BIND9 sous squeeze

Le
Thanh Taduy
--e89a8fb1f33cc85bb1051ce2642a
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Bonjour à tous,

Je me remets à vos connaissances sur les problèmes concernant BIN=
D, car je
pense que ce sera un jeu d'enfant pour vous.
Je suis sous Debian squeeze et j'essaie de faire la chose suivante :
J'ai un domaine qui s'appelle admettons "domaine.com", ce domaine possÃ=
¨de
un certain nombre d'entrées A qui s'appellent admettons Public1,
Public2,.
C'est entrées sont connues publiquement, joignables de n'importe tout,=
et
elles sont déclarées sur un DNS externe au LAN.

Je voudrais maintenant rajouter des entrées qui seront privées (P=
rivé1,
Privé2, ). Ces entrées seront déclarées sur un DNS d=
u LAN en interne. La
zone qui est déclarée sur mon DNS privé est par conséqu=
ent "domaine.com".

Ma question est, comment dois-je écrire mon fichier name.conf ainsi qu=
e mon
fichier de zone de telle manière à ce que si quelqu'un du LAN ess=
aie
d'atteindre un serveur Privé, le DNS interne lui résolvera le nom=
en local,
et si l'entrée n'est pas dans cette zone locale, le DNS transfére=
ra cette
requête vers le DNS de mon FAI.

Je vous remercie par avance de toute les suggestions que vous pouvez me
faire.
Bon dimanche
Thanh

--e89a8fb1f33cc85bb1051ce2642a
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

<div dir="ltr">Bonjour à tous,<div><br></div><div>Je me remets Ã=
  vos connaissances sur les problèmes concernant BIND, car je pense =
que ce sera un jeu d&#39;enfant pour vous.</div><div>Je suis sous Debian sq=
ueeze et j&#39;essaie de faire la chose suivante :</div><div>J&#39;ai un do=
maine qui s&#39;appelle admettons &quot;<a href="http://domaine.com">doma=
ine.com</a>&quot;, ce domaine possède un certain nombre d&#39;entrÃ=
©es A qui s&#39;appellent admettons Public1, Public2,.</div><div>C&#39=
;est entrées sont connues publiquement, joignables de n&#39;importe to=
ut, et elles sont déclarées sur un DNS externe au LAN.</div><div>=
<br></div><div>Je voudrais maintenant rajouter des entrées qui seront =
privées (Privé1, Privé2, ). Ces entrées seront dÃ=
©clarées sur un DNS du LAN en interne. La zone qui est déclar=
ée sur mon DNS privé est par conséquent &quot;<a href="htt=
p://domaine.com">domaine.com</a>&quot;.</div><div><br></div><div>Ma questio=
n est, comment dois-je écrire mon fichier name.conf ainsi que mon fich=
ier de zone de telle manière à ce que si quelqu&#39;un du LAN ess=
aie d&#39;atteindre un serveur Privé, le DNS interne lui résolver=
a le nom en local, et si l&#39;entrée n&#39;est pas dans cette zone lo=
cale, le DNS transférera cette requête vers le DNS de mon FAI.</d=
iv><div><br></div><div>Je vous remercie par avance de toute les suggestions=
que vous pouvez me faire.</div><div>Bon dimanche</div><div>Thanh</div></di=
v>

--e89a8fb1f33cc85bb1051ce2642a--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/CAP07SRsGJ8c73qOEGT-f9zQSXgdO2x+EzjnY0SgPZU-NWm+A3g@mail.gmail.com
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
gnafou
Le #26362987
------=_Part_1660792_398410676.1439145838821
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

je crois que tu as juste la récursivité à activer.   ( allow-recursion ) 
F.


Le Dimanche 9 août 2015 17h19, Thanh Taduy

Bonjour à tous,
Je me remets à vos connaissances sur les problèmes concernant BIN D, car je pense que ce sera un jeu d'enfant pour vous.Je suis sous Debian s queeze et j'essaie de faire la chose suivante :J'ai un domaine qui s'appell e admettons "domaine.com", ce domaine possède un certain nombre d'entr ées A qui s'appellent admettons Public1, Public2,....C'est entrée s sont connues publiquement, joignables de n'importe tout, et elles sont d éclarées sur un DNS externe au LAN.
Je voudrais maintenant rajouter des entrées qui seront privées (P rivé1, Privé2, ...). Ces entrées seront déclarées sur un DNS du LAN en interne. La zone qui est déclarée sur mon DN S privé est par conséquent "domaine.com".
Ma question est, comment dois-je écrire mon fichier name.conf ainsi qu e mon fichier de zone de telle manière à ce que si quelqu'un du L AN essaie d'atteindre un serveur Privé, le DNS interne lui résolv era le nom en local, et si l'entrée n'est pas dans cette zone locale, le DNS transférera cette requête vers le DNS de mon FAI.
Je vous remercie par avance de toute les suggestions que vous pouvez me fai re.Bon dimancheThanh


------=_Part_1660792_398410676.1439145838821
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

------=_Part_1660792_398410676.1439145838821--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Christophe
Le #26362990
Hello,

Le 09/08/2015 17:19, Thanh Taduy a écrit :
Bonjour à tous,

Je me remets à vos connaissances sur les problèmes concernant BIND, car
je pense que ce sera un jeu d'enfant pour vous.
Je suis sous Debian squeeze et j'essaie de faire la chose suivante :
J'ai un domaine qui s'appelle admettons "domaine.com
qui s'appellent admettons Public1, Public2,....
C'est entrées sont connues publiquement, joignables de n'importe t out,
et elles sont déclarées sur un DNS externe au LAN.

Je voudrais maintenant rajouter des entrées qui seront privée s (Privé1,
Privé2, ...). Ces entrées seront déclarées sur un D NS du LAN en interne.
La zone qui est déclarée sur mon DNS privé est par consà ©quent
"domaine.com
Ma question est, comment dois-je écrire mon fichier name.conf ains i que
mon fichier de zone de telle manière à ce que si quelqu'un du LAN essaie
d'atteindre un serveur Privé, le DNS interne lui résolvera le nom en
local, et si l'entrée n'est pas dans cette zone locale, le DNS
transférera cette requête vers le DNS de mon FAI.

Je vous remercie par avance de toute les suggestions que vous pouvez me
faire.
Bon dimanche
Thanh




Dans bind9, ca s’appelle des "views" .

Il te faut définir un fichier de zone par emplacement (alias plage
d'adresse IPv4 ou IPv6) qui requête le DNS :

et dans la configuration de bind (simple exemple) :

view "net0" {
match-clients { 192.168.0.0/24; };
recursion yes;

zone "domaine.com" {
type master;
file "/etc/bind/zones/db.net0.domaine.com";
};
};

view "net1" {
match-clients { 192.168.1.0/24; };
recursion yes;

zone "domaine.com" {
type master;
file "/etc/bind/zones/db.net1.domaine.com";
};
};



En espérant que cela aide.

@+
Christophe.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Pascal Hambourg
Le #26363208
Christophe a écrit :

Ma question est, comment dois-je écrire mon fichier name.conf ainsi que
mon fichier de zone de telle manière à ce que si quelqu'un du LAN essaie
d'atteindre un serveur Privé, le DNS interne lui résolvera le nom en
local, et si l'entrée n'est pas dans cette zone locale, le DNS
transférera cette requête vers le DNS de mon FAI.



Dans bind9, ca s'appelle des "views" .



Les vues ou "views", c'est fait pour qu'un serveur DNS autoritaire serve
- par exemple - deux versions différentes d'une zone selon l'origine des
requêtes. Mais dans le cas présent, sauf erreur d'interprétation de ma
part, ce n'est pas ce qui est demandé. Si j'ai bien compris, le serveur
DNS local ne doit faire autorité que pour les noms privés de la zone et
récursif pour le reste de la zone, sans dupliquer la partie publique de
la zone. A ma connaissance, ce n'est pas possible : un serveur fait
autorité pour une zone entière ou pas du tout. Le seul moyen que je
vois, c'est de créer une zone fille locale pour et de même nom que
chaque nom privé. On peut utiliser le même fichier de zone générique
pour toutes les zones filles, seul le nom de la zone changeant.
thanh.taduy
Le #26363221
Bonjour Pascal,

C'est exactement ce dont j'ai besoin : une zone qui peut passer la main à mon FAI si un sous domaine n'est pas déclarée.
Votre idée m'intéresse. N'étant pas un expert du DNS, pourrie z-vous m'en dire plus ?
Pourriez-vous s'il vous plait me donner un exemple d'une zone locale ?

Je vous remercie de votre aide,
Bien à vous
Thanh

Envoyé de mon iPhone

Le 12 août 2015 à 13:54, Pascal Hambourg
Christophe a écrit :

Ma question est, comment dois-je écrire mon fichier name.conf ainsi que
mon fichier de zone de telle manière à ce que si quelqu'un du L AN essaie
d'atteindre un serveur Privé, le DNS interne lui résolvera le n om en
local, et si l'entrée n'est pas dans cette zone locale, le DNS
transférera cette requête vers le DNS de mon FAI.



Dans bind9, ca s'appelle des "views" .



Les vues ou "views", c'est fait pour qu'un serveur DNS autoritaire serve
- par exemple - deux versions différentes d'une zone selon l'origine d es
requêtes. Mais dans le cas présent, sauf erreur d'interprét ation de ma
part, ce n'est pas ce qui est demandé. Si j'ai bien compris, le serve ur
DNS local ne doit faire autorité que pour les noms privés de la z one et
récursif pour le reste de la zone, sans dupliquer la partie publique d e
la zone. A ma connaissance, ce n'est pas possible : un serveur fait
autorité pour une zone entière ou pas du tout. Le seul moyen que je
vois, c'est de créer une zone fille locale pour et de même nom q ue
chaque nom privé. On peut utiliser le même fichier de zone gé nérique
pour toutes les zones filles, seul le nom de la zone changeant.

fra-duf-no-spam
Le #26363227
Le 16659ième jour après Epoch,
thanh taduy écrivait:

Bonjour Pascal,

C'est exactement ce dont j'ai besoin : une zone qui peut passer la main à mon FAI si un sous domaine n'est pas déclarée.
Votre idée m'intéresse. N'étant pas un expert du DNS, pour riez-vous m'en dire plus ?
Pourriez-vous s'il vous plait me donner un exemple d'une zone locale ?



Bonjour.

À y regarder rapidement, je vois plusieurs solutions possible, et il y en a
sûrement d'autres:

1)

Créer sur le DNS local une entrée de type:

prive NS tondnslocal.domaine.com.

ou peut-être même simplement une entrée de type SOA sur le d omaine
'prive.domaine.com', afin qu'il soit autoritaire sur la zone
'privé.domaine.com', et définir pour l'ensemble des machines du r éseau
local le résolveur comme étant tondnslocal.domaine.com

Tes machines privées devront être nommées dans ce sous-domai ne (par
exemple machine1.prive.domaine.com).

Insérer dans le DNS un forwarding vers les DNS du FAI afin qu'il passe
la main sur les domaines dans lesquels il n'est pas autorité

2)

Gérer entièrement en local le domaine 'domaine.com' et utiliser d es vues
pour différentier les réponses. Les requêtes externes au LAN ne
répondront pas sur les machines 'prive1.domaine.com' par exemple.

3)

S'en foutre complètement et insérer dans le DNS distant des entr ées pour
les machines privées en répondant par des adresses du LAN. De tou te
façon elles seront inaccessibles de l'extérieur si le LAN est du type
adresses privées
Pascal Hambourg
Le #26363260
(Inutile d'envoyer une copie privée, je suis abonné à la liste)

a écrit :

C'est exactement ce dont j'ai besoin : une zone qui peut passer la main à mon FAI si un sous domaine n'est pas déclarée.
Votre idée m'intéresse. N'étant pas un expert du DNS, pourriez-vous m'en dire plus ?
Pourriez-vous s'il vous plait me donner un exemple d'une zone locale ?



Supposons le domaine principal example.com. Pour créer un zone pour un
sous-domaine privé private1.example.com, on fait une déclaration de zone
maître classique :

zone "private1.example.com" {
type master ;
file "/path/to/private1.example.com.db" ;
}

Exemple de contenu du fichier de zone /path/to/private1.example.com.db
(en fait le fichier de zone ne peut pas être générique puisque l'adresse
IP de l'enregistrement A est différente...) :

@ IN SOA ton.serveur.dns. ton.email. (
2015081200 ; serial (version)
6H ; refresh period (6 hours)
1H ; retry interval (1 hour)
2W ; expire time (2 weeks)
1H ; default ttl (1 hour)
)
IN NS ton.serveur.dns.
IN A 192.0.2.47 ; adresse de private1.example.com

Mais je me demande s'il ne serait pas possible de faire plus simple avec
un proxy DNS comme dnsmasq à la place de bind9.

Envoyé de mon iPhone



Est-ce un excuse pour justifier le top-posting et les lignes trop longues ?
Thanh Taduy
Le #26363274
--047d7b414f2acbb95a051d2302b5
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Pardon, vieille habitude de Répondre à tous :-(

Le 12 août 2015 21:06, Pascal Hambourg
(Inutile d'envoyer une copie privée, je suis abonné à la l iste)

a écrit :
>
> C'est exactement ce dont j'ai besoin : une zone qui peut passer la main
à mon FAI si un sous domaine n'est pas déclarée.
> Votre idée m'intéresse. N'étant pas un expert du DNS, po urriez-vous m'en
dire plus ?
> Pourriez-vous s'il vous plait me donner un exemple d'une zone locale ?

Supposons le domaine principal example.com. Pour créer un zone pour un
sous-domaine privé private1.example.com, on fait une déclaratio n de zone
maître classique :

zone "private1.example.com" {
type master ;
file "/path/to/private1.example.com.db" ;
}

Exemple de contenu du fichier de zone /path/to/private1.example.com.db
(en fait le fichier de zone ne peut pas être générique pui sque l'adresse
IP de l'enregistrement A est différente...) :

@ IN SOA ton.serveur.dns. ton.email. (
2015081200 ; serial (version)
6H ; refresh period (6 hours)
1H ; retry interval (1 hour)
2W ; expire time (2 weeks)
1H ; default ttl (1 hour)
)
IN NS ton.serveur.dns.
IN A 192.0.2.47 ; adresse de private1.example.com

Mais je me demande s'il ne serait pas possible de faire plus simple avec
un proxy DNS comme dnsmasq à la place de bind9.





L'exemple est bon, sauf que dans ce cas ci, j'aurais à faire autant de
fichier de zone que j'ai de sous domaine, n'est ce pas ?


> Envoyé de mon iPhone

Est-ce un excuse pour justifier le top-posting et les lignes trop longues ?




Non, juste simplement que j'ai lu ta réponse dans les transports. C'es t un
problème qui m'intéresse et que je souhaite connaitre la solution .

--047d7b414f2acbb95a051d2302b5
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

<br>
<span class="">&gt;<br>
&gt; C&#39;est exactement ce dont j&#39;ai besoin : une zone qui peut passe r la main à mon FAI si un sous domaine n&#39;est pas déclaré e.<br>
&gt; Votre idée m&#39;intéresse. N&#39;étant pas un expert d u DNS, pourriez-vous m&#39;en dire plus ?<br>
&gt; Pourriez-vous s&#39;il vous plait me donner un exemple d&#39;une zone locale ?<br>
<br>
sous-domaine privé maître classique :<br>
<br>
zone &quot;         type master ;<br>
        file &quot;/path/to/private1.example.com.db&quo t; ;<br>
}<br>
<br>
Exemple de contenu du fichier de zone /path/to/private1.example.com.db<br>
(en fait le fichier de zone ne peut pas être générique puisq ue l&#39;adresse<br>
IP de l&#39;enregistrement A est différente...) :<br>
<br>
@       IN      SOA     t on.serveur.dns. ton.email. (<br>
                         <a href="tel:2015081200" value="+12015081200">2015081200</a> ; serial (version)<br>
                         6H         ; refresh period (6 hours)<b r>
                         1H         ; retry interval (1 hour)<br >
                         2W         ; expire time (2 weeks)<br>
                         1H         ; default ttl (1 hour)<br>
                         )<br>
        IN      NS      t on.serveur.dns.<br>
        IN      A       192.0.2.47 ; adresse de <br>
Mais je me demande s&#39;il ne serait pas possible de faire plus simple ave c<br>
un proxy DNS comme dnsmasq à la place de bind9. <br>
&gt; Envoyé de mon iPhone<br>
<br>
Est-ce un excuse pour justifier le top-posting et les lignes trop longues ? <br>
<br>

--047d7b414f2acbb95a051d2302b5--
Pascal Hambourg
Le #26363312
Thanh Taduy a écrit :

L'exemple est bon, sauf que dans ce cas ci, j'aurais à faire autant de
fichier de zone que j'ai de sous domaine, n'est ce pas ?



Oui. C'est pour cela que j'ai suggéré dnsmasq à la place. A la base
c'est un simple proxy DNS qui relaie les requêtes vers un serveur DNS
récursif, mais il peut aussi répondre de lui-même pour les noms et
adresses définis dans /etc/hosts, sans devoir créer de zone.

Une autre solution, si tu as accès au contenu complet de la zone
publique originelle, consiste à créer une version locale de la zone en y
ajoutant les enregistrements privés. Il faudra bien sûr la mettre à jour
manuellement à chaque changement de la zone publique. Inutile de faire
des "views" si le serveur DNS local ne sert pas les requêtes externes.
Erwan David
Le #26363318
On Thu, Aug 13, 2015 at 10:28:04AM CEST, Pascal Hambourg
Thanh Taduy a écrit :
>
> L'exemple est bon, sauf que dans ce cas ci, j'aurais à faire autant de
> fichier de zone que j'ai de sous domaine, n'est ce pas ?

Oui. C'est pour cela que j'ai suggéré dnsmasq à la place. A la base
c'est un simple proxy DNS qui relaie les requêtes vers un serveur DNS
récursif, mais il peut aussi répondre de lui-même pour les noms et
adresses définis dans /etc/hosts, sans devoir créer de zone.

Une autre solution, si tu as accès au contenu complet de la zone
publique originelle, consiste à créer une version locale de la zone en y
ajoutant les enregistrements privés. Il faudra bien sûr la mettre à jour
manuellement à chaque changement de la zone publique. Inutile de faire
des "views" si le serveur DNS local ne sert pas les requêtes externes.




unbound aussi sait transmettre à un autre résolveur, tout en répondant
pour quelques enregistrements définis localement.
Thanh Taduy
Le #26363368
--001a113ce89e2822e8051d36a913
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Le 13 août 2015 11:54, Erwan David
On Thu, Aug 13, 2015 at 10:28:04AM CEST, Pascal Hambourg <
said:
> Thanh Taduy a écrit :
> >
> > L'exemple est bon, sauf que dans ce cas ci, j'aurais à faire aut ant de
> > fichier de zone que j'ai de sous domaine, n'est ce pas ?
>
> Oui. C'est pour cela que j'ai suggéré dnsmasq à la place . A la base
> c'est un simple proxy DNS qui relaie les requêtes vers un serveur DNS
> récursif, mais il peut aussi répondre de lui-même pour l es noms et
> adresses définis dans /etc/hosts, sans devoir créer de zone.
>
> Une autre solution, si tu as accès au contenu complet de la zone
> publique originelle, consiste à créer une version locale de l a zone en y
> ajoutant les enregistrements privés. Il faudra bien sûr la me ttre à jour
> manuellement à chaque changement de la zone publique. Inutile de f aire
> des "views" si le serveur DNS local ne sert pas les requêtes exter nes.
>




Dans cette histoire, je n'ai malheureusement pas la main sur la zone
publique soit pour faire une modif, soit pour faire uen copie en locale.
C'est ça qui est malheureux.


unbound aussi sait transmettre à un autre résolveur, tout en r épondant
pour quelques enregistrements définis localement.




Je vais de ce pas jeter un oeil et sur dnsmasq et sur unbound.
D'après ce que j'en tire de vos suggestions, c'est qu'il n'y a visible ment
pas de solution simple qu'on peut faire uniquement avec Bind et avec views.
Merci à tous de m'avoir éclairé sur ce sujet. Much appreciat ed - comme dit
souvent mon chef - :-)

--001a113ce89e2822e8051d36a913
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

&gt; Thanh Taduy a écrit :<br>
&gt; &gt;<br>
&gt; &gt; L&#39;exemple est bon, sauf que dans ce cas ci, j&#39;aurais à   faire autant de<br>
&gt; &gt; fichier de zone que j&#39;ai de sous domaine, n&#39;est ce pas ?< br>
&gt;<br>
&gt; Oui. C&#39;est pour cela que j&#39;ai suggéré dnsmasq à la place. A la base<br>
&gt; c&#39;est un simple proxy DNS qui relaie les requêtes vers un ser veur DNS<br>
&gt; récursif, mais il peut aussi répondre de lui-même pour les noms et<br>
&gt; adresses définis dans /etc/hosts, sans devoir créer de zone. <br>
&gt;<br>
&gt; Une autre solution, si tu as accès au contenu complet de la zone< br>
&gt; publique originelle, consiste à créer une version locale de la zone en y<br>
&gt; ajoutant les enregistrements privés. Il faudra bien sûr la m ettre à jour<br>
&gt; manuellement à chaque changement de la zone publique. Inutile de faire<br>
&gt; des &quot;views&quot; si le serveur DNS local ne sert pas les requà ªtes externes.<br>
&gt; <br>
</div></div>unbound aussi sait transmettre à un autre résolveur, tout en répondant<br>
pour quelques enregistrements définis localement.
--001a113ce89e2822e8051d36a913--
Publicité
Poster une réponse
Anonyme