Formation Internedns: Bind

FORMATION INTERNEDNS : BIND
IIIGENERALITE BIND a. Hotirique b. Mode de fonctionnement du DNS c. Notion de nom de domaine pleinement qualifi d. Diffrents types de serveurs de nom IIIINSTALLATION a- Installation ct client b- Installation ct serveur IVCONFIGURATION A- named.conf Les differents types de dclaration Les inclusions Les dclarations de zone Les options Les listes de contrle d'accs A- Les fichiers de zone Les fichiers de zone direct Les directives de fichiers de zone Les enregistrements de ressources Les Les Les Les Les
enregistrements de enregistrements de enregistrements de enregistrements de enregistrements de
type type type type type
A CNAME MX NS SOA
Les fichiers de zone inv erse Principe de domaine invers
V-
Configuration d'un fichier de rsolution de noms invers Test
Parfait ANAGO OTI Juil 2006
1 /21

a- Arrt et dmarrage b- Host c- Dig d- Nslookup e- named-checkzone f- www.DNSreport.com g- www.dnsstuff.com VIVIIDlguation et sous domaine Remarques et suggestion
VIII- Exercices
2 /21
IX-
GENERALITE
LInternet est un espace de communication, sans frontire, o des millions dordinateurs sont connects. Les services les plus courants : - Le service Web - La messagerie lectronique Tout ordinateur qui est connect Internet est identifi par numro. Ce numro sappelle ladresse IP .exemple : 81.91.227.3 (ce numro est celui de lordinateur qui permet OTI de sortir sur Internet). Pour communiquer un programme doit connatre l'adresse IP de son interlocuteur. Mais les adresses IP ne sont pas faciles mmoriser. On a prfr nommer les machines. On a construit une base de donne, sur une machine principale pour associer un nom et une adresse IP. Ainsi cet ordinateur qui a ce numro (cette IP) 81.91.227.3 sappelle aussi oti-express. Quand je demande ma machine de contacter oti-express, elle demande cette machine principale qui contient la base de donne, ladresse IP de oti-express. Au dpart, cette base de donne se construisait dans le fichier C:\WINDOWS\system32\drivers\etc\hosts sous windows /etc/hosts sous linux Mais trs vite cette procdure sest rvle inefficace : inadapte grande chelle temps de diffusion des infos (par ftp !) systme centralis quelques centaines de machines dans les annes 70 plusieurs millions aujourd'hui correspondance statique ne contient que des infos rduites noms enregistrs sous le domaine arpa collision rapide de noms En 1985 le DNS (Domain Name System) est n : systme hirarchis et distribu modle en arborescence (similaire l'arborescence d'un systme de fichiers avec ses rpertoires) gestion dcentralise des bases de donne chaque site est matre de ses donnes informations complmentaires : relais de messagerie, ... correspondance dynamique
3 /21

limite les risques de collisions de noms
Pour mettre en uvre ce service, il existe plusieurs serveurs applications. X
BIND a. Hotirique Historique JEEVES implmentation par Paul Mockapetris d'un serveur DNS (1983) Depuis 1995 BIND. BIND est la rfrence de l'implmentation d'un serveur DNS.
Deux principales versions de BIND sont maintenues.

BIND 8 BIND 9 Pendant longtemps il existait une autre version : BIND version 4. Elle n'est plus maintenue et donc ne doit plus tre utilise.
BIND a connu de nombreuses alertes de scurit, tel point que certains acteurs utilisent d'autres logiciels.
Alternatives BIND

NSD PowerDNS MaraDNS djbDNS b. Mode de fonctionnement du DNS
Le systme de nom de domaine (DNS) est utilis pour faire correspondre des noms de domaine et des adresses IP afin de pouvoir localiser des htes sur des rseaux distants par le biais de nom ; plus facilement mmorisables qu'une adresse IP. Ce processus s'articule autour d'une relation client / serveur ou le client, nomm resolver effectue une requte auprs d'un serveur de nom. Lorsque l'utilisateur entre une adresse, http://www.otitelecom.bj par exemple, votre navigateur envoie une requte au Serveur de Domaine qui essaie de dterminer l'adresse IP correspondante. Si votre Serveur de domaine n'est pas l'autorit pour cette zone (pour ce domaine), il transmet la requte au domaine autorit, jusqu' ce qu'elle arrive au domaine indiqu (figure 1)
4 /21
Chaque serveur de domaine dispose de toutes les informations relatives la zone qu'il contrle ainsi que des informations de base sur les autres zones. Quand une requte est envoye en dehors de la zone d'autorit, le serveur sait au minimum o chercher. Cela signifie que la requte peut avoir transiter par plusieurs serveurs de domaine avant d'atteindre la destination finale. c. Notion de nom de domaine pleinement qualifi Le FQDN, ou Fully Qualified Domain Name d'un hte est son nom d'hte accompagn du nom de son domaine d'appartenance. Exemple: www.otitelecom.bj est le nom complet de l'hte www appartenant au domaine otitelecom.bj. d. Diffrents types de serveurs de nom Lorsqu'un hte client demande des infor mations au serveur de noms, il se connecte gnralement sur le port 53. Le serveur de noms tente alors de rsoudre le FQDN d'aprs les informations qu'il contient sur l'hte demand ou des donnes mise en cache suite une requte antrieure. Si le serveur de noms ne possde pas encore la rponse dans sa bibliothque de solutions, il se tourne vers d'autres serveurs de noms, appels serveurs de noms root (ou serveurs de noms racines), afin de
5 /21

dterminer les serveurs de noms faisant autorit pour le FQDN en question. Grce ces informations, il effectuera ensuite une requte auprs des serveurs de noms faisant autorit pour dterminer l'adresse IP de l'hte en question. l'exception du nom de domaine, chaque section s'appelle une zone et dfinit un espace de nom particulier. Un FQDN doit contenir au moins un sous-domaine mais peut en inclure beaucoup plus, selon l'organisation de l'espace de nom choisie. Les zones sont dfinies sur des serveurs de noms qui font autorit par l'intermdiaire de fichiers de zone qui sont stocks sur des serveurs de noms primaires (aussi appels serveurs de noms matres). Serveur maitre et esclave Les serveurs de noms primaires secondaires (ou serveurs de noms esclaves) quant eux reoivent leurs fichiers de zone des serveurs de noms primaires. Tout serveur de noms peut tre simultanment matre ou esclave pour diffrentes zones et peut aussi tre considr comme faisant autorit pour de multiples zones. Tout cela dpend de la configuration du serveur de noms. On distingue 4 types de serveur de noms : TYPE Master Slave Caching-only forwarding DESCRIPTION Conserve les enregistrements originaux et fait autorit pour un espace de noms. Reoit ses informations des serveurs matres Ne fait pas autorit, ce type de serveur sert juste de cache afin d'acclrer le temps de rponse Fait suivre des requtes une liste spcifique de serveur de noms
XI-
INSTALLATION
a- Installation ct serveur Paqauet installer : Sous dbian : root@dagbo:~# apt-get install bind9 sous FC : [root@ns2 named]# yum install bind b- Installation ct client La mise en uvre dun client dns est trivial et ne requiert lintallation daucun autre paquet. Tout se fait dans le fichier /etc/resolv.conf Parfait ANAGO OTI Juil 2006
6 /21
XII- CONFIGURATION Cte client, comme dit prcedemment, la configuration est triviale et est faite dans /etc/resolv.conf La syntaxe de ce fichier est la suite : Search <domaine> Nameserver <ip_serveur_dns> Exemple search otitelecom.bj nameserver 127.0.0.1 Ct serveur, Il y a trios fichiers principaux de configuration du bind : - named.conf - zone directe - zone inverse A- named.conf Ce fichier est compos d'une suite de dfinitions (ou statements) utilisant des options insres entre accolages qui vont nous permettre de dfinir les caractristiques de notre serveur. <dclaration> ["<dclaration-1-nom>"] [<dclaration-1-classe>] { <option-1>; ... <option-N>; }; Les differents types de dclaration Les inclusions L'un des problmes de scurit du service named est que le fichier /etc/named.conf est accessible en lecture par tous les utilisateurs. Les inclusions sont utilises afin de pouvoir stocker des informations critiques dans des fichiers spars et accs restreint puis de pouvoir les utiliser depuis named.conf. La syntaxe est la suivante :
include "<nom-fichier>"
include "/etc/rndc.key"
7 /21

Les dclarations de zone Ce type de dclaration permet de dfinir les caractristiques d'une zone :

L'emplacement de ses fichiers de configurations Les options spcifiques la zone
La syntaxe utiliser est la suivante :

zone <zone-nom> <zone-classe> { <zone-options>; [<zone-options>; ...] };
De nombreuses options peuvent tre spcifies pour ce type de dclaration :
Option Utilisation s allowquery Quels client sont autoriss obtenir des informations pour cette zone
allow- Quels serveurs esclaves sont autoriss demander un transfert des transfer informations de cette zone allow- Quels htes sont autoriss mettre jour dynamiquement les update informations de cette zone file Nom du fichier de configuration de la zone dans le rpertoire de travail
master Liste des IPs faisant autorit ou demander des informations sur la s zone Dfinit si le service envoie une notification aux serveurs esclaves lors d'une mise jour : notify

Yes : notification No : pas de notification Explicit : notification envers les serveur esclaves spcifis dans une liste also-notify l'intrireur d'une dclaration de zone
type
Dfinit le type de zone :

forward : retransmet toutes les requtes d'informations propos de cette zone vers d'autres serveurs de noms hint : un type spcial de zone utilis pour diriger des transactions vers les serveurs de noms racines qui rsolvent des requtes lorsqu'une zone n'est pas connue autrement. Aucune configuration au-del de la valeur par dfaut n'est ncessaire avec une zone hint.
8 /21
master : dsigne le serveur de noms faisant autorit pour cette zone. Une zone devrait tre configure comme de type master (matre) si les fichiers de configuration de la zone se trouvent sur le systme. slave : dsigne le serveur de noms comme serveur esclave pour cette zone. Cette option spcifie galement l'adresse IP du serveur de noms matre pour cette zone.
Configure named pour qu'il conserve des statistiques concernant zonecette zone en les crivant soit dans l'emplacement par dfaut statistic (/var/named/named.stats), soit dans le fichier spcifi dans l'option s statistics-file de la dclaration server. Illustrons cela avec deux exemples, le premier dans le cas d'un serveur matre et le second pour un serveur esclave
# Cas du serveur matre : zone "." { type hint; file "named.root"; }; zone "otitelecom.bj" IN { type master; file "otitelecom.bj"; allow-update { none; }; notify yes; allow-query { any; }; zone-statistics true; allow-transfer {10.81.91.0/24 ; 41.223.251.0/24 ; 81.91.225.18 ; }; # Cas du serveur esclave : zone "otitelecom.bj" { type slave; file "slaves/otitelecom.bj"; allow-update { none; }; notify yes; allow-query { any; }; zone-statistics true; allow-transfer {10.81.91.0/24 ; 41.223.251.0/24 ; 81.91.225.18 ; };
Nous avons ici dfinit notre serveur en tant que matre pour la zone otitelecom.bj Les options
9 /21

Ce type de dclaration fournit les options gnrales de configuration du serveur et tablit les valeurs par dfaut pour les autres dclarations
options { <option>; [<option>; ...] };
options allowquery
utilisation Dfinit les htes autoriss faire des requtes sur le serveur
allowDfinit les htes autoriss des faire des demandes rcursives recursion blackhole Dfinit les htes qui ne sont pas autoriss directory Dfinit le rpertoire de travail (/var/named par dfaut) Contrle le comportement de retransmission d'une directive forwarders. Les options suivantes sont acceptes :
forward
first : les serveurs de noms spcifis dans la directive forwarders sont interrogs avant que named ne tente de rsoudre le nom lui-mme. only : named ne doit pas tenter d'effectuer lui-mme une rsolution dans le cas o des demandes vers les serveurs spcifis dans la directive forwarders choueraient.
forwarder Dfinit les IPs des serveurs o doivent tre forwards les requtes s listen-on Spcifie l'interface rseau utiliser (toutes par dfaut) Dfinit si le service envoie une notification aux serveurs esclaves lors d'une mise jour : notify

yes : notification bo : pas de notification explicit : notification envers les serveur esclaves spcifis dans une liste also-notify l'intrireur d'une dclaration de zone
pid-file
Dfinit l'emplacement du fichier de PID cre par named
statistics- Dfinit l'emplacement du fichier de statistiques (par dfaut file /var/named/stats) Voici un exemple d'option :
options { directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt";
10 /21

allow-query { "oti_parc_info"; }; allow-recursion { "oti_parc_info"; };
Les listes de contrle d'accs Ce type de dclaration permet de dfinir des groupes d'htes. Le but est de dfinir ces groupes pour ensuite dans d'autres dclarations pouvoir les dsigner par le biais du nom de la liste. La syntaxe est la suivante :
acl <nom_de_la_liste> { <lment-correspondant>; [<lment-correspondant>; ...] };
Il est possible d'utiliser des mots cls tels que :

any : toutes les addresses IP localhost : toutes les IP utilises par le serveur localnets : tous les rseaux directement connects au serveur none : aucune IP
Afin d'illustrer cela, voici un exemple ou nous configurons 2 listes : acl "oti_parc_info" { 41.223.248.0/24; 41.223.249.0/24; 41.223.250.0/24; 41.223.251.0/24; 81.91.238.0/24; 10.91.81.0/24; 10.16.0.0/16; 10.0.255.0/24; 172.16.0.0/16; 81.91.227.3/32; 127.0.0.1/32; };
acl bad_network { 172.16.0.0/16 192.168.0.0/24; }; acl my_network { 192.168.1.0/24; }; options { blackhole { bad_network; }; allow-query { my_network; };
11 /21

} allow-recursion { my_network; };
Une fois la configuration du fichier /etc/named.conf, il nous faut prsent crer et dfinir les fichiers de zone. B- Les fichiers de zone Les fichiers de zone direct Un fichier de zone est un fichier contenant des informations sur une zone particulire et stock dans le rpertoire de travail de named. Le nom du fichier doit correspondre au nom dfinit dans l'option file de la dclaration insre dans named.conf. Ce type de fichier peut contenir 2 types d'informations :

Des directives : Ce sont des instructions pour l'excution de certaines taches ou de paramtres spciaux Des enregistrements de ressources : des dfinitions des paramtres de la zone et assignation des identits aux htes.
Les directives de fichiers de zone Pour insrer une directive ; de prfrence au dbut du fichier ; il convient d'utiliser le symbole $ suivi du nom de la directive. Les directives les plus courantes sont :
Directiv Utilisation e $INCLUD Utilis pour inclure un autre fichier de zone l'intrieur E $ORIGIN $TTL Attache le nom de domaine tout enregistrement non qualifi (ne finissant pas par un . ) Dure en seconde pendant laquelle les enregistrements seront valides
Les enregistrements de ressources De nombreux types d'enregistrements sont disponibles, voici les plus courants :
12 /21

Les enregistrements de type A Cet enregistrement est utilis pour associ un nom une IP Si l'hte n'est . pas spcifi, l'adresse sera utilis par dfaut pour le domaine.
Syntaxe : <hte> IN Exemple : anago A IN IN A A <adresse IP> 192.168.10.1 192.168.10.2
Les enregistrements de type CNAME L'enregistrement CNAME est un alias redirigeant vers un autre nom d'hte
Syntaxe : <alias> IN CNAME <nom>
Exemple :
anago serveur IN IN A 192.168.10.2 CNAME anago
weziza www
A 41.223.248.9 CNAME weziza
Les enregistrements de type MX Le but de ces enregistrements est de rediriger le courier destination de ce domaine vers un ou plusieurs serveurs de courriers par dfaut. N ote: Dans le cas de plusieurs serveurs de messagerie, le champ prfrence permet d'attribuer une priorit.
Syntaxe : IN MX <prfrence> <nom-serveur>
Exemple :
MX 10 otitelecom.bj. ns1.otitelecom.bj. IN ns1.otitelecom.bj. MX 10
N ote: Le '.' A la fin du nom est important car il indique que le nom spcifi est complet. Les enregistrements de type NS
13 /21

Cet enregistrement annonce les serveurs de noms faisant autorit pour une zone.
Syntaxe : IN NS Serveur
Exemple :
otitelecom.bj. otitelecom.bj. otitelecom.bj. IN NS IN NS IN NS ns1.intnet.bj. ns2.otitelecom.bj. oti-express.otitelecom.bj.
NS ns1.intnet.bj. NS ns2.otitelecom.bj. NS otiexpress.otitelecom.bj. Les enregistrements de type SOA Utilis pour indiquer les informations importantes au sujet de cet espace de nom, cet enregistrement est le premier insrer aprs les directives. La syntaxe est la suivante :
@ IN SOA <serveur-noms-primaire> <numro-srie> <temps-actualisation> <temps-nouvel essai> <temps-expiration> <TTL-minimum> ) <email> (
Expliquons prsent les diffrents champs prsent ici :
Le symbole @ place la directive $ORIGIN (ou le nom de zone, si la directive $ORIGIN n'est pas installe) en tant qu'espace de nom dfini par le prsent enregistrement de ressources SOA. <serveurs-noms-primaire> : le serveur faisant autorit <email> : l'adresse de la personne contacter propos de cet espace de noms <numro-srie> : incrment chaque changement du le fichier de zone afin que named sache qu'il doit recharger cette zone. Cela est utilise par le serveur esclave pour dterminer s'il est en train d'utiliser des donnes de zone primes et doit donc les rafrachir. <temps-actualisation> : indique tout serveur esclave combien de temps il doit attendre avant de demander au serveur de noms matre si des changements ont t effectus dans la zone. <temps-nouvel essai> : prcise au serveur de noms esclave l'intervalle pendant lequel il doit attendre avant d'mettre une autre
14 /21

requte de rafrachissement, au cas o le serveur de noms matre ne rpondrait pas. <temps-expiration> : temps maximum depuis une abscence de rponse du serveur matre avant que le serveur esclave ne cesse de rpondre en tant qu'autorit pour les requtes au sujet de cet espace de nom. <TTL-minimum> : demande que d'autres serveurs de noms placent en cache les informations pour cette zone pendant au moins cette dure (en secondes).
Toutes les dures sont exprimes en secondes, cependant les mots cls tels que M, H, D et W (semaine) fonctionnent. Voici prsent un exemple d'application :
$TTL 86400
IN
SOA
ns2.otitelecom.bj. panago.otitelecom.bj. (
2006082810 ; Serial 10800 ; Refresh 3600 ; Retry 1814400 ; Expire 86400 ) ; Minimum otitelecom.bj. otitelecom.bj. otitelecom.bj. otitelecom.bj. otitelecom.bj. reseau1.otitelecom.bj. broadcast1.otitelecom.bj. reseau2.otitelecom.bj. broadcast2.otitelecom.bj. ns1.otitelecom.bj. ns1.otitelecom.bj. weziza.otitelecom.bj. dagbo.otitelecom.bj. radserver.otitelecom.bj. oti-express.otitelecom.bj. ns2.otitelecom.bj. ehuzu.otitelecom.bj. oti-pop0.otitelecom.bj. smtp.otitelecom.bj. mail.otitelecom.bj. ftp.otitelecom.bj. webmail.otitelecom.bj. lists.otitelecom.bj. www.otitelecom.bj. www2.otitelecom.bj. IN NS IN NS IN NS ns1.intnet.bj. ns2.otitelecom.bj. oti-express.otitelecom.bj.
IN MX 10 ns1.otitelecom.bj. IN A 41.223.248.1 IN A 81.91.238.0 IN A 81.91.238.127 IN A 41.223.248.0 IN A 41.223.248.255 IN A 81.91.238.1 IN A 41.223.248.2 IN A 41.223.248.9 IN A 192.168.1.5 IN A 10.81.91.13 IN A 81.91.227.3 IN A 41.223.248.1 IN A 10.81.91.11 IN A 10.81.91.10 IN CNAME ns2.otitelecom.bj. IN CNAME ns1.otitelecom.bj. IN CNAME ns1.otitelecom.bj. IN CNAME ns1.otitelecom.bj. IN CNAME ns1.otitelecom.bj. IN CNAME weziza.otitelecom.bj. IN CNAME dagbo.otitelecom.bj.
15 /21

otitelecom.bj. IN TXT "v=spf1 mx a:ns1.otitelecom.bj a:ns2.otitelecom.bj a:oti-express.otitelecom.bj a:weziza.otitelecom.bj a:radserver.otitelecom.bj a:ehuzu.otitelecom.bj a:oti-pop0.otitelecom.bj mx:ns1.otitelecom.bj ip4:41.223.248.2 -all" ns2.otitelecom.bj. IN TXT "v=spf1 a -all"
A prsent que notre fichier de zone est prt, il nous faut nous occuper du fichier de zone inverse. Les fichiers de zone inv erse Principe de domaine invers
Le processus de rsoution invers permet la recherche d'un nom partir d'une IP. Le domaine "in-addr.arpa" a t cr pour cela. On l'appelle domaine inverse et la rsolution des adresses IP en noms de domaine se nomme table inverse (translation inverse). Le nom de domaine inverse est cr en inversant les nombres de l'adresse IP, et ajoutant in-addr.arpa la fin. Exemple : l'adresse IP de www.OTITELECOM;BJ est 41.223.248.9. Son nom de domaine invers est donc 9.248.223.41.in-addr.arpa Afin de comprendre le fonctionnement et la ncessit de ce nom invers, prenons un exemple concret : Votre serveur FTP accepte des requtes de divers clients. Cependant vous ne souhaitez n'accepter que des requtes provenant de domaines bien spcifiques, par exemple otitelecom.bj Lorsqu'un client se connecte chez vous, votre serveur peut vous dire quelle est l'adresse IP du client, puisque cette dernire se trouve dans tous les paquets qui traversent le rseau. L'adresse IP que le systme fournit au serveur FTP est 41.223.248.9. Pour retrouver le nom de cette machine, il nous faut trouver 9.248.223.41.in-addr .arpa. Le serveur de noms va donc d'abord trouver les serveurs . puis les serveurs arpa., puis in-addr .arpa., et poursuivre la recherche inverse par 41.inaddr.arpa., puis 223.41.in-addr .arpa. et finalement trouver le serveur pour la zone 248.223.41.in-addr.arpa.. in-addr.arpa a otitelecom.bj C'est ce dernier qui lui dira que pour 9.248.223.41.in-addr .arpa. nous avons un champ ``PTR www.otitelecom.bj.'', ce qui veut dire que le nom qui va avec 41.223.248.9 est www.otitelecom.bj. Notre serveur n'acceptant que certain domaines dont otitelecom.bj, la connexion sera donc autorise.
16 /21

S'il n'existait pas de rsolution inverse de 41.223.248.9 au traver de la s zone in-addr.arpa, le serveur aurait t tout fait incapable de trouver le nom et donc de filtrer en fonction du nom de domaine. De nombreux serveurs n'acceptent pas les connexions venant de machines dont ils ne peuvent retrouver le nom. C'est pourquoi la rsolution de noms inverse pour les machines est obligatoire. Configuration d'un fichier de rsolution de noms invers Le but de ce fichier va tre de fournir une rsolution inverse, donc un nom FQDN partir d'une adresse IP. Ce fichier est similaire au fichier de noms prcdents si ce n'est que les enregistrements sont de types PTR : Exemple :
$TTL @ 600 IN SOA ns2.otitelecom.bj. panago.otitelecom.bj. ( 2006082301 ; Serial 10800 ; Refresh 3600 ; Retry 1814400 ; Expire 600 ) ; Minimum IN NS IN NS IN NS 0 255 1 2 3 9 ns2.otitelecom.bj. ns1.intnet.bj. oti-express.otitelecom.bj.
IN PTR reseau2.otitelecom.bj. IN PTR broadcast2.otitelecom.bj. IN IN IN IN PTR PTR PTR PTR ns2.otitelecom.bj. ns1.otitelecom.bj. ns1.otitelecom.bj. www.otitelecom.bj.
XIII- Test a- Arrt et dmarrage Le service bind sarrte/dmarre comme tout service : /ets/init.d/bind9-named startr-restart-stop b- Host La commande host recherche la correspondance nom - adresse IP et vice versa : host -v 41.223.248.1 [root@ns2 ~]# host -v 41.223.248.1 Parfait ANAGO OTI Juil 2006
17 /21

Trying "1.248.223.41.in-addr .arpa" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7773 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 3 ;; QUESTION SECTION: ;1.248.223.41.in-addr .arpa. IN PTR PTR NS NS NS ns2.otitelecom.bj. otins1.intnet.bj. ns2.otitelecom.bj.
;; ANSWER SECTION: 1.248.223.41.in-addr .arpa. 600 IN ;; AUTHORITY SECTION: 248.223.41.in-addr.arpa. 600 express.otitelecom.bj. 248.223.41.in-addr.arpa. 600 248.223.41.in-addr.arpa. 600 IN IN IN
;; ADDITIONAL SECTION: ns1.intnet.bj. 61145 IN A 81.91.225.18 ns2.otitelecom.bj. 86400 IN A 41.223.248.1 oti-express.otitelecom.bj. 86400 IN A 81.91.227.3 Received 187 bytes from 127.0.0.1#53 in 0 ms [root@ns2 ~]# c- Dig Dig est un outil flexible pour le test et l'interrogation de serveur DNS. Il permet en particulier de construire toutes les formes de requtes et de visualiser l'ensemble des informations des rponses. D'autres commandes comme host et nslookup (dprci) peuvent fournir, entre de bonnes mains, le mme genre d'informations. Dig a l'avantage (ou l'inconvnient) de prsenter les informations sous une forme directement utilisable dans un fichier de configuration de Zone DNS. dig [ @server ] [ -b address ] [ -c class ] [ -f filename ] [ -k filename ] [ -p port# ] [ -t type ] [ -x addr ] [ -y name:key ] [ name ] [ type ] [ class ] [ queryopt... ] dig [ -h ] dig dig dig dig dig dig dig dig dig dig h otitelecom.bj www.otitelecom.bj @41.223.248.1 www.otitelecom.bj @41.223.248.1 www.otitelecom.bj +trace otitelecom.bj SOA +multiline @81.91.225.18 -x 41.223.249.1 @81.91.225.18 -x 41.223.249.1 +trace otitelecom.bj A +noall +answer
18 /21

dig dig dig dig @41.223.248.1 otitelecom.bj ALL @41.223.248.1 otitelecom.bj ANY -x 2001:660:3203:1000:2b0:d0ff:fe3a:2c83 @41.223.248.1 otitelecom.bj AXFR d- Nslookup Introduction nslookup Nslookup (Name System Look Up) est un outil permettant d'interroger un serveur de noms afin d'obtenir les informations concernant un domaine ou un hte et permet ainsi de diagnostiquer les ventuels problmes de configuration du DNS. Invoqu sans argument, la commande nslookup affiche le nom et l'adresse IP du serveur de noms primaire et affiche une invite de commande pour l'interrogation. Il suffit de taper le nom d'un domaine l'invite afin d'en afficher les caractristiques. Il est galement possible de demander les informations sur un hte en indiquant son nom la suite de la commande nslookup :
nslookup host.name
Par dfaut la commande nslookup interroge le serveur de noms primaire configur sur la machine. Il est toutefois possible d'interroger un serveur de noms spcifique en le spcifiant ve la suite de la commande prcd du signe "-" :
nslookup host.name -serveur.de.nom
Il est possible de modifier le mode d'interrogation de la commande nslookup grce la clause set :

set type=mx permet de recueillir les informations concernant le ou les serveurs de messagerie dun domaine. set type=ns permet de recueillir les informations concernant le serveur de noms associ au domaine set type=a permet de recueillir les informations concernant un hte du rseau. Il s'agit du mode d'interrogation par dfaut. set type=soa permet d'afficher les informations du champ SOA (Start Of Authority). set type=cname permet d'afficher les informations concernant les alias. set type=hinfo permet, lorsque ces donnes sont renseignes, d'afficher les informations concernant le matriel et le systme d'exploitation de l'hte.
Version du bind tournant sur un serveur.
19 /21

> set class=chaos > set q=txt > version.bind Server: 127.0.0.1 Address: 127.0.0.1#53 version.bind text = "9.2.4" > server karaba.borgou.net Default server: karaba.borgou.net Address: 217.194.149.131#53 > set class=chaos > set q=txt > version.bind Server: karaba.borgou.net Address: 217.194.149.131#53 VERSION.BIND text = "8.4.4-NOESW"
Pour sortir de la commande nslookup, il suffit de taper exit. e- named-checkzone syntaxe : named-checkzone <zone> <fichier> [root@ns2 ~]# named-checkzone otitelecom.bj /var/named/otitelecom .bj zone otitelecom.bj/IN: loaded serial 2006082810 OK [root@ns2 ~]# f- www.DNSreport.com g- www.dnsstuff.com XIV- Dlguation et sous domaine Pour des grands domaines, il peut tre utile de mettre en place plusieurs serveurs serveurs DNS, chacun grant sa zone correspondant son sousdomaine. Si le domaine otitelecom.bj veut dlguer la gestion des sous-domaines division1.otitelecom.bj, division2.otitelecom.bj...aux serveurs de noms ns.division1.otitelecom.bj (192.168.1.1) et ns.division2.otitelecom.bj (192.168.2.1), il faut que dans le fichier de zone de otitelecom.bj figurent les lignes suivantes : ;
20 /21

; Delegation des sous domaines division1.otitelecom.bj et division2.otitelecom.bj ; division1.otiteleco m.bj. division2.otiteleco m.bj. ns.division1.otitelecom.bj. ns.division2.otitelecom.bj. IN IN IN IN NS NS A A ns.division1.otitelecom.bj. ns.division2.otitelecom.bj. 192.168.1.1 192.168.2.1
Pour la rsolution inverse, il faut complter le fichier de rsolution inverse otitelecom.bj.rev comme suit : ; ; Delegation des sous domaines division1.otitelecom.bj et division2.otitelecom.bj ; 1.168.192.in-addr .arpa. 2.168.192.in-addr .arpa. XVIN IN NS NS n s.division1.otiteleco m.bj. n s.division2.otiteleco m.bj.
Remarques et suggestion
Concernant la syntaxe, il est important que chaque information soit

sur sa propre ligne.
Les commentaires doivent se situer en fin de lige aprs les caractres

; pour les fichiers de zones.
La liste suivante regroupe les balises (ou tags) de commentaire
valides utiliss dans named.conf: o // lorsque ce symbole est plac en dbut de ligne, cette dernire n'est pas prise en compte par named. o # lorsque ce symbole est plac en dbut de ligne, cette dernire n'est pas prise en compte par named. o /* et */ lorsque du texte est plac entre ces symboles, le bloc de texte en question n'est pas prise en compte par named. modification sinon les esclaves ne se mettront pas a jour.
Noublier jamais dincrmenter les numros de srie la suite de L'utilisation de la directive $ORIGIN n'est pas ncessaire si l'on nomme
la zone dans /etc/named.conf parce que le nom de la zone est utilis par dfaut, comme la valeur de la directive $ORIGIN recommand de placer la dclaration key dans un fichier spar que seul le super-utilisateur (ou root) peut lire et d'utiliser ensuite une dclaration include afin de le rfrencer, comme le montre l'exemple suivant:
Parce que /etc/named.conf ne requiert aucun privilge pour tre lu, il est
include "/etc/rndc.key";
21 /21
Si votre pare-feu cause des problmes en bloquant les connexions

depuis le programme named vers d'autres serveurs de noms, vous devrez peut-tre diter son fichier de configuration.
La version 9 de BIND utilise par dfaut des ports attribus au hasard
au-del de 1024, pour envoyer des requtes d'autres serveurs de noms. Toutefois certains pare-feu exigent que tous les serveurs de noms utilisent uniquement le port 53 pour communiquer. Il est possible de forcer named utiliser le port 53 en ajoutant la ligne suivante la dclaration. Cela en ajoutant la ligne suivante options de /etc/named.conf: query-source address * port 53;
$TTL
en rgle gnrale lors de modification d une ressource importante il faut abaisser cette valeur ( quelques minutes) ttl+refresh (spcifi dans le SOA) AVANT la modification pour que celle-ci se propage rapidement. : ipconfig /displaydns
Pour afficher le cache dns sous windows :

C:\Documents and Settings\parfait>ipconfig /displaydns Configuration IP de Windows webmail.otitelecom.bj ---------------------------------------Nom d'enregistrement. : webmail.otitelecom.bj Type d'enregistrement : 5 Dure de vie . . . . : 20683 Longueur de donnes . : 4 Section . . . . . . . : Rponse Enregistrement CNAME : ns1.otitelecom.bj www.echecs.com ---------------------------------------Nom d'enregistrement. : www.echecs.com Type d'enregistrement : 5 Dure de vie . . . . : 13346 Longueur de donnes . : 4 Section . . . . . . . : Rponse Enregistrement CNAME : echecs.com . .. www.freelsd.net ---------------------------------------Nom d'enregistrement. : www.freelsd.net Type d'enregistrement : 5 Dure de vie . . . . : 74812 Longueur de donnes . : 4 Section . . . . . . . : Rponse Enregistrement CNAME : solo.freelsd.net
22 /21

1.0.0.127.in-addr.arpa ---------------------------------------Nom d'enregistrement. : 1.0.0.127.in-addr.arpa. Type d'enregistrement : 12 Dure de vie . . . . : 422573 Longueur de donnes . : 4 Section . . . . . . . : Rponse Enregistrement PTR. . : localhost Section . . . . . . . : Rponse C:\Documents and Settings\parfait>
Pour vider le cache dns sous windows :

Ipconfig /flushdns C:\Documents and Settings\par fait>ipconfig /flushdns Configuration IP de Windows Cache de rsolution DNS vid . C:\Documents and Settings\par fait>
Une mme machine peut tre maitre pour x domaine(s) et tre

esclave pour un y domaine(s)
XVI- Exercices Soit les domaines suivant : Borgou.ben, zou.prpb, atacouradong.dah plateau.rb. a- Configurer au choix, lun dentre eux sur deux machines, lune maitre lautre esclave b- Configurer une machine comme dns de sous domaine du domaine prcdemment choisi. Le sous domaine sera une ville du domaine. Par exemple, parakou.borgou.ben c- Configurer votre serveur en sorte que toute machine hors de son rseau masque 29 ne puisse pas le prendre pour serveur dns de sorti sur internet. d- Configurer votre serveur apache et dns en sort que la requette www.google.fr tombe sur votre serveur web.
23 /21

Langue

Formation Internedns: Bind

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Formation Internedns: Bind

Titre original :

Transféré par

Droits d'auteur :

Formats disponibles

FORMATION INTERNEDNS : BIND

enregistrements de enregistrements de enregistrements de enregistrements de enregistrements de

type type type type type

Les fichiers de zone inv erse Principe de domaine invers

Configuration d'un fichier de rsolution de noms invers Test

Parfait ANAGO OTI Juil 2006