configuration de bind9 en DNS externe ?

seb88130 · 15-03-2022 14:29:10

pour l option query source je pense que ca sert a accepter les requetes venant de l adresse que l on precisera, et pour listen on et listen on v6 cela sert a ecouter les demande de requete venant des adresse que l on aura préciser, je me trompe ? du coup j ai reconfigurer comme c été:

options {
directory "/var/cache/bind";

query-source address * port 53 {192.168.210.245
};

listen-on port 53 { 192.168.210.245; localhost; }

forwarders {
212.27.40.240;
212.27.40.241;
};

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };

allow-recursion { 192.168.210.245; };
};

raleur · 15-03-2022 14:49:54

seb88130 a écrit :

pour l option query source je pense que ca sert a accepter les requetes venant de l adresse que l on precisera

Pas du tout, cela concerne les requêtes sortantes.

seb88130 a écrit :

pour listen on et listen on v6 cela sert a ecouter les demande de requete venant des adresse que l on aura préciser

Pas vraiment, non.

Peux-tu poster les fragments de la documentation qui t'ont fait penser cela ?

seb88130 · 15-03-2022 15:05:01

j ai traduit en francais la parti concernant le named.conf.option

choix {
répertoire "/var/cache/bind" ;

// Port d'échange entre les serveurs DNS
adresse source de la requête * port * ;

// Transmettre les requêtes à 192.168.1.1 si
// ce serveur ne sait pas comment les résoudre
vers l'avant uniquement ;
transitaires { 192.168.1.1 ; } ;

auth-nxdomain non ; # conforme à la RFC1035

// À partir de 9.9.5 ARM, désactive l'analyse des interfaces pour empêcher les arrêts d'écoute indésirables
interface-intervalle 0 ;
// Écoute sur les interfaces locales uniquement (IPV4)
écoutez-sur-v6 { aucun ; } ;
écoute { 127.0.0.1; 192.168.0.1 ; } ;

// Ne pas transférer les informations de zone vers le DNS secondaire
autoriser-transfert { aucun ; } ;

// Accepte les requêtes pour le réseau interne uniquement
allow-query { internes ; } ;

// Autoriser les requêtes récursives aux hôtes locaux
allow-recursion { internes ; } ;

// Ne pas rendre la version publique de BIND
version aucune ;
} ;

raleur · 15-03-2022 15:09:52

seb88130 a écrit :

j ai traduit en francais

Franchement, il vaut mieux éviter, le résultat est incompréhensible.
Et ce que tu as posté n'est pas une documentation mais un exemple de fichier d'options.

Dernière modification par raleur (15-03-2022 15:11:44)

seb88130 · 15-03-2022 15:10:58

je crois que la traduction me mène en erreur plus autre chose

seb88130 · 15-03-2022 15:12:11

oui mais pas evidant quand on comprend pas l anglais, oui mais il ya des commentaire qui explique

Dernière modification par seb88130 (15-03-2022 15:13:17)

raleur · 15-03-2022 15:13:28

Prends plutôt la documentation officielle en anglais (Administrator Reference Manual - ARM).

Dernière modification par raleur (15-03-2022 15:14:00)

seb88130 · 15-03-2022 15:17:54

je trouve ca où ? et tu ne pourrai pas m expliquer vite fait a quoi corresponde chaque ligne des option vite fait et apres je me debrouille par moi meme pour configurer
(j ai trouver)

Dernière modification par seb88130 (15-03-2022 15:24:11)

raleur · 15-03-2022 15:18:08

raleur a écrit :

quand on comprend pas l anglais

On ne peut pas sérieusement envisager de faire d'administration système sans comprendre un minimum d'anglais (pas besoin d'anglais littéraire).

seb88130 · 15-03-2022 15:29:08

j ai un peu de vocabulaire mais je ne connais pas tous, et je suis la pour apprendre

raleur · 15-03-2022 15:34:31

seb88130 a écrit :

je trouve ca où ?

Sur le site de l'éditeur de BIND, isc.org, ou dans le paquet bind9-doc.

raleur a écrit :

tu ne pourrai pas m expliquer vite fait a quoi corresponde chaque ligne des option vite fait

"Vite fait", non, ce n'est pas possible. C'est pour cela que la lecture de la documentation est indispensable.
Vite fait, ça donne ça :
- query-source spécifie l'adresse et le port sources pour les requêtes sortantes, tu n'en as pas besoin, la valeur par défaut suffit
- listen-on spécifie les adresses IPv4 locales d'écoute de la machine elle-même, pas les adresses distantes ; tu n'en as pas besoin non plus, la valeur par défaut suffit
- listen-on-v6 idem que listen-on pour les adresses IPv6 ; "any" est déjà la valeur par défaut mais tu peux mettre "none" puisque la seule adresse autorisée par allow-recursion à faire des requêtes est en IPv4.

Mais c'est très incomplet et ne remplace en rien la documentation avec tous les détails et particularités de chaque option.

Dernière modification par raleur (15-03-2022 15:36:12)

seb88130 · 15-03-2022 15:50:04

merci de cette explication vite fait donc si je comrend bien j ai juste la parti forwader a configurer et allow recursion ?

raleur · 15-03-2022 16:07:16

BIND n'a même pas besoin de forwarders pour faire la résolution récursive, et la valeur par défaut de allow-recursion est probablement suffisante.
Mais même si les valeurs par défaut suffisent, ce serait plus propre de définir explicitement les options pertinentes pour ton cas d'utilisation, ne serait-ce que pour montrer que tu as bien compris.
listen-on
listen-on-v6
allow-query
recursion
allow-recursion
forwarders

seb88130 · 15-03-2022 16:17:54

je comprend pas bien le sens de ta question, tu veux que je configure les option pour montrer que j ai bien compris ?

raleur · 15-03-2022 16:40:36

Ce n'est pas une question mais une suggestion.
Et puis je me méfie des valeurs par défaut. Elles peuvent changer d'une version à l'autre, ou avoir une définition compliquée comme c'est le cas ici, par exemple :

If allow-recursion is not set then allow-query-cache is used if set, otherwise allow-query is used if set, otherwise the default (localnets; localhost;) is used.

Donc la valeur par défaut de l'option dépend de deux autres options, sans parler du fait que les valeurs de localnets et localhost varient d'une configuration à l'autre.

Dernière modification par raleur (15-03-2022 16:48:35)

seb88130 · 16-03-2022 16:37:17

re, je pense avoir trouver la réponse en réfléchissant a toute les info que tu ma donner et celle que j ai trouver sur le net; je te poste le fichier named.conf.option

options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders { 208.67.222.222; 208.67.220.220; 8.8.8.8; 8.8.4.4; };

//=====================================================================>
// If BIND logs error messages about the root key being expired,
// you will need to update your keys. See https://www.isc.org/bind-keys
//=====================================================================>
dnssec-validation auto;

listen-on-v6 { none; };
};
allow-recursion { 192.168.210.0; }

Dernière modification par seb88130 (16-03-2022 16:38:24)

raleur · 16-03-2022 17:29:46

En dehors de l'accolade fermante mal placée,
- ce fichier compte sur les valeurs par défaut, j'ai déjà écrit ce que j'en pensais
- je soupçonne que l'adresse dans allow-recursion est incorrecte. Si tu veux spécifier un préfixe et pas une adresse unique, il manque /longueur.

seb88130 · 17-03-2022 10:08:43

j'avais pas vue pour l'accolade qui dépasse et pour l adresse c'est pour qui fasse la récursivité de tous le réseau car c'est l adresse réseau. je doit mettre le CIDR avec du coup c'est ca que tu me dit ? et si je veux juste faire une plage d'adresse je doit la marquer de cette manière : { 192.168.210.200-192.168.210.254; }

Quand tu me dit qu'il compte sur les valeur par défaut tu parle des quelles parce que pour moi je n'en voit pas avec mon regard de newbie.

Où a tu trouver cette phrase stp: If allow-recursion is not set then allow-query-cache is used if set, otherwise allow-query is used if set, otherwise the default (localnets; localhost;) is used.

raleur · 17-03-2022 11:22:43

seb88130 a écrit :

je doit mettre le CIDR avec du coup c'est ca que tu me dit ?

Oui.

seb88130 a écrit :

si je veux juste faire une plage d'adresse je doit la marquer de cette manière : { 192.168.210.200-192.168.210.254; }

Je ne me souviens pas si les intervalles sont supportés. A vérifier dans le manuel d'administration si pas déjà fait.

seb88130 a écrit :

Quand tu me dit qu'il compte sur les valeur par défaut tu parle des quelles parce que pour moi je n'en voit pas

Celles des options mentionnées dans mon message #38 et qui ne figurent pas dans ton fichier.

seb88130 a écrit :

Où a tu trouver cette phrase stp

Dans le manuel de référence de l'administrateur de BIND dont j'ai déjà parlé.

seb88130 · 17-03-2022 14:29:36

j ai reconfigurer de cette manière du coup:

Et j aurai une question si je mets rien comme adresse de dns externe a forwaders, il me trouve rien quand je fait un nslookup avec le nom d un site, alors que je pensai que bind9 allait interroger les TLD tous seul? c est dut a une mauvaise configue ou c'est normale ?

options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

forwarders { 208.67.222.222; 208.67.220.220; 8.8.8.8; 8.8.4.4; };

//========================================================================
// If BIND logs error messages about the root key being expired,
// you will need to update your keys. See https://www.isc.org/bind-keys
//========================================================================
dnssec-validation auto;

listen-on-v6 { none; };

listen-on { none; }

query-source { none; }

allow-query { none; }

allow-recursion { 192.168.210.0/24; }

raleur · 18-03-2022 10:19:38

seb88130 a écrit :

si je mets rien comme adresse de dns externe a forwaders, il me trouve rien quand je fait un nslookup avec le nom d un site, alors que je pensai que bind9 allait interroger les TLD tous seul?

Si la liste des forwarders est vide, BIND doit normalement faire la résolution récursive en interrogeant un serveur DNS racine, puis un serveur DNS faisant autorité pour le TLD, etc.
Est-ce que ces serveurs DNS soint joignables depuis ton serveur ?
Tu as regardé les messages dans les logs de BIND ?
Tu peux tester l'accessibilité des DNS avec

dig +trace <nomdedomaine>

seb88130 · 18-03-2022 11:23:04

Oui ils sont joignable depuis mon dns et font la résolution, le dns est fonctionnelle depuis le domaine pour les pc client, et il va falloir que je regarde pour configurer le dns du domaine pour qu il ne résout que les local. Je vais revérifier pour le forwaders
C est plus sécuritaire a ton avis de pas mettre de dns renseigner et tu l aurai configurer comme ca avec le cahier des charges que j ai ?
Non je n ai pas vérifier les log ni le cache dns pour voire. je vérifierai ca.

merci pour la commande

raleur · 18-03-2022 11:37:54

seb88130 a écrit :

C est plus sécuritaire a ton avis de pas mettre de dns renseigner

Bof, ça dépend de la confiance que tu accordes aux DNS récursifs.

seb88130 · 22-03-2022 13:18:00

je lui accorde la confiance d etre a l extérieur de mon domaine et de faire un peu barrière contre les attaques de DNS, tous en me disant que se n est pas non plus une solution miracle contre une attaque.

Debian-facile

#26 15-03-2022 14:29:10

Re : configuration de bind9 en DNS externe ?

#27 15-03-2022 14:49:54

Re : configuration de bind9 en DNS externe ?

#28 15-03-2022 15:05:01

Re : configuration de bind9 en DNS externe ?

#29 15-03-2022 15:09:52

Re : configuration de bind9 en DNS externe ?

#30 15-03-2022 15:10:58

Re : configuration de bind9 en DNS externe ?

#31 15-03-2022 15:12:11

Re : configuration de bind9 en DNS externe ?

#32 15-03-2022 15:13:28

Re : configuration de bind9 en DNS externe ?

#33 15-03-2022 15:17:54

Re : configuration de bind9 en DNS externe ?

#34 15-03-2022 15:18:08

Re : configuration de bind9 en DNS externe ?

#35 15-03-2022 15:29:08

Re : configuration de bind9 en DNS externe ?

#36 15-03-2022 15:34:31

Re : configuration de bind9 en DNS externe ?

#37 15-03-2022 15:50:04

Re : configuration de bind9 en DNS externe ?

#38 15-03-2022 16:07:16

Re : configuration de bind9 en DNS externe ?

#39 15-03-2022 16:17:54

Re : configuration de bind9 en DNS externe ?

#40 15-03-2022 16:40:36

Re : configuration de bind9 en DNS externe ?

#41 16-03-2022 16:37:17

Re : configuration de bind9 en DNS externe ?

#42 16-03-2022 17:29:46

Re : configuration de bind9 en DNS externe ?

#43 17-03-2022 10:08:43

Re : configuration de bind9 en DNS externe ?

#44 17-03-2022 11:22:43

Re : configuration de bind9 en DNS externe ?

#45 17-03-2022 14:29:36

Re : configuration de bind9 en DNS externe ?

#46 18-03-2022 10:19:38

Re : configuration de bind9 en DNS externe ?

#47 18-03-2022 11:23:04

Re : configuration de bind9 en DNS externe ?

#48 18-03-2022 11:37:54

Re : configuration de bind9 en DNS externe ?

#49 22-03-2022 13:18:00

Re : configuration de bind9 en DNS externe ?

Pied de page des forums