Serveur DNS bind9 hybride / furtif

Le_MaLaDe · Le 11/12/2012, à 22:30

Bonjour,
je cherche à mettre en place un serveur DNS hybride.
Je m'explique.
J'ai aujourd'hui un nom de domaine avec un serveur DNS chez OVH.
J'ai une adresse www.mondomaine.com ou webmail.mondomaine.com

J'ai mis un serveur DNS sur mon réseau interne pour résoudre les noms et les garder en cache, et transformer les IP publiques en local, mais je voudrais que les autres qui ne correspondent pas à une adresse interne soit résolues par le DNS OVH.
Plus précisément sur le DNS mondomaine.com d'OVH :
www.mondomaine.com A 1.2.3.4
webmail.mondomaine.com 5.6.7.8

et sur le DNS interne :
www.mondomaine.com A 192.168.1.1

donc si je fais un dig www.mondomaine.com en local ça me donne 192.168.1.1, mais ce que je veux c'est qu'en interne si je tape dig webmail.mondomaine.com ça me renvoie 5.6.7.8.

Jusqu'ici ça marche bien, mon DNS interne fonctionne bien, mais je n'arrive pas à faire en sorte que mes adresses non référencées par mon DNS interne soit résolues par le DNS d'OVH (j'en ai beaucoup et ne veux pas tout réécrire sur le DNS interne).

voici named.conf.local :

acl ovh {
        //dns12.ovh.net;
        //ns12.ovh.net;
        213.251.188.131;
        213.251.128.131;
};

zone "mondomaine.com" {
        type master;
        file "/etc/bind/db.mondomaine.com";
        //allow-transfer { 127.0.0.1; 213.251.128.131; };
};

db.mondomaine.com :

$TTL    604800
@       IN      SOA     serveur. contact.mondomaine.com. (
                             13         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      serveur.
@       IN      A       192.168.1.1
www     IN      A       192.168.1.1

Merci pour votre aide.

Dernière modification par Le_MaLaDe (Le 03/01/2013, à 19:01)

Maisondouf · Le 12/12/2012, à 01:37

Je ne pense pas que tu puisses avoir le même domaine www.mondomaine.com en interne et en externe.

Le dig sur webmail.mondomaine.com cherche d'abord mondomaine.com et il le trouve en local car le www est une sorte de joker.
Mon serveur DNS local est un sous-domaine de mon domaine principal.
Quand je fais :

papounet@amd8papou:~$ dig home.maisondouf.fr

; <<>> DiG 9.8.1-P1 <<>> home.maisondouf.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61128
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0

;; QUESTION SECTION:
;home.maisondouf.fr.		IN	A

;; ANSWER SECTION:
home.maisondouf.fr.	86329	IN	A	109.190.48.246

;; AUTHORITY SECTION:
maisondouf.fr.		132286	IN	NS	ns101.ovh.net.
maisondouf.fr.		132286	IN	NS	dns101.ovh.net.

;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Dec 12 01:27:56 2012
;; MSG SIZE  rcvd: 100

On voit que mon serveur local est référencé par les DNS OVH.
Mes PC sont eux gérés par le DNS local avec leurs noms dans le domaine local 'barbe.lan'

papounet@amd8papou:~$ dig amd8papou.barbe.lan

; <<>> DiG 9.8.1-P1 <<>> amd8papou.barbe.lan
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10212
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

;; QUESTION SECTION:
;amd8papou.barbe.lan.		IN	A

;; ANSWER SECTION:
amd8papou.barbe.lan.	86400	IN	A	192.168.0.3

;; AUTHORITY SECTION:
barbe.lan.		86400	IN	NS	opti745.barbe.lan.

;; ADDITIONAL SECTION:
opti745.barbe.lan.	86400	IN	A	192.168.0.8

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Dec 12 01:32:03 2012
;; MSG SIZE  rcvd: 91

papounet@amd8papou:~$

Là c'est mon serveur "opti745" qui rempli le rôle de DNS local
pour les adresses externes il passe la main à un autre DNS

papounet@amd8papou:~$ dig ubuntu.fr

; <<>> DiG 9.8.1-P1 <<>> ubuntu.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4294
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0

;; QUESTION SECTION:
;ubuntu.fr.			IN	A

;; ANSWER SECTION:
ubuntu.fr.		14400	IN	A	109.234.160.118

;; AUTHORITY SECTION:
ubuntu.fr.		79937	IN	NS	ns1.o2switch.net.
ubuntu.fr.		79937	IN	NS	ns2.o2switch.net.

;; Query time: 105 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Dec 12 01:33:59 2012
;; MSG SIZE  rcvd: 91

papounet@amd8papou:~$

C'est un type de fonctionnement stable.

Maintenant, il y a peut-être moyen de mixer un peu les deux types de résolution mais je ne l'ai jamais fait...

tiramiseb · Le 12/12/2012, à 08:10

Maintenant, il y a peut-être moyen de mixer un peu les deux types de résolution mais je ne l'ai jamais fait...

Ce qui est faisable c'est de gérer les différents noms de machines comme des sous-domaines. Par exemple tu peux configurer Bind pour gérer un domaine "www.mondomaine.com" qui aurait une entrée "@ IN A 1.2.3.4" et ne rien définir pour les autres hôtes de "mondomaine.com". Ça te demandera de gérer un "domaine" local pour chaque adresse publique que tu veux changer localement, mais c'est la seule possibilité à ce que je sache.

Le_MaLaDe · Le 03/01/2013, à 19:00

Pourtant que je lis la doc sur ubuntu-fr sur les dns http://doc.ubuntu-fr.org/bind9, ça semble correspondre à un serveur hybride (ou même furtif ?) ce que je cherche à faire, ou j'ai mal compris la définition ?

Dernière modification par Le_MaLaDe (Le 03/01/2013, à 19:01)

tiramiseb · Le 03/01/2013, à 19:56

Si tu réponds à mon message, alors ça n'a rien à voir...

Le_MaLaDe · Le 03/01/2013, à 20:48

Peux-tu en dire plus ?

tiramiseb · Le 03/01/2013, à 21:19

Selon la doc que tu donnes en lien :
- un serveur hybride est un serveur qui fait à la fois cache, maître et/ou esclave
- un serveur furtif est un serveur qui n'est pas déclaré sur Internet et qui n'est donc pas utilisé par des tiers

Moi ce que je te propose de faire, c'est de configurer ton serveur interne indépendamment en maître sur un "domaine" qui correspond dans la réalité à une adresse précise.

Le_MaLaDe · Le 03/01/2013, à 21:34

A quoi sert allow-transfer dans une zone dans ce cas si ce n'est pas possible ?

tiramiseb · Le 03/01/2013, à 21:44

allow-transfer sert à faire un serveur secondaire...

Le_MaLaDe · Le 04/01/2013, à 08:02

Et allow-recursive ?
Quand je lis la doc je comprends pourtant qu'une de ces options sert à rediriger la demande vers un autre DNS s'il ne le trouve pas en local.
Pour résumé ma demande, j'ai un serveur DNS pour un domaine qui résout certains sous-domaines, et je veux que pour les sous-domaines qu'il ne trouve pas, il regarde sur un autre serveur DNS.

tiramiseb · Le 04/01/2013, à 08:45

Tu prends le problème par le mauvais bout.

Dans tous les cas, quand un serveur dessert un domaine, il estime avoir l'intégralité des informations du domaine. Tu ne peux pas rediriger les requêtes que pour des "morceaux" de domaine.
C'est pour ça que je t'ai dit de gérer les sous-domaine directement comme des domaines.

Ce que tu essaie de faire :

- A gère "toto.com"
- C interroge A pour avoir "autre.toto.com"
- A gère bien "toto.com" mais ne connaît pas "autre.toto.com" et renvoie donc à B (cela n'est pas possible)
- B répond l'adresse IP de "autre.toto.com"

Ce qu'il est possible de faire :

- A gère "interne.toto.com" comme un domaine mais ne gère pas "toto.com"
- C interroge A pour avoir "autre.toto.com"
- A ne gère pas "autre.toto.com" ni "toto.com" ni "com", alors A renvoie à B
- B répond l'adresse IP de "autre.toto.com"

tiramiseb · Le 04/01/2013, à 08:48

Le_MaLaDe a écrit :

je comprends pourtant qu'une de ces options sert à rediriger la demande vers un autre DNS s'il ne le trouve pas en local

Oui, c'est bien ça, sauf que "le" (dans "ne le trouve pas") ne correspond pas à une adresse (comme tu sembles le comprendre) mais à un domaine entier.
Si le serveur ne gère pas un domaine, il peut rediriger vers un autre serveur.

==> « une de ces options sert à rediriger la demande vers un autre DNS s'il ne trouve pas le domaine en local »

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 11/12/2012, à 22:30

Serveur DNS bind9 hybride / furtif

#2 Le 12/12/2012, à 01:37

Re : Serveur DNS bind9 hybride / furtif

#3 Le 12/12/2012, à 08:10

Re : Serveur DNS bind9 hybride / furtif

#4 Le 03/01/2013, à 19:00

Re : Serveur DNS bind9 hybride / furtif

#5 Le 03/01/2013, à 19:56

Re : Serveur DNS bind9 hybride / furtif

#6 Le 03/01/2013, à 20:48

Re : Serveur DNS bind9 hybride / furtif

#7 Le 03/01/2013, à 21:19

Re : Serveur DNS bind9 hybride / furtif

#8 Le 03/01/2013, à 21:34

Re : Serveur DNS bind9 hybride / furtif

#9 Le 03/01/2013, à 21:44

Re : Serveur DNS bind9 hybride / furtif

#10 Le 04/01/2013, à 08:02

Re : Serveur DNS bind9 hybride / furtif

#11 Le 04/01/2013, à 08:45

Re : Serveur DNS bind9 hybride / furtif

#12 Le 04/01/2013, à 08:48

Re : Serveur DNS bind9 hybride / furtif

Pied de page des forums