Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1139 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [RESOLU][debian]Serveur DNS primaire, Serveur perso de type master

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[RESOLU][debian]Serveur DNS primaire, Serveur perso de type master

n°826458
djfrost
Posté le 11-07-2006 à 18:19:27  profilanswer
 

Bonjour,
 
J'ai quelques soucis avec mon prestataire de nom de domaine, et voulant trouver une solution rapidement, je me suis dit que si je transformais un PC en serveur DNS pour mon domaine, ce serais pas mal.
Mais j'ai comme un problème de configuration.
 
Description de l'installation:
 
 
http://dj.frost.free.fr/images/arch_lan.png
 
 
Serveur DNS: bind version 8.4.6
kernel: 2.6.17
 
Le serveur doit :
- être serveur DNS (master) pour le domaine mondomaine.net (via eth0);
- être serveur DNS et firewall pour le réseau eth1;
- être serveur DNS (master) pour le domaine mondomaineperso.homeip.net (via eth1).
 
Voici les fichiers de conf:
ouverture du port 53 avec iptables (le reste d'iptables: on ne laisse rien entrer via eth0 sauf les paquet marqués établis, ou "Related", toutes les trames ont le droit de sortir vers eth0 et activation du nat... enfin classique):
La config d'iptables à étée vérifiée avec sheild's up.

Code :
  1. #Serveur DNS
  2. iptables -A INPUT -p tcp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  3. iptables -A INPUT -p udp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


 
 
named.conf:

Code :
  1. options {
  2.  directory "/etc/bind";
  3.  query-source address * port 53;
  4.  forwarders {212.27.32.176; 212.27.32.177; 212.27.254.252;};
  5. //   auth-nxdomain no; # conform to RFC1035
  6.   allow-query { 192.168.1.0/24; 192.168.0.0/24; 127.0.0.1;};
  7.   allow-recursion { 192.168.1.0/24; 192.168.0.0/24; 127.0.0.1;};
  8.   listen-on { 192.168.1.253; 192.168.0.254; 127.0.0.1;};
  9. };
  10. // prime the server with knowledge of the root servers
  11. zone "." IN {
  12.  type hint;
  13.  file "db.root";
  14. };
  15. zone "mondomaineperso.homeip.net" IN {
  16.  type master;
  17.  file "db.mondomaineperso.homeip.net";
  18. };
  19. zone "mondomaine.net" IN {
  20.   type master;
  21.   file "db.mondomaine.net";
  22. };
  23. zone "0.0.127.in-addr.arpa" IN {
  24.  type master;
  25.  file "db.127";
  26. };
  27. zone "0.168.192.in-addr.arpa" IN {
  28.  type master;
  29.  file "db.192.168.0";
  30. };


 
 
db.mondomaineperso.homeip.net:

Code :
  1. $TTL 3D
  2. @      IN   SOA  www.mondomaineperso.homeip.net. postmaster.mondomaineperso.homeip.net. (
  3.        2006041101  ; Serial
  4.        7200     ; Refresh
  5.        1200     ; Retry
  6.        1209600  ; Expire
  7.        86400 )  ; Negative Cache TTL
  8. @     IN   NS   www.mondomaineperso.homeip.net.
  9.     A    192.168.0.254
  10. www    A    192.168.0.254


 
 
db.mondomaine.net:

Code :
  1. $TTL 3D
  2. @      IN   SOA  mondomaine.net. postmaster.mondomaine.net. (
  3.        2006070608  ; Serial
  4.        7200     ; Refresh
  5.        1200     ; Retry
  6.        1209600  ; Expire
  7.        86400 )  ; Negative Cache TTL
  8.    IN   NS  mondomaineperso.homeip.net.
  9.    IN   A    xxx.xxx.xxx.xxx   ; adresse du serveur web sur Internet
  10.    IN   TXT  "texte important"
  11. www   IN   CNAME   mondomaine.net.


 
En local et sur le réseau eth1, toute la configuration fonctionne correctement.
Par contre: lorsque un PC sur Internet tente de faire:

Code :
  1. dig mondomaine.net @ip_fixe_du_serveur_linux any
  2. ; <<>> DiG 9.3.2 <<>> mondomaine.net. @ip_fixe_du_serveur_linux any
  3. ; (1 server found)
  4. ;; global options:  printcmd
  5. ;; Got answer:
  6. ;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 3569
  7. ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
  8. ;; QUESTION SECTION:
  9. ;mondomaine.net.    IN   ANY
  10. ;; Query time: 86 msec
  11. ;; SERVER: xxx.xxx.xxx.xxx#53(xxx.xxx.xxx.xxx) Mon IP fixe
  12. ;; WHEN: Fri Jul  7 02:06:52 2006
  13. ;; MSG SIZE  rcvd: 35


La requête est refusée ??!!
 
Petit tour du côté du log:

Code :
  1. cat /var/log/syslog
  2. Jul  7 02:06:57 www named[3032]: denied query from [xxx.xxx.xxx.xxx].10004 for "mondomaine.net" ANY/IN


Je ne comprends pas du tout pourquoi ma requête est refusée.
 
Si vous pouvez m'éclairer, ce serais plus que cool. D'avance merci.
++


Message édité par djfrost le 12-07-2006 à 03:50:15
mood
Publicité
Posté le 11-07-2006 à 18:19:27  profilanswer
 

n°826464
HDSDI
Posté le 11-07-2006 à 18:54:51  profilanswer
 

J'aurais bien tenté de faire ce genre de un jour de manip, mais j'aurais jamais pensé que c'etait ... aussi compliqué :cry: ...
 
C'est qui ton "prestataire de nom de domaine" ? histoire de savoir si l'on pourait être ses victimes... C'etait un pb technique ?
 
Désolé de pouvoir d'aider.

n°826539
djfrost
Posté le 12-07-2006 à 01:17:27  profilanswer
 

HDSDI a écrit :

J'aurais bien tenté de faire ce genre de un jour de manip, mais j'aurais jamais pensé que c'etait ... aussi compliqué :cry: ...
 
C'est qui ton "prestataire de nom de domaine" ? histoire de savoir si l'on pourait être ses victimes... C'etait un pb technique ?
 
Désolé de pouvoir d'aider.


Mon problème, c'est que je souhaite configurer le champ TXT des entrées DNS ce qui n'est pas possible.
Je tais le nom de mon prestaire car je n'ai aucun soucis technique avec eux. Ils sont très efficace et très réactifs. Je ne souhaite pas balancer car une lecture trop rapide de mon message pourais être mauvais pour leur image.
Le conseil que je peut donner, c'est qu'il faut bien vérifier les services compris dans le prix avant de faire son choix.
 
Pour revenir à ta première phrase, ce n'est pas si compliqué (du moins en local...). Il faut avoir de petites connaissances en GNU/Linux, et savoir lire les tutoriels qui sont facilement trouvables sur le web.

n°826541
HDSDI
Posté le 12-07-2006 à 01:31:52  profilanswer
 

djfrost a écrit :

je n'ai aucun soucis technique avec eux. Ils sont très efficace et très réactifs


Ok. C'est juste que les problèmes de DNS, ça te fusille un site web notament quand ton serveur web répond, mais pas ton DNS; c'est le genre de truc qui est capital.
 

djfrost a écrit :

Pour revenir à ta première phrase, ce n'est pas si compliqué (du moins en local...). Il faut avoir de petites connaissances en GNU/Linux, et savoir lire les tutoriels qui sont facilement trouvables sur le web.


 
Ma philo, c'est de ne pas mettre en prod un serveur dont je ne maitrise pas la totalité des problèmes potentiels de sécurité. Et Iptables et bind sont le genre de services dont les erreurs coutent très chers en prod, notament par le nombre de methodes différentes pour arriver au même résultat...
 
Sinon,
Tu as de bonnes adresses pour aquerir cette science ? :D

n°826546
djfrost
Posté le 12-07-2006 à 03:49:56  profilanswer
 

HDSDI a écrit :

Ok. C'est juste que les problèmes de DNS, ça te fusille un site web notament quand ton serveur web répond, mais pas ton DNS; c'est le genre de truc qui est capital.


Correct ! C'est pour moi une solution temporaire... Car je cherche un prestataire qui me permetteras de configurer le champ TXT.
 

HDSDI a écrit :

Ma philo, c'est de ne pas mettre en prod un serveur dont je ne maitrise pas la totalité des problèmes potentiels de sécurité. Et Iptables et bind sont le genre de services dont les erreurs coutent très chers en prod, notament par le nombre de methodes différentes pour arriver au même résultat...
 
Sinon,
Tu as de bonnes adresses pour aquerir cette science ? :D


Il est clair que pour un site perso, les problèmes sont identiques mais ils ont une plus faible importance.
Pour un site d'une envergure plus importante, je déconseille largement la configuration "home made".
 
Au vu de ton message, je peut répondre non à ta question (j'imagine bien qu'il y a des tas de choses aux quelles je n'ai pas pensés).
Pour information, lorsque je souhaite configurer un service, j'utilise les documentations officielles. Je m'appuie aussi sur des exemples (ces derniers me donnent une idée de la configuration necessaire). Et lorsque je ne comprends pas un paramètre, google est mon ami.
 
Sinon, j'ai trouvé d'où viens le problème:
le paramètre "allow-query" n'inclue pas les IP venant d'internet ! Donc toutes les requètes sont refusées.

n°826604
HDSDI
Posté le 12-07-2006 à 12:36:13  profilanswer
 

Tu peut dire ou va ce paramètre dans ta config ?

n°826633
djfrost
Posté le 12-07-2006 à 15:00:06  profilanswer
 

Par raport aux fichiers de conf que j'ai posés sur ce forum, je le place dans le named.conf.
Mais comme ces derniers ont beaucoup changés, je le place à chaque ois dans la définition de zones.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [RESOLU][debian]Serveur DNS primaire, Serveur perso de type master

 

Sujets relatifs
[pgp]impossible d'envoye une cle ou une revocation au serveur de cle[resolu]choisir une partition pour installer open suse
[resolu] xinerama et config bi-ecran agp/pci pbArchitecture minimale pour distribution Debian embarquée.
Pb - Clé USB2 Corsaire - Linux DebianLinux Debian Comment identifier la version?
Serveur SUN COBALT RaQ 550 Toujours dans la course ?Debian : Sauvegardez sa config sur une autre machine
[Debian] Scripts phpdebian, configurer son wifi
Plus de sujets relatifs à : [RESOLU][debian]Serveur DNS primaire, Serveur perso de type master


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR