSTROUTING -o eth0 -j MASQUERADE // eth0 tant linterface 192.168.0.10 Etape 2-Tous les paquets correspondant des requtes DNS 53|UDP ou des transferts de zones DNS 53|TCP doivent tre redirigs vers srvdmz -A PREROUTING -i eth0 -p udp -m udp -dport 53 -j DNAT --to-destination 192.168.2.1 -A PREROUTING -i eth0 -p tcp -m tcp -dport 53 -j DNAT --to-destination 192.168.2.1 Ainsi srvdmz, rpond de faon transparente aux clients internet, pour le client, tout se passe comme si cest 88.169.218.210 qui rpond ses requtes.
62
Le 25 novembre 2010
AFPA DE DUNKERQUE
on voit remarque que c'est l IP publique qui est fournie par les services DNS Ping sur www.hermite2012.tk. depuis le LAN
63
Le 25 novembre 2010
AFPA DE DUNKERQUE
64
Le 25 novembre 2010
AFPA DE DUNKERQUE
65