[RESOLU][debian]Serveur DNS primaire, Serveur perso de type master

Serveur DNS primaire, Serveur perso de type master [RESOLU][debian] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 11-07-2006 à 18:19:27    

Bonjour,
 
J'ai quelques soucis avec mon prestataire de nom de domaine, et voulant trouver une solution rapidement, je me suis dit que si je transformais un PC en serveur DNS pour mon domaine, ce serais pas mal.
Mais j'ai comme un problème de configuration.
 
Description de l'installation:
 
 
http://dj.frost.free.fr/images/arch_lan.png
 
 
Serveur DNS: bind version 8.4.6
kernel: 2.6.17
 
Le serveur doit :
- être serveur DNS (master) pour le domaine mondomaine.net (via eth0);
- être serveur DNS et firewall pour le réseau eth1;
- être serveur DNS (master) pour le domaine mondomaineperso.homeip.net (via eth1).
 
Voici les fichiers de conf:
ouverture du port 53 avec iptables (le reste d'iptables: on ne laisse rien entrer via eth0 sauf les paquet marqués établis, ou "Related", toutes les trames ont le droit de sortir vers eth0 et activation du nat... enfin classique):
La config d'iptables à étée vérifiée avec sheild's up.

Code :
  1. #Serveur DNS
  2. iptables -A INPUT -p tcp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  3. iptables -A INPUT -p udp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


 
 
named.conf:

Code :
  1. options {
  2.  directory "/etc/bind";
  3.  query-source address * port 53;
  4.  forwarders {212.27.32.176; 212.27.32.177; 212.27.254.252;};
  5. //   auth-nxdomain no; # conform to RFC1035
  6.   allow-query { 192.168.1.0/24; 192.168.0.0/24; 127.0.0.1;};
  7.   allow-recursion { 192.168.1.0/24; 192.168.0.0/24; 127.0.0.1;};
  8.   listen-on { 192.168.1.253; 192.168.0.254; 127.0.0.1;};
  9. };
  10. // prime the server with knowledge of the root servers
  11. zone "." IN {
  12.  type hint;
  13.  file "db.root";
  14. };
  15. zone "mondomaineperso.homeip.net" IN {
  16.  type master;
  17.  file "db.mondomaineperso.homeip.net";
  18. };
  19. zone "mondomaine.net" IN {
  20.   type master;
  21.   file "db.mondomaine.net";
  22. };
  23. zone "0.0.127.in-addr.arpa" IN {
  24.  type master;
  25.  file "db.127";
  26. };
  27. zone "0.168.192.in-addr.arpa" IN {
  28.  type master;
  29.  file "db.192.168.0";
  30. };


 
 
db.mondomaineperso.homeip.net:

Code :
  1. $TTL 3D
  2. @      IN   SOA  www.mondomaineperso.homeip.net. postmaster.mondomaineperso.homeip.net. (
  3.        2006041101  ; Serial
  4.        7200     ; Refresh
  5.        1200     ; Retry
  6.        1209600  ; Expire
  7.        86400 )  ; Negative Cache TTL
  8. @     IN   NS   www.mondomaineperso.homeip.net.
  9.     A    192.168.0.254
  10. www    A    192.168.0.254


 
 
db.mondomaine.net:

Code :
  1. $TTL 3D
  2. @      IN   SOA  mondomaine.net. postmaster.mondomaine.net. (
  3.        2006070608  ; Serial
  4.        7200     ; Refresh
  5.        1200     ; Retry
  6.        1209600  ; Expire
  7.        86400 )  ; Negative Cache TTL
  8.    IN   NS  mondomaineperso.homeip.net.
  9.    IN   A    xxx.xxx.xxx.xxx   ; adresse du serveur web sur Internet
  10.    IN   TXT  "texte important"
  11. www   IN   CNAME   mondomaine.net.


 
En local et sur le réseau eth1, toute la configuration fonctionne correctement.
Par contre: lorsque un PC sur Internet tente de faire:

Code :
  1. dig mondomaine.net @ip_fixe_du_serveur_linux any
  2. ; <<>> DiG 9.3.2 <<>> mondomaine.net. @ip_fixe_du_serveur_linux any
  3. ; (1 server found)
  4. ;; global options:  printcmd
  5. ;; Got answer:
  6. ;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 3569
  7. ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
  8. ;; QUESTION SECTION:
  9. ;mondomaine.net.    IN   ANY
  10. ;; Query time: 86 msec
  11. ;; SERVER: xxx.xxx.xxx.xxx#53(xxx.xxx.xxx.xxx) Mon IP fixe
  12. ;; WHEN: Fri Jul  7 02:06:52 2006
  13. ;; MSG SIZE  rcvd: 35


La requête est refusée ??!!
 
Petit tour du côté du log:

Code :
  1. cat /var/log/syslog
  2. Jul  7 02:06:57 www named[3032]: denied query from [xxx.xxx.xxx.xxx].10004 for "mondomaine.net" ANY/IN


Je ne comprends pas du tout pourquoi ma requête est refusée.
 
Si vous pouvez m'éclairer, ce serais plus que cool. D'avance merci.
++


Message édité par djfrost le 12-07-2006 à 03:50:15
Reply

Marsh Posté le 11-07-2006 à 18:19:27   

Reply

Marsh Posté le 11-07-2006 à 18:54:51    

J'aurais bien tenté de faire ce genre de un jour de manip, mais j'aurais jamais pensé que c'etait ... aussi compliqué :cry: ...
 
C'est qui ton "prestataire de nom de domaine" ? histoire de savoir si l'on pourait être ses victimes... C'etait un pb technique ?
 
Désolé de pouvoir d'aider.

Reply

Marsh Posté le 12-07-2006 à 01:17:27    

HDSDI a écrit :

J'aurais bien tenté de faire ce genre de un jour de manip, mais j'aurais jamais pensé que c'etait ... aussi compliqué :cry: ...
 
C'est qui ton "prestataire de nom de domaine" ? histoire de savoir si l'on pourait être ses victimes... C'etait un pb technique ?
 
Désolé de pouvoir d'aider.


Mon problème, c'est que je souhaite configurer le champ TXT des entrées DNS ce qui n'est pas possible.
Je tais le nom de mon prestaire car je n'ai aucun soucis technique avec eux. Ils sont très efficace et très réactifs. Je ne souhaite pas balancer car une lecture trop rapide de mon message pourais être mauvais pour leur image.
Le conseil que je peut donner, c'est qu'il faut bien vérifier les services compris dans le prix avant de faire son choix.
 
Pour revenir à ta première phrase, ce n'est pas si compliqué (du moins en local...). Il faut avoir de petites connaissances en GNU/Linux, et savoir lire les tutoriels qui sont facilement trouvables sur le web.

Reply

Marsh Posté le 12-07-2006 à 01:31:52    

djfrost a écrit :

je n'ai aucun soucis technique avec eux. Ils sont très efficace et très réactifs


Ok. C'est juste que les problèmes de DNS, ça te fusille un site web notament quand ton serveur web répond, mais pas ton DNS; c'est le genre de truc qui est capital.
 

djfrost a écrit :

Pour revenir à ta première phrase, ce n'est pas si compliqué (du moins en local...). Il faut avoir de petites connaissances en GNU/Linux, et savoir lire les tutoriels qui sont facilement trouvables sur le web.


 
Ma philo, c'est de ne pas mettre en prod un serveur dont je ne maitrise pas la totalité des problèmes potentiels de sécurité. Et Iptables et bind sont le genre de services dont les erreurs coutent très chers en prod, notament par le nombre de methodes différentes pour arriver au même résultat...
 
Sinon,
Tu as de bonnes adresses pour aquerir cette science ? :D

Reply

Marsh Posté le 12-07-2006 à 03:49:56    

HDSDI a écrit :

Ok. C'est juste que les problèmes de DNS, ça te fusille un site web notament quand ton serveur web répond, mais pas ton DNS; c'est le genre de truc qui est capital.


Correct ! C'est pour moi une solution temporaire... Car je cherche un prestataire qui me permetteras de configurer le champ TXT.
 

HDSDI a écrit :

Ma philo, c'est de ne pas mettre en prod un serveur dont je ne maitrise pas la totalité des problèmes potentiels de sécurité. Et Iptables et bind sont le genre de services dont les erreurs coutent très chers en prod, notament par le nombre de methodes différentes pour arriver au même résultat...
 
Sinon,
Tu as de bonnes adresses pour aquerir cette science ? :D


Il est clair que pour un site perso, les problèmes sont identiques mais ils ont une plus faible importance.
Pour un site d'une envergure plus importante, je déconseille largement la configuration "home made".
 
Au vu de ton message, je peut répondre non à ta question (j'imagine bien qu'il y a des tas de choses aux quelles je n'ai pas pensés).
Pour information, lorsque je souhaite configurer un service, j'utilise les documentations officielles. Je m'appuie aussi sur des exemples (ces derniers me donnent une idée de la configuration necessaire). Et lorsque je ne comprends pas un paramètre, google est mon ami.
 
Sinon, j'ai trouvé d'où viens le problème:
le paramètre "allow-query" n'inclue pas les IP venant d'internet ! Donc toutes les requètes sont refusées.

Reply

Marsh Posté le 12-07-2006 à 12:36:13    

Tu peut dire ou va ce paramètre dans ta config ?

Reply

Marsh Posté le 12-07-2006 à 15:00:06    

Par raport aux fichiers de conf que j'ai posés sur ce forum, je le place dans le named.conf.
Mais comme ces derniers ont beaucoup changés, je le place à chaque ois dans la définition de zones.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed