Configurer un serveur DNS bind9 entre deux zones differentes

Support Debian
#1

Bonjour, voila mon problème, je doit configurer un serveur DNS dans une zone en IP privée fixe pour toutes les machines de mon réseau local ( 172.16.110/24)…et en configurer un autre dans une zone en IP publique fixe aussi pour toutes les machines de mon réseau.( 192.110 /24 )

Je doit forwarder mon DNS de ma zone privée sur mon DNS publique.le problème que j’ai c’est que je voudrait que mon DNS privée répond uniquement aux machines de sa zone et au DNS publique mais je n’arrive pas à avoir la résolution des noms entres mes zones , et en cherchant un peu sur internet, je m’emmêle les pinceaux…

Dois -je crée une zone forward?
qu’est ce que le 'allow -query ’ et "allow-tranfert- et ou les insérer…?

#2

Quels sont les rôles exacts de ces deux serveurs DNS ?

#3

Mon DNS sur mon réseau IP privé ne doit pas être capable d’interroger un autre DNS ou autre mis à part le DNS de mon réseau IP Publiques Uniquement.
Mon DNS sur mon réseau IP publique lui par contre peut l’interroger doit être capable d’interroger chaque machine sur mes deux zones.

Donc dans ce cas-ci, je FORWARD le DNS de mon réseau privé sur mon DNS publique, c’est le plus simple il me semble…?

A quel moment " allow- query" et "allow -transfert " sont t-il vraiment utile aussi?

#4

Cela n’explique toujours pas les rôles de ces serveurs DNS.
Par exemple :

  • tel serveur est un serveur récursif interrogeable par tels clients
  • tel serveur est un serveur maître pour telle zone interrogeable par tels clients
  • tel serveur est un serveur esclave pour telle zone interrogeable par tels clients

Qu’enends-tu exactement par là ? Toutes les machines sont des serveurs DNS ? Sinon, quel type d’interrogation reçoivent-elles du serveur DNS ?

Quand tu parles de “zone”, s’agit-il de zone au sens DNS (branche de l’espace de nommage, comme subdomain.example.net) ou d’autre chose, comme un réseau IP ?

La directive [mono]allow-query[/mono] sert à limiter les adresses sources autorisées à faire des requêtes DNS globalement, pour une zone ou pour une vue.

La directive [mono]allow-transfer[/mono] sert à limiter les adresses sources autorisées à faire des requêtes de transfert de zone. Le transfert de zone n’est normalement utilisé qu’entre serveurs DNS maîtres et esclaves pour une même zone DNS, afin qu’un serveur esclave puise se synchroniser avec un serveur maître.

#5

Non, il n’y a que un DNS par zone, quand je dit ‘zone’ je parle au sens DNS comme tu l’as suggéré, comme subdomain.example.net. Désolé si mes thermes techniques ne sont pas encore au poil je débute seulement.
Ben le rôle du DNS en 172.16.110 serait plutôt d’être interrogeable uniquement dans sa zone (par d’autres postes) et par le DNS en 192.110. uniquement. Pas de DNS maître/esclave. Merci pour l’explication des “allow” , c’est déjà un peu plus clair.
Pour l’instant j’en suis au point ou j’ai procédé de cette manière :
zone “submondomain.example.com” {
type master;
file “/var/cache/bind/db.submondomain.example.com”;
forwarders { 192.110.0.1; };

J’ai ainsi modifié mon fichier “db.submondomain.example.com
en rajoutant correctement les fichiers pour la résolution des noms. Mais impossible d’accéder à a mes dns par les noms…uniquement par ping cela fonctionne pour l’instant.
Dois -je rentrer une régle allow-query pour mon DNS en 172.16.110?
j’ai indiqué le forwarders dans le named.conf.local de bind9 comme ci dessus, ainsi que dans le named.conf.options… je ne sais pas ce qu’il cloche…
Sachant que mon DNS 172.16.110 ne dois pas aller sur Internet ou communiquer en dehors de sa zone a part avec le DNS en 192.110…dois je rajouter un IPTABLES?
Merci en tous cas de m’avoir déja répondu, c’est vraiment sympa les coups de pouces :dance:

#6

Tes explications restent trop confuses pour que je comprenne ce que tu cherches à faire.
Je ne comprends pas les expressions suivantes, ça aiderait peut-être si tu donnais des exemples concrets pour illustrer ce qui doit et ne doit pas être possible :

  • être interrogeable uniquement dans sa zone -> exemples ?
  • J’ai ainsi modifié mon fichier "db.submondomain.example.com"
    en rajoutant correctement les fichiers pour la résolution des noms -> quelles modifications, quels fichiers ?
  • impossible d’accéder à a mes dns par les noms…uniquement par ping -> exemples ?
  • ne dois pas aller sur Internet ou communiquer en dehors de sa zone -> exemples ? quel rapport avec DNS ?
#7

j’ai attaché un document qui montre toute les étapes que j’ai franchi et surtout ou je coince et pourquoi :astonished:

j’éspère que ça va aider, :think:

drive.google.com/open?id=0B3idT … authuser=0

#8

C’est pénible ces fichiers impossible à lire car déposés sur des sites avec une interface pourrie qui ne marche pas avec tous les navigateurs…
Ah, comme ça plante le site propose de télécharger le fichier originel. Voyons…
C’est pénible ces documents enregistrés avec un format propriétaire non reconnu par tous les logiciels de bureautique…
J’ai dû le convertir sur une autre machine pour pouvoir le lire.
C’est trop demander de déposer des documents enregistrés en format ouvert (PDF, odt…) sur des sites où il suffit d’un clic sur un vrai lien en HTML et pas une saleté en Javascript pour télécharger le fichier ?

[quote]Car j’ai copié son intégralité donc le fichier named.conf.local
En tapant : #cp /etc/bind/named.conf.default-zones /etc/bind/named.conf.local[/quote]
Quelle drôle d’idée. Pour quelle raison avoir écrasé le fichier named.conf.local ?
named.conf.local est censé accueillir les zones définies par l’utilisateur, alors que named.default-zones contient des zones prédéfinies qu’il n’y a pas lieu de modifier.

[quote]Ensuite voici mon fichier « named.conf.local » ou j’ai rajouté mon domaine en
172.16.110/24[/quote]
Erreur de compréhension qui se répète tout au long du document. Pour le DNS, il n’y a pas de lien entre un domaine et une plage d’adresses. Une zone inverse n’est pas non plus liée à un domaine, il n’y a pas lieu d’appeler son fichier “db.domaine.inv”.

Ce ne sont pas des modèles de recherche mais des fichiers de zone.
Et ce qui devait arriver arriva : en copiant ces fichiers au lieu de les créer de A à Z, tu as laissé des éléments locaux (localhost, 127.0.0.1) qui n’ont rien à y faire. Les enregistrements SOA et NS pour ces deux zones devraient faire référence à dns.mondomaine.lan et non localhost.

[quote]J’ai ensuite commencé à modifier mes fichiers /etc/hosts et mes fichiers
/etc/resolv.conf[/quote]
/etc/hosts n’a rien à voir avec le DNS.
Quant à /etc/resolv.conf, celui que tu montres en exemple est généré par NetworkManager, j’espère que tu ne l’as pas modifié directement mais que tu es passé par l’interface de NetworkManager.
Ça ne sert à rien d’avoir à la fois [mono]search[/mono] et [mono]domain[/mono], ni d’avoir deux fois [mono]nameserver[/mono] avec la même adresse.

[quote]Dois-je remplir une deuxième zone de recherche directe et inversé sur le réseau
192.110/24 de masterdomaine.lan ?
Ou ‘forward’ t-on vraiment ? dans le named.conf.options ?[/quote]
Tu peux définir les deux autres zones de type [mono]master[/mono] sur ton serveur comme les deux premières si tu connais leur contenu (fichiers de zones). Mais il faudra les mettre à jour manuellement en cas de modification.
Tu peux aussi les définir de type [mono]slave[/mono], si le serveur DNS primaire qui les sert accepte les requêtes de transfert de ces zones de ton serveur. La synchronisation sera automatique.
Tu peux aussi faire du forward vers un autre serveur DNS qui sert ces zones, avec une option [mono]forwarders[/mono]. Soit globalement (pour tout nom de domaine ne faisant pas partie d’une zone gérée localement) dans les options globales de named.conf.options comme tu l’as fait, soit pour des domaines spécifiques en définissant des zones de type [mono]forward[/mono] (et non master) pour chacun de ces domaines dans named.conf.local. Dans les deux cas, il faut que le serveur DNS défini comme forwarder accepte les requêtes de ton serveur.