Mon server bind9 est-il correctement configuré?

bonjour,

j’ai un serveur apache qui a l’air de bien fonctionner.
Mais je ne sais pas si bind est correctement configuré?
le dossier /etc/bind
dans ce dossier:

fichier db.debcss.net
$TTL 3600 @ IN SOA ns.debcss.net. matser1973@free.r. ( 2016052904 ; Serial 3600 ; Refresh [1h] 600 ; Retry [10m] 86400 ; Expire [1d] 3600 ) ; Negative Cache TTL [1h] ; @ IN NS ns.debcss.net. ns IN A 192.168.0.14 machine A 192.168.0.14

fichier named.conf
include "/etc/bind/named.conf.options"; include "/etc/bind/ns-debcss-net_rndc-key"; include "/etc/bind/named.conf.local"; include "/etc/bind/named.conf.default-zones";

fichier named.conf.options
options { directory "/var/cache/bind"; // If there is a firewall between you and nameservers you want // to talk to, you may need to fix the firewall to allow multiple // ports to talk. See http://www.kb.cert.org/vuls/id/800113 // If your ISP provided one or more IP addresses for stable // nameservers, you probably want to use them as forwarders. // Uncomment the following block, and insert the addresses replacing // the all-0's placeholder. // forwarders { // 0.0.0.0; // }; query-source address * port *; forward only; forwarders { 192.168.0.14; }; //======================================================================== // If BIND logs error messages about the root key being expired, // you will need to update your keys. See https://www.isc.org/bind-keys //======================================================================== dnssec-validation auto; auth-nxdomain no; # conform to RFC1035 listen-on-v6 { any; }; listen-on {127.0.0.1; 192.168.0.14; }; allow-transfer { none;}; allow-query {internals; }; allow-recursion { internals; }; version none; };

ns-debcss-net_rndc-key
key "rndc-key" { algorithm hmac-md5; secret "une phrase secrète"; };

named.conf.local
//include "/etc/bind/zones.rfc1918"; include "/etc/bind/named.conf.log"; zone "debcss.net" { type master; file "/etc/bind/db.debcss.net"; }; zone "0.168.192.in-addr.arpa" { type master; file "/etc/bind/db.192.168.0"; }; zone "0.0.10.in-addr.arpa" { type master; file "/etc/bind/db.10.0.0"; };
apparement il manque le fichier db.10.0.0 : est-ce grave? que doit-il y avoir dans ce fichier?

dans ce dernier fichier, dois-je autoriser /etc/bind/zones.rfc1918?

named.conf.default-zones
// prime the server with knowledge of the root servers zone "." { type hint; file "/etc/bind/db.root"; }; // be authoritative for the localhost forward and reverse zones, and for // broadcast zones as per RFC 1912 zone "localhost" { type master; file "/etc/bind/db.local"; }; zone "127.in-addr.arpa" { type master; file "/etc/bind/db.127"; }; zone "0.in-addr.arpa" { type master; file "/etc/bind/db.0"; }; zone "255.in-addr.arpa" { type master; file "/etc/bind/db.255"; };

fichier db.0:
; ; BIND reverse data file for broadcast zone ; $TTL 604800 @ IN SOA localhost. root.localhost. ( 1 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL ; @ IN NS localhost.

db.127
; ; BIND reverse data file for local loopback interface ; $TTL 604800 @ IN SOA localhost. root.localhost. ( 1 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL ; @ IN NS localhost. 1.0.0 IN PTR localhost.

db.192.168.0
@ IN SOA ns.debcss.net. mathieu.debcss.net. ( 2009110701 24H 2H 1000H 2D ) @ IN NS ns.debcss.net. XX IN PTR ns.debcss.net. XX IN PTR ordifix.debcss.net

ordifix: c’est comme ça que j’ai appelé l’ordi lors de l’installation de debian

db.255:
; ; BIND reverse data file for broadcast zone ; $TTL 604800 @ IN SOA localhost. root.localhost. ( 1 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL ; @ IN NS localhost.

db.local
; ; BIND data file for local loopback interface ; $TTL 604800 @ IN SOA localhost. root.localhost. ( 2 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL ; @ IN NS localhost. @ IN A 127.0.0.1 @ IN AAAA ::1

db.root
; This file holds the information on root name servers needed to ; initialize cache of Internet domain name servers ; (e.g. reference this file in the "cache . <file>" ; configuration file of BIND domain name servers). ; ; This file is made available by InterNIC ; under anonymous FTP as ; file /domain/named.cache ; on server FTP.INTERNIC.NET ; -OR- RS.INTERNIC.NET ; ; last update: Jan 3, 2013 ; related version of root zone: 2013010300 ; ; formerly NS.INTERNIC.NET ; . 3600000 IN NS A.ROOT-SERVERS.NET. A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4 A.ROOT-SERVERS.NET. 3600000 AAAA 2001:503:BA3E::2:30 ; ; FORMERLY NS1.ISI.EDU ; . 3600000 NS B.ROOT-SERVERS.NET. B.ROOT-SERVERS.NET. 3600000 A 192.228.79.201 ; ; FORMERLY C.PSI.NET ; . 3600000 NS C.ROOT-SERVERS.NET. C.ROOT-SERVERS.NET. 3600000 A 192.33.4.12 ; ; FORMERLY TERP.UMD.EDU ; . 3600000 NS D.ROOT-SERVERS.NET. D.ROOT-SERVERS.NET. 3600000 A 199.7.91.13 D.ROOT-SERVERS.NET. 3600000 AAAA 2001:500:2D::D ; ; FORMERLY NS.NASA.GOV ; . 3600000 NS E.ROOT-SERVERS.NET. E.ROOT-SERVERS.NET. 3600000 A 192.203.230.10 ; ; FORMERLY NS.ISC.ORG ; . 3600000 NS F.ROOT-SERVERS.NET. F.ROOT-SERVERS.NET. 3600000 A 192.5.5.241 F.ROOT-SERVERS.NET. 3600000 AAAA 2001:500:2F::F ; ; FORMERLY NS.NIC.DDN.MIL ; . 3600000 NS G.ROOT-SERVERS.NET. G.ROOT-SERVERS.NET. 3600000 A 192.112.36.4 ; ; FORMERLY AOS.ARL.ARMY.MIL ; . 3600000 NS H.ROOT-SERVERS.NET. H.ROOT-SERVERS.NET. 3600000 A 128.63.2.53 H.ROOT-SERVERS.NET. 3600000 AAAA 2001:500:1::803F:235 ; ; FORMERLY NIC.NORDU.NET ; . 3600000 NS I.ROOT-SERVERS.NET. I.ROOT-SERVERS.NET. 3600000 A 192.36.148.17 I.ROOT-SERVERS.NET. 3600000 AAAA 2001:7FE::53 ; ; OPERATED BY VERISIGN, INC. ; . 3600000 NS J.ROOT-SERVERS.NET. J.ROOT-SERVERS.NET. 3600000 A 192.58.128.30 J.ROOT-SERVERS.NET. 3600000 AAAA 2001:503:C27::2:30 ; ; OPERATED BY RIPE NCC ; . 3600000 NS K.ROOT-SERVERS.NET. K.ROOT-SERVERS.NET. 3600000 A 193.0.14.129 K.ROOT-SERVERS.NET. 3600000 AAAA 2001:7FD::1 ; ; OPERATED BY ICANN ; . 3600000 NS L.ROOT-SERVERS.NET. L.ROOT-SERVERS.NET. 3600000 A 199.7.83.42 L.ROOT-SERVERS.NET. 3600000 AAAA 2001:500:3::42 ; ; OPERATED BY WIDE ; . 3600000 NS M.ROOT-SERVERS.NET. M.ROOT-SERVERS.NET. 3600000 A 202.12.27.33 M.ROOT-SERVERS.NET. 3600000 AAAA 2001:DC3::35 ; End of File

named.conf.log:
logging { channel update_debug { file "/var/log/update_debug.log" versions 3 size 100k; severity debug; print-severity yes; print-time yes; }; channel security_info { file "/var/log/security_info.log" versions 1 size 100k; severity info; print-severity yes; print-time yes; }; channel bind_log { file "/var/log/bind.log" versions 3 size 1m; severity info; print-category yes; print-severity yes; print-time yes; }; category default { bind_log; }; category lame-servers { null; }; category update { update_debug; }; category update-security { update_debug; }; category security { security_info; }; };

le résultat de la commande ls dans /etc/bind:
bind.keys db.0 db.127 db.192.168.0 db.255 db.debcss.net db.debcss.net.inv db.empty db.local db.root Kns-debcss-net_rndc-key.+157+30886.key Kns-debcss-net_rndc-key.+157+30886.private liste managed-keys.bind managed-keys.bind.jnl named.conf named.conf.default-zones named.conf.local named.conf.log named.conf.old named.conf.options ns-debcss-net_rndc-ikey ns-debcss-net_rndc-key rndc.key zones.rfc1918

les fichiers update_debug.log security_info.log et bind.log du dossier /var/log sont absent

qu’en pensez-vous?

Configuré pour quoi faire ?

Je peux déjà dire que se définir soi-même comme son propre “forwarder” n’est la meilleure idée qui soit.

Le contenu de la zone inverse 0.0.10.in-addr.arpa. Si ton serveur n’est pas censé faire autorité pour cette zone, alors il ne faut pas la déclarer dans named.conf.local.

C’est pour accéder à mon site, hébergé moi-même, avec le nom de domaine “www.debcss.net”.
Mettre “http://www.debcss.net” dans la barre d’adresse d’un navigateur lui aurai fait afficher mon site.

j’ai retiré la zone 10.0.0:

named.conf.local:
// // Do any local configuration here // // Consider adding the 1918 zones here, if they are not used in your // organization //include "/etc/bind/zones.rfc1918"; include "/etc/bind/named.conf.log"; zone "debcss.net" { type master; file "/etc/bind/db.debcss.net"; }; zone "0.168.192.in-addr.arpa" { type master; file "/etc/bind/db.192.168.0"; };

que me conseil-tu pour remplacer les forwarder?

Ce nom de domaine n’est pas défini dans le fichier de zone db.debcss.net.

Quelle doit être la portée de cette résolution ? Locale sur une seule machine, sur un réseau local privé ou globale sur l’internet public ?

Une ou des adresses de serveurs DNS récursifs joignables, ou bien rien du tout puisque BIND est capable de faire la résolution récursive lui-même.

je précise que je n’y connais rien à propos de bind

comment définit-on un nom de domaine dans db.debcss.net?

je voudrais une portée sur l’internet publique

Oh misère… Comment as-tu créé les fichiers de configuration et de zones ?
Et que connais-tu du fonctionnement de DNS ?

En y ajoutant un ou plusieurs enregistrements, comme ceux qui y figurent déjà.

Cela nécessite une bonne connaissance de BIND (ou du serveur DNS qu’on utilise) et des mécanismes du DNS. Et une adresse IP publique fixe. Dans tes fichiers, je ne vois que des adresses IP privées injoignables depuis l’internet public.

Tu ne peux pas tout simplement faire gérer le domaine par les DNS du registrar (bureau d’enregistrement) chez qui tu as acheté le domaine ?

j’ai lu un tuto d’openclassroom et d’autres tutos sur internet, comme https://wiki.debian.org/fr/Bind9
http://www.linuxaddict.fr/index.php/2009/11/13/monter-son-serveur-dns-avec-bind9-sur-debianubuntu/
https://openclassrooms.com/courses/gerer-son-nom-de-domaine
je sais que les dns forment un arbre, que la racine est un point à la fin, et d’autres choses

j’aimerais bien avoir mon site à la maison. pour l’instant mon site est disponible avec l’adresse ip de ma freebox (fixe). ma freebox est réglée pour donner un bail dhcp permanent à la machine de mon réseau interne, autrement dit ce sera toujours la même adresse ip.
j’ai regardé un peu sur internet et c’est vrai qu’ily a beaucoup de choses à savoir. Finalement, je vais acheter un petit bouquin pour y voir un peu plus clair

Tu n’as pas besoin d’héberger ton propre serveur DNS pour cela. Le site, c’est seulement le serveur web.

mais alors, comment accéder à mon site en tapant www.debcss.net au lieu de l’adresse ip?

Il faut bien un serveur DNS, mais pas forcément installé sur ton serveur… N’importe quel registraire de noms de domaines propose ce service, normalement. En l’occurrence sur [domain.com] (http://www.domain.com/domains/), où tu as enregistré debcss.net, je lis

[quote]DNS Management
Retain total control over your DNS records.[/quote]

je suis allé sur netfirms.com où j’ai acheté mon domaine. j’ai mis quelque chose comme pointeur et mis mon adresse ip. Ai-je bien fait?

j’ai annulé cette opération et j’ai modifié les A records où j’ai mis mon adresse ip dans debcss.net et www. J’ai supprimé tous les autres sous-domaine. C’est comme ça qu’il fallait faire?

Je n’ai pas vocation à connaître l’interface de gestion de tous les registrars, n’en utilisant aucun (j’héberge mon domaine moi-même).
debcss.net et www.debcss.net pointent vers l’adresse IP publique d’une freebox, je suppose que c’est la tienne donc c’est bon.

peux-tu m’indiquer l’url de la page où tu a vu mon site et l’adresse ip?

Tu indiques ton nom de domaine dans le premier message de ce topic, le reste tu l’obtiens avec ‘ping’

En toute rigueur il vaut mieux utiliser un programme prévu pour faire de la résolution DNS et seulement de la résolution DNS comme dig, host ou nslookup. ping, comme la majorité des programmes, utilise le résolveur local de la libc qui peut avoir recours à d’autres mécanismes de résolution de nom que DNS (/etc/hosts, NetBIOS, mDNS…) et fausser le résultat attendu.

dig www.debcss.net:
; <<>> DiG 9.9.5-9+deb8u6-Debian <<>> www.debcss.net ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 57189 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;www.debcss.net. IN A ;; Query time: 427 msec ;; SERVER: 212.27.40.240#53(212.27.40.240) ;; WHEN: Tue May 31 19:32:41 CEST 2016 ;; MSG SIZE rcvd: 43
212.27.40.240 est l’adresse ip du dns de mon FAI. Est-ce normal?

sinon:
ping www.debcss.net PING www.debcss.net (78.243.242.19) 56(84) bytes of data. 64 bytes from cou82-3-78-243-242-19.fbx.proxad.net (78.243.242.19): icmp_seq=1 ttl=60 time=74.1 ms

78.243.242.19 est bien mon adresse ip et je vois mon site en mettant mon nom de domaine dans le navigateur.
dites-moi si vous avez quelque chose dans votre navigateur avec www.debcss.net, ensuite je mettrai la discussion comme résolu.
$ dig www.debcss.net ; <<>> DiG 9.9.5-9+deb8u6-Debian <<>> www.debcss.net ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11449 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;www.debcss.net. IN A ;; ANSWER SECTION: www.debcss.net. 3067 IN A 78.243.242.19 ;; Query time: 61 msec ;; SERVER: 212.27.40.241#53(212.27.40.241) ;; WHEN: Tue May 31 19:52:24 CEST 2016 ;; MSG SIZE rcvd: 59