Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 15-01-2017 13:52:33

speedstream
Membre
Inscription : 21-08-2016

Questions sur Bind9 (DNS)

Bonjour à Tous (et meilleurs voeux)

J'ai, il y a peu, suivi ce tuto (https://debian-facile.org/:doc:reseau:serveur:bind9) pour installer Bind9 sur une Debian 8. Je n'ai d'ailleurs rencontré aucun souci et je remercie son auteur pour la qualité de son travail.
Bind9 a donc été installé sur mon serveur dans le LAN (ssh/samba et aussi dns) et j'ai naturellement modifié la config de ma machine principale pour utiliser mon serveur DNS.
Et tout fonctionne parfaitement.
Les autres machines de mon réseau utilisent la config par défaut qui vient de ma (Free)box. Elles n'utilisent donc pas mon DNS.

La semaine dernière, il y a eut des perturbations sur le réseau Free. Pendant près de 15 minutes, il n'y avait plus de réponse aux requêtes DNS vers les serveurs Free.
Toutes les machines ont été affectées... sauf ma machine principale qui utilisait mon serveur DNS. Passée la satisfaction de voir que mon serveur DNS me donnait une autonomie perdue par les autres machines, c'est surtout l'étonnement qui resta.

En effet, j'ai lu quelque part (impossible de me rappeler où) que bind9 ne créait pas de "table DNS" automatiquement enrichie au fil des requêtes et qu'il se contentait de pousser les requêtes DNS vers d'autres serveurs DNS. Ce n'est visiblement pas vrai puisque je n'ai pas ressenti l'interruption des DNS Free.

Pour preuve, durant cette interruption, j'ai lancé à partir de ma machine principale un navigateur vers un site inutilisé jusque là (donc en principe inconnu de mon DNS)
Et là, durant cette panne chez Free, j'ai eu un retour me disant que la page était inaccessible. Donc un dysfonctionnement "attendu" smile

Ma question est :
Cette table DNS remplie au fil des requêtes existe-t-elle, oui ou non ? Et où se trouve-t-elle ?

Merci pour vos réponses.

Edit :
Mis le lien vers le nouveau tuto.

Hors ligne

#2 15-01-2017 15:10:00

robert2a
Membre
Lieu : France
Distrib. : Stretch 9
Noyau : Linux 4.9.0-3 4.9.30-2
(G)UI : Mate
Inscription : 15-11-2014

Re : Questions sur Bind9 (DNS)

Bonjour
je suis pas top pour bind9 mais je l utilise , je dirai dans le cache de bind.
Tu a 2 fichiers qui se termine par .jnl (pour la zone et l inverse ) tes fichiers db.quelquechose.jnl et db.quelquechose.inv.jnl
ces fichiers ne sont pas lisible , tu dois avoir des logs qui te permettent de surveiller Bind9
aprés ou cela se trouve ça dépend de ton installation (chroot de bind ou pas )
dans tes fichiers de zones tu a donné des valeurs de temp pour : (c est juste un exemple )


$TTL
refresh (1 week)
retry (1 day)
expire (4 weeks)
minimum (1 week)
 


selon les durées ton serveur va garder en cache la résolution de nom que tu a fait avant le coupure du DNS externe.
pendant la coupure du DNS externe comme tu a l IP du site tu n a pas besoin de DNS externe , juste de ton DNS local


je suppose que tu parle de ce wiki , => https://debian-facile.org/atelier:chant … sur-wheezy
l autre est vide et en chantier => https://debian-facile.org/:doc:reseau:serveur:bind9 [Tuto installé dans le wiki - Lien rafraîchi]

il serait intéressant de mettre le premier dans le second vu que il n y a que wheezy a remplacer par jessie , la version de bind est de 9 dans les 2 cas
juste a apporter les modifications a partir des retours des utilisateurs .
ps a voir avec mon matou chocolaté préféré tongue wink  (il se reconnaitra )
pour moi ce chantier est un doublon smile

Dernière modification par robert2a (15-01-2017 15:30:52)

Hors ligne

#3 15-01-2017 15:45:11

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 3.16.0-4-amd64 - 3.16.39-1
(G)UI : gnome 1:3.14+3
Inscription : 21-10-2008

Re : Questions sur Bind9 (DNS)

Rrrrrrrrrowwww...

On va mater tout ça, merci.
... black_cat_2.gif

"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

En ligne

#4 15-01-2017 17:14:38

robert2a
Membre
Lieu : France
Distrib. : Stretch 9
Noyau : Linux 4.9.0-3 4.9.30-2
(G)UI : Mate
Inscription : 15-11-2014

Re : Questions sur Bind9 (DNS)

humm  pour répondre a speedstream , je parle des 2 fichiers de travail en .jnl mais pour le cache des résolutions de nom du DNS local j'ai pas la certitude que ce soit ceux la .
en fait je ne connais pas toute la structure de bind9 .
par contre c est a partir de ces .jnl que les deux fichiers db.domaine et db.xx.xx.xx.inv  seront mit a jour . (par exemple si dhcp met a jour bind )
donc surement a développer , je ne connais pas assez bien bind9

Hors ligne

#5 15-01-2017 20:35:47

raleur
Membre
Inscription : 03-10-2014

Re : Questions sur Bind9 (DNS)

speedstream a écrit :

j'ai lu quelque part (impossible de me rappeler où)


Ce n'est pas une grande perte.

speedstream a écrit :

que bind9 ne créait pas de "table DNS" automatiquement enrichie au fil des requêtes et qu'il se contentait de pousser les requêtes DNS vers d'autres serveurs DNS.


Bien sûr que si, BIND garde en cache les réponses aux requêtes tant qu'elles sont valides.

Pour le reste, ce n'est pas si simple. BIND peut obtenir une réponse de deux façons différentes :
- en transmettant la requête à un autre serveur DNS récursif (appelé "forwarder") qui va se charger de faire la résolution récursive
- ou en faisant la résolution récursive lui-même, c'est-à-dire en interrogeant un à un les différents serveurs DNS faisant autorité pour la racine, le TLD, le domaine, le sous-domaine,etc. jusqu'au nom de domaine final à chaque fois que l'information dont il a besoin n'est pas dans son cache.

Si la liste des "forwarders" est vide, alors BIND fait systématiquement la résolution récursive.
Sinon, il interroge chaque forwarder jusqu'à obtenir une réponse. Si aucun forwarder ne répond et s'il a l'option "forward first", alors il fait la résolution récursive lui-même. S il a l'option "forward only" , alors il s'arrête et la résolution échoue.

speedstream a écrit :

Pour preuve, durant cette interruption, j'ai lancé à partir de ma machine principale un navigateur vers un site inutilisé jusque là (donc en principe inconnu de mon DNS)
Et là, durant cette panne chez Free, j'ai eu un retour me disant que la page était inaccessible. Donc un dysfonctionnement "attendu"


Ce dysfonctionnement n'est attendu que si tu as défini les serveurs DNS de Free comme forwarders et l'option "forward only". Dans les autres cas, BIND aurait dû être capable de répondre à la requête en faisant la résolution récursive lui-même (mais pas forcément dans le temps alloué par le poste client, donc pas à la première tentative).

speedstream a écrit :

Cette table DNS remplie au fil des requêtes existe-t-elle, oui ou non ? Et où se trouve-t-elle ?


Dans la mémoire de BIND. On peut demander un dump dans un fichier avec la commande

rndc dumpdb -cache


mais si ma mémoire est bonne et si ça n'a pas changé, ce fichier ne peut pas être utilisé pour préremplir le cache de BIND au démarrage.

Hors ligne

#6 15-01-2017 21:46:01

speedstream
Membre
Inscription : 21-08-2016

Re : Questions sur Bind9 (DNS)

Je vois que mes questionnements font couler de l'encre. Et c'est tant mieux smile

@robert2a
J'ai cherché des .jnl
Je n'en ai trouvé qu'un avec un simple commentaire dedans

cat /var/cache/bind/managed-keys.bind.jnl
;BIND LOG V9


Je suppose que leur présence est liée à la configuration du serveur. DHCP ne met pas Bind à jour sur ma machine. C'est peut-être pour cela.

@raleur

La commande

rndc dumpdb -cache

ne donne rien sur ma machine. Il semble que rndc soit un paquet supplémentaire qui n'est pas installé sur mon serveur. Comme je ne sais pas ce qu'il fait, je vais plutôt me renseigner avant de faire des bêtises.

Merci pour vos réponses.

Dernière modification par speedstream (15-01-2017 21:46:53)

Hors ligne

#7 15-01-2017 21:54:04

robert2a
Membre
Lieu : France
Distrib. : Stretch 9
Noyau : Linux 4.9.0-3 4.9.30-2
(G)UI : Mate
Inscription : 15-11-2014

Re : Questions sur Bind9 (DNS)

si ça peut t'aider sous jessie la commande rndc fonctionne

par exemple


rndc status
 


retour


version: 9.9.5-9+deb8u9-Debian (version.bind/txt/ch disabled) <id:f9b8a50e>
CPUs found: 24
worker threads: 24
UDP listeners per interface: 24
number of zones: 7
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF
recursive clients: 0/0/1000
tcp clients: 0/100
server is up and running
 



a mon avis ta commande est pas bonne (voir avec rndc qui donne les commandes possible ) , teste rndc status , rndc fait partie de bind ou ton installation a un problème .


rndc
 



voila ce que me renvoie pour dumpdb (pas trouvé autre chose )


dumpdb [-all|-cache|-zones] [view ...]
    Dump cache(s) to the dump file (named_dump.db).
 

Dernière modification par robert2a (15-01-2017 22:06:56)

Hors ligne

#8 15-01-2017 22:09:56

raleur
Membre
Inscription : 03-10-2014

Re : Questions sur Bind9 (DNS)

robert2a a écrit :

je parle des 2 fichiers de travail en .jnl mais pour le cache des résolutions de nom du DNS local j'ai pas la certitude que ce soit ceux la


Non, les fichiers .jnl n'ont aucun rapport avec le cache. Si ma mémoire est bonne, ce sont les "journaux" (au sens de liste des modifications, comme dans un système de fichiers journalisé) des zones "dynamiques" modifiables par dhcpd par exemple.

Dernière modification par raleur (15-01-2017 22:10:44)

Hors ligne

#9 15-01-2017 22:15:23

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 3.16.0-4-amd64 - 3.16.39-1
(G)UI : gnome 1:3.14+3
Inscription : 21-10-2008

Re : Questions sur Bind9 (DNS)

Mis le lien vers ce post dans le tuto bind9 :
https://debian-facile.org/doc:reseau:serveur:bind9

... character0015.gif

"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

En ligne

#10 15-01-2017 22:20:38

speedstream
Membre
Inscription : 21-08-2016

Re : Questions sur Bind9 (DNS)

smolski a écrit :



Merci smile

Hors ligne

#11 15-01-2017 22:26:49

robert2a
Membre
Lieu : France
Distrib. : Stretch 9
Noyau : Linux 4.9.0-3 4.9.30-2
(G)UI : Mate
Inscription : 15-11-2014

Re : Questions sur Bind9 (DNS)

@raleur
oui j'ai repris mon premier post , me suis rendu compte  de ma bétise , comme j utilise dhcpd en mise a jour du DNS forcément ces fichiers se mettent a jour pour mes zones
ils ne sont pas lisible avec nano , plus genre binaire je pense

@smolski
demande a raleur si il veut regarder ton tuto vite fais ,  wink

@speedstream

tu dis merci a smolski et pas a moi , suis jaloux hmm
mes liens sont moins bien wink
=> []

Dernière modification par robert2a (15-01-2017 22:29:29)

Hors ligne

#12 16-01-2017 06:21:21

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 3.16.0-4-amd64 - 3.16.39-1
(G)UI : gnome 1:3.14+3
Inscription : 21-10-2008

Re : Questions sur Bind9 (DNS)

@robert2a Le prestige du chef des chocolats ! tongue

"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

En ligne

#13 16-01-2017 13:17:40

robert2a
Membre
Lieu : France
Distrib. : Stretch 9
Noyau : Linux 4.9.0-3 4.9.30-2
(G)UI : Mate
Inscription : 15-11-2014

Re : Questions sur Bind9 (DNS)

Bonjour
au sujet du tuto


Introduction au DNS
Quelques bases sur les servers DNS

DNS permet une correspondance entre nom d'hôte (FQDN) et adresse IP.
Principe de hiérarchie :

    serveur racine (serveur DNS de plus haut niveau (.)
    serveur TLD : Top Level Domaine (com org net fr …)
    Domaine (toto.fr)
    hôte (www)
    Par exemple www.toto.com.
    il peut y avoir des sous-domaines comme par exemple, www.domaine1.toto.com..

Le point après com est sous-entendu pour l'utilisation du côté client, mais pas dans la configuration du DNS.

Tout cela compose le FQDN (fool domaine name).
Exemple

Un client souhaite savoir à quel adresse IP correspond www.toto.com.
Dans l'ordi de ce client on a configuré un ou plusieurs DNS dans le fichier /etc/resolve.conf dans lequel est indiqué l'adresse IP de serveur local Bind comme server de référence.
Cet ordi a donc l'adresse IP d'un DNS est lui pose la question “donne moi l'IP de www.toto.com.

    Si le server sait répondre il lui donne l'IP,
    s'il ne sait pas il va interroger les serveurs DNS au dessus de lui, TLD, Racine…
    Quand il a l'adresse, il répond au client qui peut joindre l'ordi de toto.com

Vocabulaire

    Zone : Ensemble des directives correspondantes à un Domaine. À chaque zone correspond un fichier. (Une zone n'est pas forcément un domaine).
    DNS récursif : DNS capable d'interroger d'autres servers DNS, lorsqu'il ne parvient à trouver un serveur faisant autorité sur le nom de domaine recherché.
    Serveur “primaire” ou “maître” (d'une zone), en anglais serveur “authoritive”) : serveur qui a la configuration de sa zone grâce à un fichier. C'est le serveur principal d'une domaine.
    Serveur secondaire : serveur qui des informations sur une zone à partir d'un serveur primaire et non grâce à sa configuration.
    Faire autorité sur un domaine : C'est le fait pour un serveur DNS de répondre directement aux requêtes un domaine, sans passer par un autre serveur ou un cache. Le cache c'est le fichier dans lequel le serveur DNS récursif conserve l'information qu'il a obtenu d'un autre serveur à la suite d'une requête qui lui a été faite par un client.

Donc les serveur qui font autorité sur un domaine sont :

    soit des serveurs primaires,
    soit des serveurs secondaires s'ils ont une copie de ces informations.
 



ceci me pose problème


Le point après com est sous-entendu pour l'utilisation du côté client, mais pas dans la configuration du DNS.
 


je ne comprend pas ce que le rédacteur a voulu dire
il faut savoir que dans la configuration de bind il faut finir le nom de domaine par un point
exemple:


;
$TTL    604800
@       IN      SOA     debian-serveur.mondomaine.hyp. root.mondomaine.hyp. (
 


si quelqu un comprend le sens de cette phrase
ps: le reste me semble correct , sans rentrer trop dans le détail

Dernière modification par robert2a (16-01-2017 13:21:13)

Hors ligne

#14 16-01-2017 15:26:21

speedstream
Membre
Inscription : 21-08-2016

Re : Questions sur Bind9 (DNS)

Bonjour,

Le point après com est sous-entendu pour l'utilisation du côté client, mais pas dans la configuration du DNS.



Et bien si l'on regarde le domaine www.toto.com. , on constate qu'il a mis un point après toto.com et que dans le cas des domaines secondaires, il y en a deux.
Mais on n'a jamais vu un client configuré de la sorte lorsque l'on cite un domaine.

Je suppose que la phrase se rapporte à ce détail qui semble avoir une grande importance dans le cadre de la config du serveur DNS. Même s'il aurait été bien d'expliquer ce qui peut découler de cet oubli. Bon, je suis exigeant... wink

Si l'on va sur la page suivante https://fr.wikipedia.org/wiki/Fully_qua … omain_name, la première phrase que l'on trouve dit ceci en parlant du FQDN :

Dans le DNS, un fully qualified domain name (FQDN, ou nom de domaine complètement qualifié) est un nom de domaine qui révèle la position absolue d'un nœud dans l'arborescence DNS en indiquant tous les domaines de niveau supérieur jusqu'à la racine. On parle également de domaine absolu, par opposition aux domaines relatifs. Par convention, le FQDN est ponctué par un point final.



Le reste de la page semble d'ailleurs répondre à ta question, robert2a.
En gros, un FQDN comporte forcément un point final, à l'image de l'exemple www.toto.com.
Un FQDN est un domaine absolu qui comporte ce point, par opposition aux domaines relatifs qui n'en comportent pas.

Par ailleurs, et en restant positif, je n'ai pas relevé les fautes d'orthographes ou d'accords dans ce tuto. Mais il y a quand même une petite correction qui me semble importante à faire :
FQDN n'est pas (Fool domain name) qui signifie littéralement "Nom de domaine imbécile" big_smile
FQDN signifie Fully Qualified Domain Name  pour "Nom de domaine Pleinement Qualifié". Je suppose qu'il y a ici une part implicite administrative vis-à-vis de l'ICANN.

Tout cela pour dire que l'on peut avoir un serveur DNS qui gère son propre domaine dans le LAN et ne sera pas enregistré sur le Net. Il sera pleinement fonctionnel et forcément FQDN du point de vue technique mais pas forcément FQDN d'un point de vue administratif puisqu'il n'aura peut-être pas besoin de traiter les requêtes qui viennent du WAN (ou ne sera pas dans le WAN) et ne sera donc pas enregistré à l'ICANN.

Et pour ne léser personne, je remercie aussi robert2a... et raleur, bien entendu wink wink wink

Dernière modification par speedstream (16-01-2017 15:35:03)

Hors ligne

#15 16-01-2017 19:07:48

robert2a
Membre
Lieu : France
Distrib. : Stretch 9
Noyau : Linux 4.9.0-3 4.9.30-2
(G)UI : Mate
Inscription : 15-11-2014

Re : Questions sur Bind9 (DNS)

Bon ça confirme , je suis nul  neutral
dans mon cas je tape une adresse internet normalement "debian-facile.org" par exemple , mon DNS local (comme je suis souvent sur ce site tongue (l'info en cache )) va répondre avec l ip du dit site
donc coté client une adresse de type "debian-facile.org." c'est une erreur de frappe tongue  old_geek.gif

donc je touche pas a cette partie hmm

j'ai eu ceci => FQDN signifie Fully Qualified Domain Name  pour "Nom de domaine Pleinement Qualifié"  avec une IP fixe pour rendre un site disponible sur le net
que je n'ai plus , mais mon DNS debian est resté isolé sur son sous réseau avec ce domaine. (depuis la machine a été refaite avec un nom de domaine bidon toujours en local )
ps: il y a trés trés longtemps , j'ai eu un souci avec un dns sur win 2000 serveur et une connection internet , je me souvient du résultat hmm  faut pas jouer avec ça sad

merci pour la réponse

une autre question pour ça :
ma config


dnssec-enable no;
dnssec-validation no;
 



la valeur par défaut est "dnssec-validation auto" sur bind9 , ceci est utile pour nom de domaine FQDN
l' implémentation n'est pas complète sur tous les DNS , c'est une fonction de sécurité.
un complément d'information pour le tuto je pense que ce serait pas mal sur cette fonction

Dernière modification par robert2a (16-01-2017 19:09:42)

Hors ligne

Pied de page des forums