Mycélium FAI

Outils pour utilisateurs

Outils du site

Vous êtes ici : Bienvenue ! » documentation » Technique » dns » Serveur DNS primaire (bind9)
documentation:technique:dns:primaire

Table des matières

Serveur DNS primaire (bind9)

Ce service est mis en place sur Agaricus

Installation

L'installation et la configuration de base du serveur est gérée par le playbook Ansible configure_dns_primary.yml, qui correspond aux fichiers suivants :

  • /etc/bind/named.conf.options : les options générales de bind9 et la définition des ACL (notamment les adresses IP de Gitoyen)
  • /etc/bind/named.conf.local : la définition des zones servies par bind9

Le serveur est configuré pour ne servir que nos blocs d'IPs ainsi que notre nom de domaine. Il ne fait pas de récursion, c'est-à-dire des requêtes sur des domaines dont le serveur ne fait pas « autorité ». Enfin, le transfert est configuré zone par zone, afin d'autoriser ns1.gitoyen.net à servir notre zone.

Utilisation

La mise à jour des zones n'est pas gérée par Ansible. (à confirmer)

Mettre à jour une zone

Par exemple, on veut mettre à jour mycelium-fai.org :

  • se placer dans le dossier où se trouvent les zones : cd /etc/bind/master
  • ouvrir le fichier correspondant à la zone, ici : vim mycelium-fai.org
  • faire les modifications nécessaires, et bien terminer par mettre à jour le Serial (au format YYYYMMDDnn), puis quitter
  • vérifier que les modifications sont correctes et que le Serial est bien incrémenté : named-checkzone mycelium-fai.org mycelium-fai.org
  • recharger la zone en question : rndc reload mycelium-fai.org
  • commiter les changements effectués sur la zone : git commit -m “dns: mise à jour de…” mycelium-fai.org

Vérifications

  • Quel est le serveur DNS primaire pour mycelium-fai.org ?
$ dig SOA mycelium-fai.org +short
ns1.mycelium-fai.org. hostmaster.mycelium-fai.org. 2023072900 21600 3600 604800 3600
  • Tester la résolution inverse pour une IP : 
$ dig -x 80.67.162.64 +short
vpn.mycelium-fai.org.

Extraits de config

Domaine mycelium-fai.org

$ cat mycelium-fai.org 
;
; mycelium-fai.org
;
$TTL	7200
@	IN	SOA	ns1.mycelium-fai.org. hostmaster.mycelium-fai.org. (
		2023072900	; Serial (recommended format in RFC 1912: YYYYMMDDnn)
		6h		; Refresh
		1h		; Retry
		1w		; Expire
		1h )		; Negative caching TTL
;
; DNS
;
@	NS	ns1.mycelium-fai.org.
@	NS	ns1.gitoyen.net.
ns1	IN A	80.67.168.244
ns1	IN AAAA	2001:910:0:170::244
;
; Mail
;
@	IN MX	10 spool.mail.gandi.net.
@	IN MX	50 fb.mail.gandi.net.
;
; Web
;
@	IN A	194.213.30.12	; rohanne.cliss21.com
www	IN A	194.213.30.12
coin	IN A	194.213.30.12
;
; Listes
;
listes	IN A	194.213.30.234
listes	IN MX 	10 yam.cliss21.com.
listes	IN TXT 	"v=spf1 ip4:194.213.30.234 ~all"
_dmarc.listes	IN TXT	"v=DMARC1;p=none"
;
; Hotes et services
;
git	IN A	80.67.168.244	; agaricus
git	IN AAAA	2001:910:0:170::244
vpn	IN A	80.67.162.64	; russule
vpn	IN AAAA	2001:913:4000:1001::1
supervision	IN AAAA	2a01:e0a:831:5470:6e4b:90ff:fe71:38b2

Reverse DNS pour nos IPs

La config pour nos IPs est située dans :

  • /etc/bind/master/162.67.80.in-addr.arpa, pour IPv4
  • 0004.3190.1002.ip6.arpa, pour IPv6
;
; Reverse for 80.67.162.0/24
;
$TTL	7200
@	IN	SOA	ns1.mycelium-fai.org. hostmaster.mycelium-fai.org. (
		2024020700	; Serial (recommended format in RFC 1912: YYYYMMDDnn)
		6h		; Refresh
		1h		; Retry
		1w		; Expire
		1h )		; Negative caching TTL
;
; DNS
;
@	NS	ns1.mycelium-fai.org.
@	NS	ns1.gitoyen.net.
;
; Hotes et services
;
64	IN PTR	vpn.mycelium-fai.org.
; ... d'autres

A étudier

Champs DMARC pour nos listes mail ? (proposé par Cm) 

_dmarc.listes TXT   "v=DMARC1; p=none; ruf=dmarc@cliss21.com; fo=1;"

cliss21-sympa3._domainkey.listes    IN    TXT    ( "v=DKIM1; h=sha256; k=rsa; s=email; " "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAmqcFEaVR4bSGY2FlN61uVeHMyKIFnmqVJyWWe380sB+T0ExxDlF55NGBkS+AVPCTcl5bmJQimKriM2bkU+YKhIqFyxzJBfjIm/JvVcBktdPt9QlQLN5TdnvhuEuP91EYahuVQIBWamX/VhKj0Q8d7vx6HbRR4Fo2WWNp9Qr7URIEc5u/v01DGbkR4S0kw1L9frMO862Jx9L/pE"
"ens9nwfVqL+/2gQCgoTUUfp5NTo8aoxknF/IQekjOU+sGP9pNCYmYxTE9wkEIcoDijdpr1gq+Fek0jIw6QlWB5NynFqPnTihl6GzfbD++HSxpd8PRuu6pwM8ib2LVF2TFidZ/fxwIDAQAB" )

cliss21-yam._domainkey.listes    IN    TXT    ( "v=DKIM1; h=sha256; k=rsa; s=email; "
"p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAtgOujzaMHlkryhyBhSZB8qnU4W0AMrOXiE3d/Tyz/TOFVnuT3I6xaNNmaJsH1ZkdsDXH4gF6g8dTC1r20hKQktJ/W9Bjx2YqZpzme10ofq5ToJPve4cY/srvM+l0hdZvNpXOKDtsTDDfJOHEhWUledV5yCmaFhzgvXk/9TyYBHP2kv8vpoXw6/GehFZltP6WNkvEMW4P7Kwm0C"
"nWByQFPxVw4i9/hjrM9FBy+GMg7qYRHwxy5JI2CXfLTAX9ZBhYutkrRJjUfGA27iYddk5p2rsbElzH1LHhGRIHqK7eRCiWWD7Ffn7E9h2tHD7tI/P57IONqhR9+7dJ9VErZ9+9JQIDAQAB" )
documentation/technique/dns/primaire.txt · Dernière modification : 2024/02/19 12:40 de cacatoes
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki