Le 25 novembre 2010

AFPA DE DUNKERQUE

VANLERBERGHE Nicolas

-- MINIPROJET --

CONFIGURATION DE DNS POUR UN RESEAU DE PETITE ENTREPRISE AVEC BIND9 SOUS UBUNTU LINUX 10.04 ''Lucid Lynx"

Le 25 novembre 2010

AFPA DE DUNKERQUE

INDEX
A - Historique du systme de noms de domaines B - Le systme de noms de domaines C - Le principe de DNS C1 - Domaines C2 - Dlgation d'autorit et zones C3 - Serveurs de noms de la racine C4 - La rsolution d noms C5 - Les serveurs cache C6 - La rsolution inverse D - Prsentation du modle rseau Schma du modle rseau Schma de principe VMWare E - Installation du DNS pour le rseau local E1 - Construction du fichier de zones E11 - Zone directe E12 - Zone inverse E13 - Changement de l' appartenance et du groupe des fichiers de zone E14 - Vrification du fichier HOSTS E15 - Modification du fichier resolv.conf E16 - Vreification de la conformit de configuration de BIND9 F - Installation du DHCP et du DNS ynamique sur SRVLAN F1 - Installation du serveur DHCP F2 - Vrifications G - Mise en oeuvre de DNS sur SRVDMZ, dlgation de zone SRVLAN et accs internet pour le LAN G1 - Nous allons cacher l'existence des serveurs racine SRVDMZ G2 - Cration des fichiers de zones sur srvdmz G3-configuration des options gnrales "forward" sur srvdmz G4- cration du fichier de zone directe sur srvdmz G5- cration du fichier de zone inverse sur srvdmz G6-vrification des fichiers hosts et resolv.conf G7- cacher l'existence des serveurs racines G8- configuration des options gnrales "forward" sur srvlan G9 - Vrifications H - ouverrture de l'entreprise vers l' extrieur

Le 25 novembre 2010

AFPA DE DUNKERQUE

I - Le mcanisme des vues split DNS et transfert de zones I1- Dfinition des ACL. I2 - Dfinition des vues I2- Modification du fichier named.conf de bind9 sur srvdmz I3- Cration de nos fichiers de zones directe et inverse pour la vue externe I4- installation et configuration de bind9 sur ns02.hermite2012.tk. J - Configuration des translations d' adresses J1 - Dfinir les redirections de ports sur les boxs et sur SRVFWL J2 - Vrifications

Le 25 novembre 2010

AFPA DE DUNKERQUE

A -Historique du systme de noms de domaine.

Durant les annes 70 ARPAnet est demeur une petite communaut de quelques centaines d'htes. La table de correspondances entres Htes et adresses tait entretenue par le "Network Information Consortium" ( NIC ) au "StanfordResearch Institute" (SRI )dans un fichier unique HOSTS.TXT.Ce fichier n'tait tlchargeable qu' partir d' une machine unique SRI-NIC. Les administrateurs ARPANET envoient leurs modifications par e-mail au NIC, et rcuprent priodiquement le dernier HOSTS.TXT par connexion ftp au SRI-NIC. Les mises jour du fichier HOSTS.TXT se font la cadence de l'ordre de une deux fois par semaine.La taille de HOSTS.TXT a augment proportionnellement l' arrive de nouveaux htes sur le rseau, et le trafic gnr, s'est envol, un nouvel hte entrainant non seulement, une nouvelle entre dans HOSTS.TXT, mais galement une nouvelle diffusion potentielle par SRI-NIC. Lors de l' volution du rseau ARPAnet vers l' utilisation de TCP/IP dvelopp par l 'universit de Berckeley, la taille des htes connects a explos, engendrant ainsi une sries de problmes dans l'utilisation de HOSTS.TXT
Le traffic et la charge.

Le cot en terme de charge du rseau et du processeur, est devenu bien trop lev.
Les conflits de noms.

Dans HOSTS.TXT deux htes ne pouvaient avoir le mme nom. Mme si le NIC garantissait l' unicit de l'attribution des adresses IP. Il ne pouvait en revanche empcher quelqu'un d'utiliser un nom d' hte dj prsent sur le rseau. Ainsi si un nouvel hte apparaissait sur le rseau avec par exemple un nom dj utilis par un serveur de messagerie, ceci engendrait une interruption du service dans la zone concerne.
Cohrence.

La gestion d' un fichier HOSTS.TXT statique dans un rseau en pleine expansion est devenue quasiment impossible. Le temps mis par le fichier HOSTS.TXT pour atteindre les htes en priphrie du rseau ne garantissait pas son exactitude. En effet, entre temps un nouvel hte a pu, soit faire son apparition, soit avoir chang son adresse, ou encore avoir disparu du rseau.

Le 25 novembre 2010

AFPA DE DUNKERQUE

Une rflexion a lors t lance par les autorits de ARPAnet avec les points de reflexion suivants : - Trouver un systme permettant de rsoudre les problmes engendrs par l' utilisation d' un systme central de descriptions d' htes0 - Donnes gres localement, mais accessibles globalement - Dcentralisation de la gestion pour liminer le goulot d'tranglement sur SRI-NIC - Gestion locale permettant ainsi d'avoir des informations plus facilement mises jour. - Espace de nom hirarchique garantissant l' unicit des noms. La conception hirarchique du nouveau systme fut alors confie PAUL MOCKAPETRIS en 1983, alors en poste l' Information Science Institutede l' USC. En 1984, il produisit les RFC 882 et 883 qui dcrivaient le systme de nom de domaine. Ces deux RFC furent ultrieurement remplaces par les RFC 1034 et 1035 toujours d'actualit. Les RFC 1034 et 1035, sont aujourd'hui compltes par d'autres RFC traitant de mise en uvre, de gestion de scurisation et de mises jours automatiques des serveurs de noms.

Le 25 novembre 2010

AFPA DE DUNKERQUE

B - Le systme de noms de domaines

"."

com

edu

gov

mil

Base de donnes du DNS

Le systme de noms de domaine est une base de donnes distribues, ceci permet un contrle local de la base de donnes globale, les donnes de chaque segment tant accessibles de partout par un mcanisme client serveur. Des duplications et des mmoires caches rglent les problmes de robustesse et de performance. La base de donnes du DNS est reprsente comme un arbre invers, avec le nud racine en haut, un nom unique identifie chaque noeud de l'arbre relativement son nud parent. Le nud racine est reprsent par un point unique ( " . " ). Chaque nud est aussi la racine d' un nouveau sous-arbre de l'arbre global. Chaque sous arbre, reprsente une partie de la base de donnes globale. Chaque domaine peut tre divis en sousdomaines. Les sous domaines sont reprsentes comme des enfants de leur domaine parent.

Le 25 novembre 2010

AFPA DE DUNKERQUE

Chaque domaine possde un nom unique, et indique sa position dans la base de donnes. Le nom de est la runion de tous les noms de noeud spars par un " . " en partant de la feuille jusqu' la racine de l'arbre invers.

"."

tk

hermite2012

intra

clientxp1

clientxp1.intra.hermite2012.tk.

Base de donnes du DNS

Le 25 novembre 2010

AFPA DE DUNKERQUE

Dans le DNS chaque domaine peut tre gr par un organisme diffrent, chaque organisme peut scinder son domaine en sous-domaines, et distribuer la responsabilit des sous domaines d'autres organismes

fr

tk

hermite2012

C' est VANLERBERGHE Nicolas un stagiaire de TSRIT l' AFPA de DUNKERQUE qui gre le hermite2012.tk. Dans le cadre de son miniprojet de fin d'apprentissage on lui a demand de prsenter DNS, il a donc enregistr son domaine gratuitement auprs de DOT.tk. Et a demand la dlgation de la gestion de son domaine en indiquant DOT.TK l'adresse IP et le nom des serveurs DNS de sa zone.

Cest Dot TK une filiale du gouvernement de Tokelau, son entreprise de communication Teletok et de Taloha Inc, une socit base San Francisco (USA) avec une filiale Amsterdam, aux Pays-Bas qui gre le .TK jusquen 2014. Il distribue actuellement gratuitement les noms de domaine en .TK.

Le 25 novembre 2010

AFPA DE DUNKERQUE

Un domaine peut contenir simultanment des htes, des sous domaines, des alias pointant vers des noms canoniques.

"."

tk

hermite2012

www

intra

www

clientxp1

srvlan

www

Dans l' exempleci dessus: - "intra" est un sous domaine de hemite2012.tk. - "www.intra" est un alias pointant vers "srvlan.intra" - clientxp1 et srvlan sont des noms d' htes.

Illustration en rouge : Nous voyons que nous ne pouvons pas avoir deux nuds possdant le mme nom au mme niveau, par analogie aux fichiers et dossier d' un systme d' exploitation, nous ne pouvons pas avoir deux fichiers portant le mme nom au sein d' un mme dossier. Par contre rien n' empche au sein d' un domaine partir du moment o les enregistrements de se situent pas au mme niveau de l'arborescence, d' avoir deux fois un mme nom : - www.hermite2012.tk. -www.intra.hermite2012.tk.

Le 25 novembre 2010

AFPA DE DUNKERQUE

C - Principes de DNS
C - 1 Domaines "."

tk noeudintra.hermite2012.tk. hermite2012 domainehermite2012.tk. domaineintra.hermite2012.tk.

intra

Un domaine est tout simplement un sous arbre de l' espace de nommage, le nom d'un domaine est le nom du noeud se situant au sommet de l'arbre. Ainsi le sommet du domaine hermite2012.tk. est le noeudhermite2012.tk . Tout nom du sous arbre est condidr comme faisant partie du domaine, ainsi le nom intra.hermite2012.tk. fait partie du domaine hermite2012.tk et fait galement partie intgrante du domaine .tk. Dans la figure ci dessus nous pouvons diffrencier les domaines par leur niveau, " tk " est un domaine de premier niveau " Top Level Domain " car enfant direct de la racine " . ", et hermite2012 est un domaine de second niveau car enfant du domaine " tk ".

10

Le 25 novembre 2010

AFPA DE DUNKERQUE

C - 2 Dlgation d'autorit et zones

"."

fr

tk

edu

gov

hermite2012

berckeley

intra

La distinction entre domaines et zones est pour le moins subtile et mrite que l'on s'y attarde un instant. Les domaines de niveau suprieur ainsi que de nombreux domaines de niveau infrieur sont diviss en units plus petites et plus faciles grer par dlgation d' autorit. On voit dans la figure ci dessus que le domaine ".tk" scind en zones : - La zone "tk" - La zone "hermite2012.tk", elle mme subdivise avec la zone "intra.hermite2012.tk" Il est normal que ce soit aux administrateurs de "hermite2012.tk" de grer leur propre base de donne et non ceux de la zone ".tk." de le faire. La base de donne de la zone ".tk." contiendra essentiellement les informations de dlgations des zones de niveau infrieur. exemple : - la zone ".tk" contiendra les noms et adresses des serveurs de noms de la zone "hermite2012.tk - la zone "hermite2012.tk" contiendra les informations concernant les serveurs de noms de sa zone, les informations de dlgation pour la zone " intra.hermite2012.tk.", les correspondances noms, adresses, services mail, pour sa propre zone... - la zone "intra.hermite2012.tk" quant elle contiendra une base de donne des htes de son rseau local et les directives indiquant qui retransmettre les requtes ne concernant pas la zone dont elle a autorit...

11

Le 25 novembre 2010

AFPA DE DUNKERQUE

C - 3 Serveurs de noms de la racine

Les serveurs de noms de la racine savent o se trouvent les serveurs de noms de chaque domaine de niveau suprieur (la plupart des serveurs de noms de la racine ont autorit sur les domaines de niveau suprieur).Lorsquils rpondent une requte quelconque les serveurs de la racine renvoient au minimum des informations concernant les serveurs de noms du domaine infrieur, quil faudra alors contacter pour poursuivre la rsolution de noms. En absence dinformations supplmentaires, un serveur DNS local qui effectuera une recherche pour un rsolveur, interrogera en premier lieu les serveurs de la racine. En effet, chaque serveur de noms a connaissance des adresses des serveurs de noms de la racine. Sil arrivait que tous les serveurs de la racine deviennent indisponibles pendant un grand laps de temps, plus aucune requte naboutirait et toute communication serait alors interrompue. Les serveurs de noms de la racine occupent une position centrale dans larchitecture d internet, ils peuvent recevoir plusieurs milliers de requtes la seconde, on voit par l quils sont soumis un trafic trs dense. La position stratgique centrale des serveurs de noms de la racine, les expose des attaques organises visant les inonder de requtes simultanes afin de les faire tomber en dni de service. Une attaque est survenue en 2002 sur les serveurs ROOT, 7 sur les 13 serveurs sont devenus inoprants aprs une attaque massive en deni de service. Une technique de duplication de serveurs a t mise en place. Le serveur logique F possde 46 rpliques toutes accessibles la mme adresse IP grace une technique de routage dite anycast, cest le rseau qui se chargera de router au mieux les demandes de rsolutions vers le serveur le plus appropri. Certains serveurs DNS racine sont en fait de grosses grappes de serveurs utilisant anycast. Les serveurs C, F, I, J, K et M sont parpills sur plusieurs continents et utilisent anycast pour fournir un service dcentralis. Du coup, la plupart des serveurs racine physiques sont en dehors des tats-Unis. La RFC 3258 dcrit comment anycast est utilis pour fournir un service DNS. Plusieurs ccTLD utilisent galement cette technique, comme le .fr [1]. Cette technique est aussi utilise sur le registre suisse qui gre le nom de domaine de premier niveau .

12

Le 25 novembre 2010

AFPA DE DUNKERQUE

C - 4 la rsolution de noms

. Requte www.hermite2012.tk. Renseignements sur les Serveurs de noms de tk Serveurs de noms de .

Requte www.hermite2012.tk.

Serveurs de noms de tk tk fr be

Renseignements sur les Serveurs de noms de Hermite2012.tk

Requte www.hermite2012.tk.

Serveurs de noms de hermite2012.tk DOT Hermite2012

Rponse Adresse de www.hermite2012.tk

RESOLVER

@SOA ns01.hermite2012.tk. root.hermite2012.tk. . Contenu .... omis .. IN NS ns01.hermite2012.tk. IN NS ns02.hermite2012.tk. IN MX srvdmz.hermite2012.tk. Srvdmz IN A 88.169.218.210 ns01 IN A 88.169.218.210 ns02 IN A 77.234.33.25 www IN CNAME srvdmz www ns01 ftp IN CNAME srvdmz

Processus de rsolution de l'adresse www.hermite2012.tk.

13

Le 25 novembre 2010

AFPA DE DUNKERQUE

Rsolution itrative manuelle de www.hermite2012.tk.

14

Le 25 novembre 2010

AFPA DE DUNKERQUE

a.root-servers.net

Serveurs de noms

B
2 1
3

root-c.taloha.tk

C
4

ns02.hermite2012.tk

A
7

?
1

www.hermite2012.tk. = 88.169.218.210 Resolver www.hermite2012.tk ?

Processus de rsolution sans cache

15

Le 25 novembre 2010

AFPA DE DUNKERQUE

C - 5 Les serveurs cache

La plupart des serveurs DNS jouent galement le rle de serveur cache, le serveur apprend beaucoup de ses prcdentes requtes. A chaque fois qu' il se rfre une nouvelle zone il apprend quels serveurs en ont autorit.Le serveur placera donc dans son cache toutes ses prcieuses informations qui lui serviront probablement pour une requte ultrieure.

CACHE
tk primary name-server ROOT-A.TALOHA.TK. nameserver = ROOT-A.taloaha.tk. nameserver = ROOT-B.taloha.tk. nameserver = ROOT-C.taloaha.tk. nameserver = ROOT-D.taloha.tk. internet address 217.119.57.22 hermite2012.tk primary nameserver NS01.HERMITE2012.TK. nameserver = NSO1.hermite2012.tk. internet address 88.169.218.210 nameserver = NS02.hermite20120.tk. internet address 77.237.33.25

A
7

ns01.hermite2012.tk

?
1

ftp.hermite2012.tk. = 88.169.218.210 Resolver ftp.hermite2012.tk ? Lors de sa prcdente recherche le serveur DNS A a appris, non seulement l' adresse correspondant www.hermite2012.tk. , mais galement de nombreuses autres informations prcieuses : La liste des serveurs ayant autorit sur la zone tk, et galement la liste des serveurs de noms ayant autorit sur la zone hermite2012.tk. Sachant que sa recherche porte sur la zone hermite2012.tk, il va directement aller interroger l' un des serveurs ayant autorit sur la zone, sa rsolution de noms se voit ainsi considrablement raccourcie.

16

Le 25 novembre 2010

AFPA DE DUNKERQUE

C -6 La rsolution inverse

. Adresse IP 88.169.218.210

arpa

in-address

88

169

218 210 Machine : ns01.hermite2012.tk. Domaine :210.218.169.88.in-address.arpa.

Etant donn quil est ais de retrouver une adresse lorsque lon dispose du nom, une section de lespace de nommage a t cre, cette zone utilise les adresses comme des noms. Dans la figure ci-dessus, nous voyons une adresse IP de 32 de bits reprsente par 4 nombres en dcimal point, allant de 0 255 spars par des points. Le domaine in-address .arpa. par exemple, peut contenir 256 sous domaines correspondants la valeur que peut prendre le premier octet dune adresse IP. Chacun de ses sous domaines peuvent eux mme contenir 256 sous domaines correspondantes aux valeurs de leurs octets respectifs, et ce, jusquau 4eme niveau o lenregistrement de ressource attach cette valeur fait correspondre le nom complet de l hte Ex : 210.218.169.88.in-addr.aprpa. PTR ns01.hermite2012.tk. Au final le domaine in-address.arpa. est suffisemment spacieux pour contenir toutes les addresses IPV4 existentes(soit 254^4 = 41 623 142 565 adresses..)

17

Le 25 novembre 2010

AFPA DE DUNKERQUE

D - Prsentation du modle rseau retenu Ce modle rseau est surtout un modle bas sur l'apprentissage et constitue un bon labo pour mettre en application bon nombre de services rseaux dont pourrait avoir besoin une petite entreprise. Ce labo a t ralis en virtualisant des serveurs linux Ubuntu 10.04 LTS, et des machines clientes Ubuntu desktop, et Windows XP Professionnel, afin de montrer que les services rseau offerts par ces serveurs ne se cantonnent pas l'environnement linux, mais sont galement disponibles pour les clients XP. La machine hte VmWare sur laquelle nous faisons tourner toutes les machines virtuelles du labo avec un grand confort de travail, est dote d' un processeur Intel Core I7 et dispose de 6 Go de mmoire Ram. Le systme d'exploitation embarqu est un windows 7 en version 64 bits, et nous avons dot cette machine d'un disque dur SSD de 30 Go dont l'unique rle est de recevoir les fichiers d' change ( SWAP).

18

Le 25 novembre 2010

AFPA DE DUNKERQUE

Schma du modle rseau

ns02 192.168.10.0 .10 .254 78.234.33.25 88.169.218.210 192.168.0.0 /24 .254 .10 srvfwl ns01

192.168.2.0 /24 .254 .254 .1

192.168.3.0 /24

.1

srvlan .254 192.168.4.0 /24

dhcp

dhcp

clientxp1

clientubuntu2

La premire chose prendre en considration, et mettre en oeuvre lorsque l' on monte un rseau est le service DNS, nous allons donc attribuer un rle bien particulier chacun de nos serveurs, leur donnant une position et un rle bien prcis au sein de l'arborescence de DNS. SRVLAN sera serveur DNS autoritaire pour la zone intra.hermite2012.tk. , la zone intra.hermite2012.tk. correspond au domaine interne de l' organisation. Sa base de donnes DNS sera constitue de deux types d'entres: - des entres statiques, entres manuellement par l'administrateur - des entres dynamiques apprises par le serveur DHCP ( SRVLAN Fait galement office de serveur DHCP ) La base de donne du domaine " intra.hermite2012.tk." ne doit tre disponible sur le rseau local, SRVLAN se verra donc dlguer l'autorit de cette zone par NS01. NS01 se trouve dans une zone sensible, car accessible aussi bien du rseau local, que de l' internet. Son rle est primordial du point de vue de la communication de l' organisation avec l'extrieur, site web, serveur ftp public.. et le plus importants serveur matre autoritaire pour la zone hermite2012.tk. Son rle n' tant pas de s'occuper de la base de donne DNS du rseau local, mais plus de la partie oriente vers l'extrieur, il va dlguer l' autorit de la zone intra.hermite2012.tk. SRVLAN.Il contiendra dans sa base de donnes des informations concernant les adresses de sites web, ftp, et du serveur secondaire pour la zone hermite2012.tk qui sera NS02 situ sur un autre site. NS01, sera configur avec le principe du split DNS, grce un mcanisme de vues, il ne fournira pas les mmes rponses que les requtes proviennent du rseau interne ou de l 'extrieur. NS02 par souci de redondance, sera le serveur secondaire pour la zone hemite2012.tk. il rpliquera sa base de donne partir de celle contenue par NS01
19

Le 25 novembre 2010

AFPA DE DUNKERQUE

srvdmz

Schma de principe VmWare

192.168.2.1

Vmnet2 - 192.168.2.0 /24 88.169.218.210 Vmnet1 (Bridge) srvfwl

192.168.0.10 192.168.0.254 192.168.0.2

192.168.2.254

Vmnet3 - 192.168.3.0 /24 srvlan

Vmnet4 - 192.168.4.0 /24

La connexion internet se fait via un routeur modem freebox, les reprsentations nommes Vmnetx sont des switchs virtuels de VMWare Workstation. SRVDMZ est dot de : 1 interface rseau eth1 relie VMNET 2 @IP=192.168.2.1. 1 sous interface eth1:0 @IP=192.168.2.11, elle fournira une adresse IP virtuelle pour apache en https. SRVFWL est dot de 3 interfaces rseau : 1 interface rseau eth0 bridge avec la carte rseau physique du systme Hte @IP=192.168.0.10. 1 interface rseau eth1 relie VMNET 2 @IP=192.168.2.254. 1 interface rseau eth2 relie VMNET 3 @IP=192.168.2.254. SRVLAN est dot de deux interfaces rseau : 1 interface rseau eth2 relie VMNET3 @IP=192.168.3.1. 1 interface rseau eth3 relie VMNET4 @IP=192.168.4.254. Les divers clients du LAN ont chacun une interface rseau relie VMNET4, sur le rseau 192.168.4.0/24.
20

Le 25 novembre 2010

AFPA DE DUNKERQUE

E - Configuration du DNS pour le rseau local

192.168.3.0 /24 .1 srvlan

DNS DHCP

.254 192.168.4.0 /24

dhcp

dhcp

clientxp1

clientubuntu2

root@srvlan:~# aptitude install bind9 root@srvlan:~# cd /etc/bind root@srvlan:/etc/bind# nanonamed.conf.local$

zone "intra.hermite2012.tk" IN { type master; file "db.intra.hermite2012.tk"; allow-update { 127.0.0.1; } ; on va autoriser les mises jour par dhcp }; zone "4.168.192.in-addr.arpa" IN { type master; file "rev.intra.hermite2012.tk"; allow-update { 127.0.0.1; } ; on va autoriser les mises jour par dhcp };

21

Le 25 novembre 2010

AFPA DE DUNKERQUE

E-1 Construction des fichiers de zone

E-1-1- Zone directe root@srvlan:/etc/bind# cd /var/cache/bind root@srvlan:/var/cache/bind# nano db.intra.hermite2012.tk

$TTL 86400 ; 1 day @ IN SOA srvlan.intra.hermite2012.tk. root.intra.hermite2012.tk. ( 2010111316 ; serial 604800 ; refresh (1 week) 86400 ; retry (1 day) 2419200 ; expire (4 weeks) 604800 ; minimum (1 week) ) @ IN NS srvlan.intra.hermite2012.tk. srvlan ftp www A CNAME CNAME 192.168.4.254 srvlan srvlan

E-1-2 Zone inverse root@srvlan:/var/cache/bind# nano rev.intra.hermite2012.tk

$ORIGIN . $TTL 86400 ; 1 day @ IN SOA srvlan.intra.hermite2012.tk. root.intra.hermite2012.tk. 2010111311 ; serial 604800 ; refresh (1 week) 86400 ; retry (1 day) 2419200 ; expire (4 weeks) 604800 ; minimum (1 week) ) @ IN NS srvlan.intra.hermite2012.tk. 254 PTR srvlan.intra.hermite2012.tk.

E-1-3- Changement de l' appartenance du groupe pour les fichiers de zone root@srvlan:/var/cache/bind# chgrp bind * root@srvlan:chmod 664 * root@srvlan:/var/cache/bind# ls -l
-rw-rw-r-- 1 bind bind -rw-rw-r-- 1 bind bind 406 2010-11-22 19:38 db.intra.hermite2012.tk 386 2010-11-22 19:42 rev.intra.hermite2012.tk

22

Le 25 novembre 2010

AFPA DE DUNKERQUE

E-1-4 vrification du fichier hosts root@srvlan:/var/cache/bind# nano /etc/hosts

127.0.0.1 192.168.4.254 localhost.localdomainlocalhost srvlan.intra.hermite2012.tk srvlan

# The following lines are desirable for IPv6 capable hosts ::1localhost ip6-localhost ip6-loopback fe00::0 ip6-localnet ff00::0 ip6-mcastprefix ff02::1 ip6-allnodes ff02::2 ip6-allrouters

E-1-5 modification du fichier resolv.conf root@srvlan:/var/cache/bind# nano /etc/resolv.conf

domain intra.hermite2012.tk search intra.hermite2012.tk

la directive "domain" fixele domaine courant d'appartenance de la machine . la directive "search" ajoute le domaine "intra.hermite2012.tk" toute demande de nom d'hte non pleinement qualifi. exemple: une recherche sur "machine-test" sera transforme en "machine-test.intra.hermite2012.tk." avant d'envoyer une requte au serveur dns. E1-6 Vrification de la conformit de la configuration de bind9 Pour ce faire nous allons utiliser l' utilitaire "named-checkconf"; qui vrifie par dfaut la configuration de "/etc/bind/named.conf" si la configuration est correcte, la commande ne retourne rien, en cas d' erreurs, la sortie est suffisamment explicite pour retrouver o l' erreur a t commise. root@srvlan:/var/cache/bind# named-checkconf root@srvlan:/var/cache/bind# La deuxime vrification consiste contrler la conformit de nos fichier de zones l'aide de l'utilitaire "named-checkzone" root@srvlan:/var/cache/bind# named-checkzone -d intra.hermite2012.tk db.intra.hermite2012.tk
loading "intra.hermite2012.tk" from "db.intra.hermite2012.tk" class "IN" zone intra.hermite2012.tk/IN: loaded serial 2010111316 OK
23

Le 25 novembre 2010

AFPA DE DUNKERQUE

root@srvlan:/var/cache/bind# named-checkzone -d 4.168.192.in-addr.arpa rev.intra.hermite2012.tk

loading "4.168.192.in-addr.arpa" from "rev.intra.hermite2012.tk" class "IN" zone 4.168.192.in-addr.arpa/IN: loaded serial 2010111311 OK

Nous allons maintenant vrifier le fichiers de log gnral dans une nouvelle console [Alt] [F2], root@srvlan:/var/cache/bind# tail -f /var/log/syslog la premire console [Alt] [F1] et redmarrage du service bind9 root@srvlan:/var/cache/bind#service bind9 restart
Nov 25 17:21:38 srvlannamed[3196]: starting BIND 9.7.0-P1 -u bind

Nov 25 17:21:38 srvlan named[3196]: built with '--prefix=/usr' '--mandir=/usr/share/man' '-infodir=/usr/share/info' '--sysconfdir=/etc/bind' '--localstatedir=/var' '--enable-threads' '--enable-largefile' '--withlibtool' '--enable-shared' '--enable-static' '--with-openssl=/usr' '--with-gssapi=/usr' '--with-gnu-ld' '--with-dlzpostgres=no' '--with-dlz-mysql=no' '--with-dlz-bdb=yes' '--with-dlz-filesystem=yes' '--with-dlz-ldap=yes' '--with-dlzstub=yes' '--with-geoip=/usr' '--enable-ipv6' 'CFLAGS=-fno-strict-aliasing -DDIG_SIGCHASE -O2' 'LDFLAGS=-Wl,Bsymbolic-functions' 'CPPFLAGS='
Nov 25 17:21:38 srvlannamed[3196]: adjusted limit on open files from 1024 to 1048576 Nov 25 17:21:38 srvlannamed[3196]: found 1 CPU, using 1 worker thread Nov 25 17:21:38 srvlannamed[3196]: using up to 4096 sockets Nov 25 17:21:38 srvlannamed[3196]: loading configuration from '/etc/bind/named.conf' Nov 25 17:21:38 srvlannamed[3196]: reading built-in trusted keys from file '/etc/bind/bind.keys' Nov 25 17:21:38 srvlannamed[3196]: using default UDP/IPv4 port range: [1024, 65535] Nov 25 17:21:38 srvlannamed[3196]: using default UDP/IPv6 port range: [1024, 65535] Nov 25 17:21:38 srvlannamed[3196]: listening on IPv6 interfaces, port 53 Nov 25 17:21:38 srvlannamed[3196]: listening on IPv4 interface lo, 127.0.0.1#53 Nov 25 17:21:38 srvlannamed[3196]: listening on IPv4 interface eth2, 192.168.3.1#53 Nov 25 17:21:38 srvlannamed[3196]: listening on IPv4 interface eth3, 192.168.4.254#53 Nov 25 17:21:38 srvlannamed[3196]: generating session key for dynamic DNS Nov 25 17:21:38 srvlannamed[3196]: automatic empty zone: 254.169.IN-ADDR.ARPA Nov 25 17:21:38 srvlannamed[3196]: automatic empty zone: 2.0.192.IN-ADDR.ARPA Nov 25 17:21:38 srvlannamed[3196]: automatic empty zone: 255.255.255.255.IN-ADDR.ARPA Nov 25 17:21:38 srvlannamed[3196]: automatic empty zone: 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA Nov 25 17:21:38 srvlannamed[3196]: automatic empty zone: 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA Nov 25 17:21:38 srvlannamed[3196]: automatic empty zone: D.F.IP6.ARPA Nov 25 17:21:38 srvlannamed[3196]: automatic empty zone: 8.E.F.IP6.ARPA Nov 25 17:21:38 srvlannamed[3196]: automatic empty zone: 9.E.F.IP6.ARPA Nov 25 17:21:38 srvlannamed[3196]: automatic empty zone: A.E.F.IP6.ARPA Nov 25 17:21:38 srvlannamed[3196]: automatic empty zone: B.E.F.IP6.ARPA Nov 25 17:21:38 srvlannamed[3196]: command channel listening on 127.0.0.1#953 Nov 25 17:21:38 srvlannamed[3196]: command channel listening on ::1#953 Nov 25 17:21:38 srvlannamed[3196]: zone 0.in-addr.arpa/IN: loaded serial 1 Nov 25 17:21:38 srvlannamed[3196]: zone 127.in-addr.arpa/IN: loaded serial 1 Nov 25 17:21:38 srvlannamed[3196]: zone 4.168.192.in-addr.arpa/IN: loaded serial 2010111311 Nov 25 17:21:38 srvlannamed[3196]: zone 255.in-addr.arpa/IN: loaded serial 1 Nov 25 17:21:38 srvlannamed[3196]: zone localhost/IN: loaded serial 2 Nov 25 17:21:38 srvlannamed[3196]: zone intra.hermite2012.tk/IN: loaded serial 2010111316 Nov 25 17:21:38 srvlannamed[3196]: running

24

Le 25 novembre 2010

AFPA DE DUNKERQUE

autre vrification possible en utilisant l' utilitaire "dnsutils" root@srvlan:~# aptitude installdnsutils root@srvlan:~# host -v srvlan.intra.hermite2012.tk
Trying "srvlan.intra.hermite2012.tk" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36780 ;; flags: qraardra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;srvlan.intra.hermite2012.tk.

IN

;; ANSWER SECTION: srvlan.intra.hermite2012.tk. 86400 IN ;; AUTHORITY SECTION: intra.hermite2012.tk.

192.168.4.254

86400

IN

NS

srvlan.intra.hermite2012.tk.

Received 75 bytes from 127.0.0.1#53 in 0 ms Trying "srvlan.intra.hermite2012.tk" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10674 ;; flags: qraardra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;srvlan.intra.hermite2012.tk.

IN

AAAA

;; AUTHORITY SECTION: intra.hermite2012.tk. 86400 IN 2010111316 604800 86400 2419200 604800

SOA

srvlan.intra.hermite2012.tk. root.intra.hermite2012.tk.

Received 86 bytes from 127.0.0.1#53 in 0 ms Trying "srvlan.intra.hermite2012.tk" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31643 ;; flags: qraardra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;srvlan.intra.hermite2012.tk.

IN

MX

;; AUTHORITY SECTION: intra.hermite2012.tk. 86400 IN 2010111316 604800 86400 2419200 604800

SOA

srvlan.intra.hermite2012.tk. root.intra.hermite2012.tk.

Received 86 bytes from 127.0.0.1#53 in 0 ms

25

Le 25 novembre 2010

AFPA DE DUNKERQUE

root@srvlan:~# dig SOA intra.hermite2012.tk

; <<>>DiG 9.7.0-P1 <<>> SOA intra.hermite2012.tk ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 43493 ;; flags: qraardra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1 ;; QUESTION SECTION: ;intra.hermite2012.tk.

IN

SOA

;; ANSWER SECTION: intra.hermite2012.tk. 86400 IN SOA srvlan.intra.hermite2012.tk. root.intra.hermite2012.tk. 2010111316 604800 86400 2419200 604800 ;; AUTHORITY SECTION: intra.hermite2012.tk.

86400

IN

NS

srvlan.intra.hermite2012.tk.

;; ADDITIONAL SECTION: srvlan.intra.hermite2012.tk. 86400 IN ;; ;; ;; ;; Query time: 0 msec SERVER: 127.0.0.1#53(127.0.0.1) WHEN: Fri Nov 26 08:36:24 2010 MSG SIZE rcvd: 116

192.168.4.254

Vrification de la rsolution interne root@srvlan:~# ping -c 4 srvlan

PING srvlan.intra.hermite2012.tk (127.0.1.1) 56(84) bytes of data. 64 bytes from srvlan.intra.hermite2012.tk (127.0.1.1): icmp_seq=1 ttl=64 64 bytes from srvlan.intra.hermite2012.tk (127.0.1.1): icmp_seq=2 ttl=64 64 bytes from srvlan.intra.hermite2012.tk (127.0.1.1): icmp_seq=3 ttl=64 64 bytes from srvlan.intra.hermite2012.tk (127.0.1.1): icmp_seq=4 ttl=64 --- srvlan.intra.hermite2012.tk ping statistics --4 packets transmitted, 4 received, 0% packet loss, time 2999ms rtt min/avg/max/mdev = 0.045/0.047/0.053/0.009 ms

time=0.045 time=0.047 time=0.046 time=0.053

ms ms ms ms

26

Le 25 novembre 2010

AFPA DE DUNKERQUE

F - Installation du DHCP et du DNS dynamique sur srvlan.

DHCP constitue la suite logique de la mise en service de notre rseau local, le but tant, pour l'administrateur rseau, de pouvoir s' affranchir de toute configuration IP fixe sur les machines clientes, en leur attribuant toutes les informations ncessaires leur connectivit au sein du rseau local. Le serveur DHCP, attribue l' IP de la machine cliente pour une dure dtermine appele bail, il leur fournit galement leurs DNS, l' adresse de la passerelle par dfaut, l'adresse du serveur de temps NTP etc... L' inconvnient majeur du DHCP, est qu'il engendre un trafic de broadcast proportionnel au nombre de machines qui sont prsentes sur le LAN. L'administrateur aura tout intrt prvoir cette charge de trafic au moment de la conception de son rseau, la charge maximale engendre se fera surtout sentir l' ouverturee des bureaux entre 8h et 9h au moment o les salaris allumeront leur quipement. F-1 Installation du serveur DHCP Cette installation se fera pour la carte rseau relie notre rseau local, (dans notre cas eth3). root@srvlan:~# aptitude install dhcp3-server sauvegarde des fichiers de configuration de base ( "ceinture et bretelle" ) root@srvlan:~#cp /etc/dhcp3/dhcpd.conf/etc/dhcp3/dhcp.conf.back Indiquer sur quelle interface doit couter le serveur dhcp root@srvlan:~# nano /etc/default/dhcp3-server
# Defaults for dhcpinitscript # sourced by /etc/init.d/dhcp # installed at /etc/default/dhcp3-server by the maintainer scripts # # This is a POSIX shell fragment # # On what interfaces should the DHCP server (dhcpd) serve DHCP requests? # Separate multiple interfaces with spaces, e.g. "eth0 eth1". INTERFACES="eth3"

27

Le 25 novembre 2010

AFPA DE DUNKERQUE

Nous allons maintenant modifier le fichier de configuration du serveur dhcp. root@srvlan:~#nano /etc/dhcp3/dhcpd.conf

# mthode dynamique pour la mise jour ddns-update-style interim; # autorisation des mises jour ddns-updates on; # lamise a jour est faite par le serveur dhcp ignore client-updates; # misea jour mme en cas d'IP statiques update-static-leases on; # autoriser les clients dont la mac est inconnue allow-unknow-clients; # indique quelle zone DNS mettre jour zone intra.hermite2012.tk. { primary 127.0.0.1; } zone 4.168.192.in-addr.arpa. { primary 127.0.0.1; } # option definitions common to all supported networks... option domain-name "intra.hermite2012.tk"; optiondomain-name-servers 192.168.4.254; # dure du bail par dfaut sans nouvelle demande du client default-lease-time 86400; # duremaximale du bail ( 1 week ) max-lease-time 604800; # If this DHCP server is the official DHCP server for the local # network, the authoritative directive should be uncommented. authoritative; # Use this to send dhcp log messages to a different log file (you also # have to hack syslog.conf to complete the redirection). log-facility local7; subnet 192.168.4.0 netmask 255.255.255.0 { # passerelle par dfaut "srvlan" optionrouters 192.168.4.254; # masque optionsubnet-mask 255.255.255.0; # etendue range 192.168.4.30 192.168.4.99; }

28

Le 25 novembre 2010

AFPA DE DUNKERQUE

sparation de des logs de dhcppour pouvoir suivre les vnements dhcp dans un fichier part de l'norme syslog, qui trace tout ce qui se passe sur votre machine. root@srvlan:~# echo "local7.* /var/log/dhcpd.log" >> "/etc/rsyslog.conf" ce qui a pour effet d'ajouter la ligne "local7.* /var/log/dhcpd.log" la fin du fichier
rsyslog.conf

nous allons maintenant pouvoir suivre uniquement les logs concernant le serveur grce au fichier
"dhcpd.log".

redmarrage du dmon syslog root@srvlan:~# service rsyslog restart

rsyslogstart/running, process 17884

nous allons ouvrir une nouvelle console [Alt] [F3] afin de pouvoir suivre les logs du serveur dhcp root@srvlan:~# tail -f /var/log/dhcpd.log
Nov Nov Nov Nov Nov Nov Nov Nov Nov Nov 22 25 25 25 25 25 25 25 25 25 19:27:27 15:49:20 15:49:20 15:49:20 15:49:20 15:49:20 15:49:20 15:49:20 15:49:20 15:49:20 srvlandhcpd: srvlandhcpd: srvlandhcpd: srvlandhcpd: srvlandhcpd: srvlandhcpd: srvlandhcpd: srvlandhcpd: srvlandhcpd: srvlandhcpd: Wrote 3 leases to leases file. Internet Systems Consortium DHCP Server V3.1.3 Copyright 2004-2009 Internet Systems Consortium. All rights reserved. For info, please visit https://www.isc.org/software/dhcp/ Internet Systems Consortium DHCP Server V3.1.3 Copyright 2004-2009 Internet Systems Consortium. All rights reserved. For info, please visit https://www.isc.org/software/dhcp/ Wrote 3 leases to leases file.

F-2 vrifications Dmarrage de la machine virtuelle clientxp1, de nouvelles lignes apparaissent dans notre fichier journal dhcpd.log

Nov 26 10:50:11 srvlandhcpd: DHCPDISCOVER from 00:0c:29:7d:64:86 (clientxp1) vi a eth3 Nov 26 10:50:12 srvlandhcpd: DHCPOFFER on 192.168.4.30 to 00:0c:29:7d:64:86 (cl ientxp1) via eth3 Nov 26 10:50:12 srvlandhcpd: DHCPREQUEST for 192.168.4.30 (192.168.4.254) from 00:0c:29:7d:64:86 (clientxp1) via eth3 Nov 26 10:50:12 srvlandhcpd: DHCPACK on 192.168.4.30 to 00:0c:29:7d:64:86 (clie ntxp1) via eth3

29

Le 25 novembre 2010

AFPA DE DUNKERQUE

Dmarrage de la machine virtuelle clientubuntu2, de nouvelles lignes apparaissent dans notre fichier journal dhcpd.log
Nov 26 10:56:42 srvlandhcpd: DHCPDISCOVER from 00:0c:29:7e:c6:5b via eth3 Nov 26 10:56:43 srvlandhcpd: DHCPOFFER on 192.168.4.31 to 00:0c:29:7e:c6:5b (clientubuntu2) via eth3 Nov 26 10:56:43 srvlandhcpd: Added new forward map from clientubuntu2.intra.hermite2012.tk to 192.168.4.31 Nov 26 10:56:43 srvlandhcpd: added reverse map from 31.4.168.192.in-addr.arpa. to clientubuntu2.intra.hermite2012.tk Nov 26 10:56:43 srvlandhcpd: DHCPREQUEST for 192.168.4.31 (192.168.4.254) from 00:0c:29:7e:c6:5b (clientubuntu2) via eth3 Nov 26 10:56:43 srvlandhcpd: DHCPACK on 192.168.4.31 to 00:0c:29:7e:c6:5b (clientubuntu2) via eth3

30

Le 25 novembre 2010

AFPA DE DUNKERQUE

testsde rsolution et de connectivit de clientxp1 clientubuntu2

31

Le 25 novembre 2010

AFPA DE DUNKERQUE

tests de rsolution et de connectivit de clientxp1 srvlan

tests de rsolution et de connectivit de clientubuntu2 clientxp1

32

Le 25 novembre 2010

AFPA DE DUNKERQUE

testsde rsolution et de connectivit de clientubuntu2 srvlan

testsde rsolution et de connectivit de srvlan clientxp1

33

Le 25 novembre 2010

AFPA DE DUNKERQUE

tests de rsolution et de connectivit de srvlan clientubuntu2

Comment se fait-il que clientxp1 et clientubuntu2 soient accessibles par leur nom alors que nous ne leur avons pas ajout d' enregistrement"IN A" et "PTR" dans les fichiers de configuration "db.intra.hermite2012.tk" et "rev.intra.hermite2012.tk" de bind9 ?? Simplement par le fait que nous ayons autoris le serveur dhcp mettre jour dynamiquement les entres dns de bind9 voyons cela de plus prs... sur srvlan root@srvlan:/var/cache/bind#ls -l

On peut remarquer l'apparition de deux nouveaux fichiers "*.jnl"dans le dossier contenant les configurations de zones de bind9.

34

Le 25 novembre 2010

AFPA DE DUNKERQUE

Regardons maintenant le contenu des fichiers de zones directe et inverse. Fichier de zone directe

A quoi peuvent bien servir ces enregistrements .TXT ? Ca sert au systme de mise jour ne pas craser un enregistrement ajout manuellement: Chaque fois qu'un nouvel enregistrement est ajout dynamiquement, on positionne une zone de texte du mme nom que l'enregistrement A. Quand la fois suivante, le systme de mise jour essaie de mettre jour l'enregistrement, il trouve un enregistrement A du mme nom. Si pour ce nom l il existe un enregistrement TXT, il effectue la mise jour. Dans le cas contraire, cela veut dire que l'enregistrement a t crit manuellement, et qu'il ne doit pas tre cras.

35

Le 25 novembre 2010

AFPA DE DUNKERQUE

Fichier de zone inverse

On remarque l' ajout de nouveaux enregistrements de type A pour toutes les machines du rseau local qui se sont vues attribuer une adresse ip dynamiquement par le serveur dhcp.

36

Le 25 novembre 2010

AFPA DE DUNKERQUE

G - Mise en oeuvre de DNS sur SRVDMZ, dlgation de zone et accs internet pour le LAN

Nous ne reviendrons pas sur l'installation de bind9, et sur les divers contrles effectuer pour vrifier son bon fonctionnement , nous allons uniquement prsenter les fichiers de configuration de srvdmz, et les modifications apporter sur srvlan. But de l' opration : un client du lan qui envoie une demande de rsolution rcursive srvlan, vera sa requte transmise srvdmz, qui son tour la transmettra aux DNS du FAI. Pourquoi ? Afin de ne pas surcharger le rseau par des requtes de rsolution de noms. Srvdmz, aurait trs bien pu enregistrer les requtes rcursives de srvlan, et son tour effectuer une recherche itrative afin de rsoudre la requte. Pour notre cas, ce sera pas le rle de srvdmz, Ainsi, les requtes de rsolution qui seront effectues par les resolvers de notre rseau local seront plus rapides car s'appuyant sur les serveurs dns du FAI qui possdent des dbits de connexion bien suprieurs au notre, et qui contiendra une bonne part des informations demandes dans son cache DNS. Dans cette conception du service DNS srvlan ne s'occupera que des requtes pour la zone intra.hermite2012.tk qui lui a t dlgue, et srvdmz des requtes pour la zone hermite2012.tk
srvfwl ns01

88.169.218.210

192.168.0.0 /24 .254 .10

192.168.2.0 /24 .254 .254 .1

192.168.3.0 /24

.1

srvlan .254 192.168.4.0 /24

dhcp

dhcp

clientxp1

clientubuntu2

sursrvdmz
37

Le 25 novembre 2010

AFPA DE DUNKERQUE

root@srvdmz:/etc/bind# cat named.conf

// // // // // // // This is the primary configuration file for the BIND DNS server named. Please read /usr/share/doc/bind9/README.Debian.gz for information on the structure of BIND configuration files in Debian, *BEFORE* you customize this configuration file. If you are just adding zones, please do that in /etc/bind/named.conf.local

include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; include "/etc/bind/named.conf.default-zones";

G1- nous allons cacher l'existence des serveurs racine srvdmz root@srvdmz:/etc/bind# nano named.conf.default-zones en commentant les lignes ci dessous :
// prime the server with knowledge of the root servers //zone "." { // typehint; // file "/etc/bind/db.root"; //};

G2- cration des fichiers de zones sur srvdmz root@srvdmz:/etc/bind# nanonamed.conf.local

// Les zones zone "hermite2012.tk" IN { type master; file "db.int.hermite2012.tk"; allow-update { none; }; }; zone "2.168.192.in-addr.arpa" IN { type master; file "rev.int.hermite2012.tk"; allow-update { none; } };

38

Le 25 novembre 2010

AFPA DE DUNKERQUE

G3-configuration des options gnrales "forward" sur srvdmz root@srvdmz:/etc/bind# nanonamed.conf.options

options { // Emplacement des zones si on ne spcifie pas le chemin absolu directory "/var/cache/bind"; forward only; forwarders { 212.27.40.240 ;DNS FAI 1 212.27.40.241 ;DNS FAI 2 }; auth-nxdomain yes; listen-on-v6 { any; }; };

par l'instruction "forwardonly", srvdmz se contente de transmettre les requtes dns aux serveurs mentionns par l'instruction "forwarders". G4- cration du fichier de zone directe sur srvdmz dans ce fichier nous aurons l' inscription de la dlgation de la zone intra.hermite2012.tk. srvlan, et les divers enregistrements "CNAME" ( Alias ) pour les divers services proposs sur srvfwl. root@srvdmz:/var/cache/bind# nano db.int.hermite2012.tk
; Fichier pour la resolution directe $TTL 86400 @ IN SOA srvdmz.hermite2012.tk. root.hermite2012.tk. ( 2010110409 1w 1d 4w

1w ) @ IN NS srvdmz.hermite2012.tk. intra IN NS srvlan.intra.hermite2012.tk. srvlan.intra.hermite2012.tk. IN A 192.168.3.1 @ IN MX 10 srvdmz.hermite2012.tk. srvdmz IN A 192.168.2.1 ftp IN CNAME srvdmz secu IN CNAME srvdmz www IN CNAME srvdmz sup IN CNAME srvdmz smtp IN CNAME srvdmz pop IN CNAME srvdmz

39

Le 25 novembre 2010

AFPA DE DUNKERQUE

G5- cration du fichier de zone inverse sur srvdmz root@srvdmz:/var/cache/bind# nano db.ext.hermite2012.tk
; Fichier de rsolution inverse $TTL 84600 @ IN SOA srvdmz.hermite2012.tk. root.hermite2012.tk. ( 2010110401 1w 1d 4w IN NS srvdmz.hermite2012.tk. IN PTR srvdmz.hermite2012.tk.

1w ) @ 1

G6-vrification des fichiers hosts et resolv.conf root@srvdmz:/var/cache/bind# nano /etc/hosts

127.0.0.1 localhost #127.0.1.1 192.168.2.1 srvdmz.hermite2012.tksrvdmz # The following lines are desirable for IPv6 capable hosts ::1localhost ip6-localhost ip6-loopback fe00::0 ip6-localnet ff00::0 ip6-mcastprefix ff02::1 ip6-allnodes ff02::2 ip6-allrouters

root@srvdmz:/var/cache/bind# nano /etc/resolv.conf

domain hermite2012.tk search hermite2012.tk nameserver 127.0.0.1

G7- cacher l'existence des serveurs racines sur srvlan nous allons apporter galement quelques modifications root@srvlan:/etc/bind# nano named.conf.default-zones
// prime the server with knowledge of the root servers //zone "." { // typehint; // file "/etc/bind/db.root"; //};

40

Le 25 novembre 2010

AFPA DE DUNKERQUE

G8- configuration des options gnrales "forward" sur srvlan root@srvlan:/etc/bind# nanonamed.conf.options
options { directory "/var/cache/bind"; forward only; forwarders { 192.168.2.1 ;@IP de srvdmz }; auth-nxdomain no; # conform to RFC1035 allow-recursion { localnets; }; listen-on-v6 { any; }; };

/!\ Ne pas oublier de redmarrer le service DNS aprs chaque modification et d'effectuer les vrifications vues au chapitre prcdent.
G9 - Vrifications

Plaons nous sur l'un des clients de notre rseau local, ce sera clientxp1. testde ping sur srvdmz,

41

Le 25 novembre 2010

AFPA DE DUNKERQUE

Demande de rsolution inverse pour srvdmz grce nslookup

Plaons nous sur clientubuntu2 pour vrifier la conformit de la dlgation de zone Essai pour la zone "intra.hermite2012.tk.", et pour la zone "hermite2012.tk." et google.fr". Zone intra.hermite2012.tk.

42

Le 25 novembre 2010

AFPA DE DUNKERQUE

Zone hermite2012.tk.

On voit bien par l que srvdmz, qui a autorit sur la "zone hermite2012.tk.", a bien dlgu l'autorit de la zone "intra.hermite2012.tk." srvlan. nos clients doivent maintenant tre en mesure de se connecter internet zone "google.fr"

43

Le 25 novembre 2010

AFPA DE DUNKERQUE

On voit bien que par dfaut, c'est srvlan qui rpond la requte mais que sa rponse ne fait pas autorit. suite logique, on doit pouvoir effectuer une requte ping sur un site extrieur partir d' un de nos clients.

Ouvrons maintenant un explorateur web sur clientxp1 afin de s' assurer que celui est bien en mesure d' accder internet.

44

Le 25 novembre 2010

AFPA DE DUNKERQUE

Test d'accs aux services " l'intranet " web, (voir les Alias dans le fichier de configuration " db.intra.hermite2012.tk sur srvlan. )

Un utilisateur local doit tre en mesure d' accder a son rpertoire "home" ( voir configuration de apache pour l' intranet.) Ici, nous avions cr un utilisateur "Max" qui doit pouvoir accder son rpertoire perso l'adresse http://www.intra.hermite2012.tk/~max Test d'accs aux servives web internes

45

Le 25 novembre 2010

AFPA DE DUNKERQUE

nous devons galement pouvoir accder au site internet http://www.hermite2012.tk partir de l'ip locale de srvdmz, car celui n'est pas encore accessible depuis l'extrieur. Tests d'accs au serveur web partir de son ip locale

46

Le 25 novembre 2010

AFPA DE DUNKERQUE

Ouvrons maintenant la page dans un navigateur pour voir de quoi il s'agit.

merci Julien pour ce prcieux document qu'il a mis la disposition des stagiaires tsrit2010.

47

Le 25 novembre 2010

AFPA DE DUNKERQUE

H - OUVERTURE DES SERVICES DE L' ENTREPRISE VERS L' EXTERIEUR

48

Le 25 novembre 2010

AFPA DE DUNKERQUE

L'accs en local aux ressources rseau est une bonne chose, mais il faut maintenant passer dans une optique d'entreprise possdant sa propre identit sur internet. Afin de proposer des services ses clients et ses employs, tels que site internet, ftp public, boite mail.... Tout d'abord nous allons nous crer un nom de domaine, aprs quelques recherches sur internet on apprend que l' le de tokelau comptant 1500 habitants s'est vue attribuer un domaine de premier niveau ( TLD) en ".tk" et qu' elle propose gratuitement des noms de domaines. Il est galement possible de les acqurir pour la modique somme de 10 /an Pourquoi ? Afin de promouvoir cette le travers le monde, et de contribuer aux revenus de l' le. Ces attributions de domaine couvrent 10 % des revenus de l 'le.

49

Le 25 novembre 2010

AFPA DE DUNKERQUE

notons les nombreuses les possibilits offertes par un domaine en ".tk" - possibilit de faire une redirection de domaine : exemple si vous avez un site de la forme "http://www.monsite.free.fr", vous pouvez le transformer en "www.monsite.tk" - possibilit d' utiliser leurs propres serveurs DNS vous n' aurez alors qu' indiquer vos enregistrements de type A, CNAME, MX.....directement sur la page de configuration de votre domaine - comme indiqu sur la capture ci dessus, et c'est ce qui nous intresse ici, utilisation de nos propres serveurs de noms. Pour la suite des vnements, nous allons, non seulement utiliser notre DNS, mais par souci de redondance, nous allons galement configurer un serveur secondaire, qui rpliquera la base de donne partir du serveur primaire, ainsi nous n'aurons qu' un seul serveur administrer. Les administrateurs du domaine ".tk" ne vous obligent pas avoir vos serveurs dns personnels en fonctionnement lors de leur enregistrement, nous allons donc les enregistrer tout de suite. rendez-vous sur votre espace personnel d'administration de votre domaine, - renseignez les champs @mail d'enregistrement et mot de passe - cliquez sur mes domaines - modifier un domaine - choississez le domaine modifier. - dans le menu droulant choisir utiliser autre service dns - indiquer la ou les IP de vos serveurs DNS personnels.

50

Le 25 novembre 2010

AFPA DE DUNKERQUE

Par souci de conformit avec les dnominations des serveurs de noms de l' internet j'ai choisi de nommer mon serveur primaire ns01.hermite2012.tk, et mon serveur secondaire ns02.hermite2012.tk.( Ceci n'est pas une obligation ) Les @IP indiques en vis a vis du nom du serveur correspondent aux @IP_publiquesde la pseudo entreprise "hermite2012.tk" Notons que le fournisseur d'accs internet pour les deux sites est free, nous reviendrons sur la configuration des "boxs" par la suite.

51

Le 25 novembre 2010

AFPA DE DUNKERQUE

I - LE MECANISME DES VUES, SPLIT DNS, ET TRANSFERT DE ZONES

srvfwl

ns01

88.169.218.210

192.168.0.0 /24 .254 .10

192.168.2.0 /24 .254 .254 .1

VUE EXTERNE

192.168.3.0 /24

.1

srvlan .254 192.168.4.0 /24

dhcp

dhcp

clientxp1

clientubuntu2

VUE INTERNE

Notre serveur DNS ne rpondra pas de la mme faon suivant que les requtes proviennent de notre LAN, ou de l 'internet.

- La rsolution de noms sur intra.hermite2012.tk ne doit pas tre disponible depuis internet. - L' adresseip d' accs nos services doit tre publique si les requtes proviennent d'internet - L'adresse ip d'accs nos services doit tre prive si les requtes proviennent de notre LAN, ce afin de ne pas engendrer de trafic inutile sur notre liaison internet et de permettre aux

52

Le 25 novembre 2010

AFPA DE DUNKERQUE

clients de notre LAN, de pouvoir accder aux informations beaucoup plus rapidement et sans tre brid par les limitations de bande passante de notre FAI. - Les serveurs de noms accepteront uniquement les requtes rcursives en provenance de notre LAN. Leur rle n'est en aucun cas de servir de relais DNS pour quiconque se trouvant sur la toile.

- les requtes de transfert de zones ne seront admises uniquement par NS01.hermite2012.tk. que si elles proviennent de NS02.hermite2012.tk. Ceci tant pos, nous allons aborder le mcanisme du split DNS et des vues par contrle d'accs.

I1- Dfinition des ACL.

au nombre de 2 : - nos lans 192.168.2.0/24 et 192.168.3.0/24

- l' adresseip publique de NS02 soit 78.234.33.25 root@srvdmz:/etc/bind# nano named.conf.options
options { // Emplacement des zones si on ne spcifie pas le chemin absolu directory "/var/cache/bind"; forward only; forwarders { 212.27.40.240; 212.27.40.241; }; auth-nxdomain yes; listen-on-v6 { any; }; }; acl lans { 192.168.2.0; 192.168.3.0; }; acl ns02 { 78.234.33.25; };

53

Le 25 novembre 2010

AFPA DE DUNKERQUE

I2- Dfinition des vues au nombre de deux : - vue interne pour notre rseau local -vue externe pour le reste du monde I3- Modification du fichier named.conf de bind9 sur srvdmz

// // // // // // //

This is the primary configuration file for the BIND DNS server named. Please read /usr/share/doc/bind9/README.Debian.gz for information on the structure of BIND configuration files in Debian, *BEFORE* you customize this configuration file. If you are just adding zones, please do that in /etc/bind/named.conf.local

//include "/etc/bind/named.conf.options"; //include "/etc/bind/named.conf.local"; //include "/etc/bind/named.conf.default-zones";

//options //debut des options globales //--------------------------include "/etc/bind/named.conf.options"; //debut des vues //vue interne view "INTERNE" { match-clients { lans; }; allow-recursion { lans; }; include "/etc/bind/named.conf.default-zones"; include "/etc/bind/named.conf.local"; }; view "EXTERNE" { match-clients { any; }; allow-query { any; }; allow-transfer { ns02; }; allow-recursion {127.0.0.1; none; }; include "/etc/bind/named.conf.external"; };

54

Le 25 novembre 2010

AFPA DE DUNKERQUE

I4- Cration de nos fichiers de zones directe et inverse pour la vue externe root@srvdmz:/etc/bind# nanonamed.conf.external

// // Do any local configuration here // // Consider adding the 1918 zones here, if they are not used in your // organization //include "/etc/bind/zones.rfc1918"; zone "hermite2012.tk" IN { type master; file "db.ext.hermite2012.tk"; allow-update { none; }; }; zone "210.218.169.88.in-addr.arpa" IN { type master; file "rev.ext.hermite2012.tk"; allow-update { none; }; }; zone "25.33.234.78.in-addr.arpa" IN { type master; file "rev2.ext.hermite2012.tk"; allow-update { none; }; };

root@srvdmz:/var/cache/bind/# nanodb.ext.hermite2012.tk
; Fichier pour la rsolution directe $TTL 86400 @ IN SOA ns01.hermite2012.tk. root.hermite2012.tk. ( 2010112222 7201 ;refreshapres 2 heures 3600 ;retry aprs 1 heure 604800 ;expire aprs 1 semaine 86400 ) ;minimum TTL 1 jour @ IN NS ns01.hermite2012.tk. @ IN NS ns02.hermite2012.tk. @ IN MX 10 srvdmz.hermite2012.tk. srvdmz IN A 88.169.218.210 ns01 IN A 88.169.218.210 ns02.hermite2012.tk. IN A 78.234.33.25 ftp IN CNAME srvdmz secu IN CNAME srvdmz www IN CNAME srvdmz sup IN CNAME srvdmz smtp IN CNAME srvdmz pop IN CNAME srvdmz miniprojet IN CNAME srvdmz
55

Le 25 novembre 2010

AFPA DE DUNKERQUE

root@srvdmz:/var/cache/bind/# nanorev.ext.hermite2012.tk
; Fichier de rsolution inverse $TTL 84600 @ IN SOA ns01.hermite2012.tk. root.hermite2012.tk. ( 2010112222 1w 1d 4w IN NS ns01.hermite2012.tk. IN NS ns02.hermite2012.tk. IN PTR ns01.hermite210.tk.

1w ) @ @

210.218.169.88.in-addr.arpa.

root@srvdmz:/var/cache/bind/# nanorev2.ext.hermite2012.tk

; Fichier de rsolution inverse $TTL 84600 @ IN SOA ns01.hermite2012.tk. root.hermite2012.tk. ( 2010112222 1w 1d 4w IN NS ns01.hermite2012.tk. IN NS ns02.hermite2012.tk. IN PTR ns02.hermite2012.tk.

1w ) @ @

25.33.234.78.in-addr.arpa.

56

Le 25 novembre 2010

AFPA DE DUNKERQUE

I5- installation et configuration de bind9 sur ns02 .hermite2012.tk. root@ns02:/etc/bind# nanonamed.conf

// // // // // // // This is the primary configuration file for the BIND DNS server named. Please read /usr/share/doc/bind9/README.Debian.gz for information on the structure of BIND configuration files in Debian, *BEFORE* you customize this configuration file. If you are just adding zones, please do that in /etc/bind/named.conf.local

//include "/etc/bind/named.conf.options"; //include "/etc/bind/named.conf.local"; //include "/etc/bind/named.conf.default-zones"; include "/etc/bind/named.conf.options"; view "EXTERNAL" { allow-query { any; }; allow-transfer { 88.169.218.210; }; match-clients { any; }; zone "hermite2012.tk" { type slave; masters { 88.169.218.210; } ; file "/var/cache/bind/db.ext.hermite2012.tk"; }; zone "210.218.169.88.in-addr.arpa" { type slave; masters { 88.169.218.210; } ; file "/var/cache/bind/rev.ext.hermite2012.tk"; }; zone "25.33.234.78.in-addr.arpa" { type slave; masters { 88.169.218.210; }; file "/var/cache/bind/rev2.ext.hermite2012.tk"; }; include "/etc/bind/named.conf.default-zones"; };

57

Le 25 novembre 2010

AFPA DE DUNKERQUE

root@ns02:/etc/bind# nanonamed.conf.options
options { directory "/var/cache/bind"; // If there is a firewall between you and nameservers you want // to talk to, you may need to fix the firewall to allow multiple // ports to talk. See http://www.kb.cert.org/vuls/id/800113 // If your ISP provided one or more IP addresses for stable // nameservers, you probably want to use them as forwarders. // Uncomment the following block, and insert the addresses replacing // the all-0's placeholder. allow-recursion { none; }; forward only; forwarders { 212.27.40.241; 212.27.40.240; }; auth-nxdomain no; # conform to RFC1035 listen-on-v6 { any; }; };

Nos serveurs de nom sont maintenant configurs, mais pas encore accessibles depuis internet.

58

Le 25 novembre 2010

AFPA DE DUNKERQUE

J - CONFIGURATION DES TRANSLATIONS D' ADRESSE J1 - Dfinir les redirections de ports sur les boxs et sur SRVFWL Nous ferons ici la dmonstration pour la box offrant l'accs internet notre rseau virtuel. La mme procdure doit tre mise en oeuvre sur la box hbergeant notre serveur dns secondaire ns02.hermite2012.tk. Notre fournisseur d'accs internet ( FAI ) est free nous allons donc nous rendre sur l'interface de gestion de notre freebox.

59

Le 25 novembre 2010

AFPA DE DUNKERQUE

60

Le 25 novembre 2010

AFPA DE DUNKERQUE

freebox

srvfwl 192.168.0.0 /24 .254 .10 192.168.2.0 /24 .254 .1

srvdmz

88.169.218.210
53

61

Le 25 novembre 2010

AFPA DE DUNKERQUE

Les services devant tre visibles de lextrieur, il faut rediriger les paquets vers la machine interne fournissant le service voulu Les requte DNS externes seffectuent en UDP sur le port 53. Le client qui demande la rsolution de noms pour www.hermite2012.tk le fera sur lIP publique: 88.169.218.210:53|udp Regardons la table de translation.
88.169.218.210:53|udp 192.168.0.10:53|udp

Ce nest pas suffisant, ce nest pas srvfwl qui fournit le service DNS, mais srvdmz, charge srvfwl de router les paquets sur le bon serveur. Pour cela nous allons allons utiliser des rgles simples iptables. Etape 1- Tous les paquets entrant dans srvfwl par lune de ses interfaces internes et destin lextrieur doit en ressortir par son interface relie au routeur freebox sur le rseau 192.168.0.0/24, le routeur freebox na pas connaissance du sous rseau 192.168.2.0/24.Il doit donc croire que le paquet provient de srvfwl. -A POSTROUTING -o eth0 -j MASQUERADE // eth0 tant linterface 192.168.0.10 Etape 2-Tous les paquets correspondant des requtes DNS 53|UDP ou des transferts de zones DNS 53|TCP doivent tre redirigs vers srvdmz -A PREROUTING -i eth0 -p udp -m udp -dport 53 -j DNAT --to-destination 192.168.2.1 -A PREROUTING -i eth0 -p tcp -m tcp -dport 53 -j DNAT --to-destination 192.168.2.1 Ainsi srvdmz, rpond de faon transparente aux clients internet, pour le client, tout se passe comme si cest 88.169.218.210 qui rpond ses requtes.
62

Le 25 novembre 2010

AFPA DE DUNKERQUE

J2 - Vrifications : Ping sur www.hermite2012.tk. depuis internet ou depuis la machine hte :

on voit remarque que c'est l IP publique qui est fournie par les services DNS Ping sur www.hermite2012.tk. depuis le LAN

essai de ping de www.hermite2012.tk. depuis le systme hte

63

Le 25 novembre 2010

AFPA DE DUNKERQUE

essai de ping sur www.hermite2012.tk. depuis clientubuntu2

essai de ping sur www.hermite2012.tk. depuis clientxp1

64

Le 25 novembre 2010

AFPA DE DUNKERQUE

Essai de connexion au serveur ftp public

65