Configuration de bind9

guigui69 · Février 20, 2016, 8:24pm

Bonjour à tous,

J’ai mis en place un proxy (squid +dansguardian) + iptable sur mon serveur.

Je voulait rajouter bind9 pour faire du cache dns, celui-ci est installé mais impossible de le lancer.

FW-PROXY:~# /etc/init.d/bind9 restart
Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused
.
Starting domain name service...: bind9 failed!
FW-PROXY:~# tail -f /var/log/syslog
Jul 17 09:42:57 FW-PROXY named[2620]: using up to 4096 sockets
Jul 17 09:42:57 FW-PROXY named[2620]: loading configuration from '/etc/bind/named.conf'
Jul 17 09:42:57 FW-PROXY named[2620]: /etc/bind/named.conf:12: unknown option 'zone'
Jul 17 09:42:57 FW-PROXY named[2620]: /etc/bind/named.conf:20: unknown option 'zone'
Jul 17 09:42:57 FW-PROXY named[2620]: /etc/bind/named.conf:25: unknown option 'zone'
Jul 17 09:42:57 FW-PROXY named[2620]: /etc/bind/named.conf:30: unknown option 'zone'
Jul 17 09:42:57 FW-PROXY named[2620]: /etc/bind/named.conf:35: unknown option 'zone'
Jul 17 09:42:57 FW-PROXY named[2620]: /etc/bind/named.conf:42: '}' expected near end of file
Jul 17 09:42:57 FW-PROXY named[2620]: loading configuration: unexpected token
Jul 17 09:42:57 FW-PROXY named[2620]: exiting (due to fatal error)

named.conf:

FW-PROXY:~# cat /etc/bind/named.conf
// This is the primary configuration file for the BIND DNS server named.
//
// Please read /usr/share/doc/bind9/README.Debian.gz for information on the
// structure of BIND configuration files in Debian, *BEFORE* you customize
// this configuration file.
//
// If you are just adding zones, please do that in /etc/bind/named.conf.local

include "/etc/bind/named.conf.options";

// prime the server with knowledge of the root servers
zone "." {
        type hint;
        file "/etc/bind/db.root";
};

// be authoritative for the localhost forward and reverse zones, and for
// broadcast zones as per RFC 1912

zone "localhost" {
        type master;
        file "/etc/bind/db.local";
};

zone "127.in-addr.arpa" {
        type master;
        file "/etc/bind/db.127";
};

zone "0.in-addr.arpa" {
        type master;
        file "/etc/bind/db.0";
};

zone "255.in-addr.arpa" {
        type master;
        file "/etc/bind/db.255";
};


include "/etc/bind/named.conf.local";

aucune regle iptables:

FW-PROXY:~# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Quel est le problème? Faut-il paramétrer un fichier pour faire du cache dns?

Merci

guigui69

guigui69 · Février 20, 2016, 8:24pm

J’ai trouver l’erreur, il manquait “};” dans le fichier named.conf.option

maintenant j’ai ceci:

Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused
.
Starting domain name service...: bind9.
FW-PROXY:~# tail -f /var/log/syslog
Jul 17 09:50:24 FW-PROXY named[2698]: automatic empty zone: A.E.F.IP6.ARPA
Jul 17 09:50:24 FW-PROXY named[2698]: automatic empty zone: B.E.F.IP6.ARPA
Jul 17 09:50:24 FW-PROXY named[2698]: command channel listening on 127.0.0.1#953
Jul 17 09:50:24 FW-PROXY named[2698]: command channel listening on ::1#953
Jul 17 09:50:24 FW-PROXY named[2698]: the working directory is not writable
Jul 17 09:50:24 FW-PROXY named[2698]: zone 0.in-addr.arpa/IN: loaded serial 1
Jul 17 09:50:24 FW-PROXY named[2698]: zone 127.in-addr.arpa/IN: loaded serial 1
Jul 17 09:50:24 FW-PROXY named[2698]: zone 255.in-addr.arpa/IN: loaded serial 1
Jul 17 09:50:24 FW-PROXY named[2698]: zone localhost/IN: loaded serial 2
Jul 17 09:50:24 FW-PROXY named[2698]: running

Stopping domain name service…: bind9rndc: connect failed: 127.0.0.1#953: connection refused

Quel est le problème?

guigui69

PascalHambourg · Février 20, 2016, 8:24pm

Pourtant d’après les logs de named, le canal de commande écoute bien sur 127.0.0.1. Tu peux vérifier avec “netstat -ntulp | grep named” en root ? Tu n’as pas de règles iptables dans les autres tables (à vérifier avec iptables-save) ?

guigui69 · Février 20, 2016, 8:24pm

Merci pour ta réponse. Je vais vérifier ca lundi, mais je pense que c’est réglé.

Par contre comment vérifier que le cache dns fonctionne? (si on peut le vérifier bien sur)

merci
guigui69

PascalHambourg · Février 20, 2016, 8:24pm

Un moyen simple consiste à lui envoyer des requêtes DNS.

host [-t <type>|any] <nom.de.domaine> <adresse.du.serveur>
nslookup [-q=<type>|any] <nom.de.domaine> <adresse.du.serveur>
dig [type|any] <nom.de.domaine> @<adresse.du.serveur>

helid · Février 20, 2016, 8:24pm

Bonjour,

Juste une petite remarque en passant: Ce n’est pas un peu dommage d’utiliser bind9 pour faire “seulement” du cache ?

PascalHambourg · Février 20, 2016, 8:24pm

Tu veux dire que BIND rien que pour servir de cache, ça fait “riche” ?
Bah, il n’est pas si lourd que ça, surtout sur une machine récente.

helid · Février 20, 2016, 8:24pm

Il ne permet pas de paramétrer la partie cache (certains permettent d’avoir un fichier de sauvegarde du cache quand on éteins la machine par exemple - ou sa taille en mémoire et aussi donc sur disque), etc.

Il n’est pas prévu pour. Pour résumer.

C’est un peu comme une Ferrari dans une course de tracteur: elle finie dernière car elle a été incapable de démarrer avec la remorque (pas de crocher d’attelage).

PascalHambourg · Février 20, 2016, 8:24pm

Et l’option ‘max-cache-size’ pour limiter la taille du cache ?
Certes on ne peut sauvegarder le contenu du cache pour le restaurer plus tard (on peut seulement faire un dump avec rndc), mais est-ce très utile ? On ne redémarre pas un BIND si souvent, et une partie du contenu du cache aura expiré de toute façon.

guigui69 · Février 20, 2016, 8:24pm

Merci pour ces indications,

Je suis sous un environnement windows (avec deux serveur dns) comment faire pour rajouter celui ci (bind) comme 3eme dns (configuration de bind)

Est-ce possible?

Machine qui héberge donc: pare-feu; squid3; dansguardian; bind est un P4 1,8ghz avec 768Ram.

guigui69

PascalHambourg · Février 20, 2016, 8:24pm

Quel est le rôle des deux serveurs DNS ? Ils font partie d’un active directory, servent des zones hors AD, font des résolutions récursives ?

guigui69 · Février 20, 2016, 8:24pm

Il font partie de l’active directory.

guigui69

PascalHambourg · Février 20, 2016, 8:25pm

Et que veux-tu exactement que le BIND9 fasse dans cet environnement ? Simple cache récursif ?
Je suppose que les postes du domaine AD utilisent les deux serveurs Windows comme DNS. Dans la configuration des serveurs DNS il faudrait déclarer le serveur BIND comme redirecteur (ou forwarder). En tout cas il ne faut pas l’ajouter à la liste des DNS utilisés directement par les postes, car ses réponses ne seraient pas cohérentes avec celles des DNS de l’AD (sauf s’il est configuré pour rediriger les requêtes portant sur les zones de l’AD vers les serveurs Windows, mais ça commence à être compliqué).

helid · Février 20, 2016, 8:25pm

guigui69 tu devrais dire ce que tu veux faire avec cet ordi. C’est promis on dira rien à la N$A !

On dirait que tu veux faire une simple passerelle pour protéger ton réseau derrière, non ?

PS:@Ed ce serait possible d’avoir avec Biu, un rayage du texte comme mise en forme ?

guigui69 · Février 20, 2016, 8:26pm

Merci pour vos réponses.

Oui un simple cache récursif.
Tout mes postes pointe vers les DNS de l’active directory.

Merci

guigui69