Configuration de BIND 9.3.6 sur CentOS release 5.4 (Final) ??? - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 17-06-2010 à 12:36:55
Nicolas_83 a écrit : Bonjour, |
Idéalement si vous héberger réellement votre domaine (ce qui ne semble en fait pas être le cas) bind dispose des view qui permettrait de proposer deux types d'enregistrements:
--> ceux publics destinés au réseau externe
--> ceux internes destinés au réseau choisi
cf: http://www.zytrax.com/books/dns/ch7/view.html
Nicolas_83 a écrit : |
une solution élégante consisterait à « déléguer » un sous domaine dédié aux serveurs du registar en question, et prendre pour décision finale de n'utiliser que des enregistrements dans ce sous domaine.
par exemple il faut prendre la décision de créer les sites distants dans preprod.domaine.biz, le premier site étant sur le registar du coup un toto.preprod.domaine.biz
etc etc
cf http://www.zytrax.com/books/dns/ch9/delegate.html
Sur un tout autre point il faudrait se pencher sur une mise à jour du serveur bind dans un second temps, la dernière version supporté étant la 9.4-ESV-R-2
cf http://www.isc.org/software/bind/94-esv-r2
Marsh Posté le 17-06-2010 à 12:48:08
Merci pour cette réponse.
Le registar possède les entrées "internet" des serveurs et notre DNS interne possède les ip "local" des mêmes serveurs. Du coup si une entrée est créé chez notre registar si elle n'est pas créé dans notre DNS interne on est coincé. Il n'y a pas d'entrée "Internet" sur notre DNS interne.
Et pour la mise à jour ce n'est malheureusement pas moi qui décide de ça :-/
Marsh Posté le 17-06-2010 à 15:09:12
Bon je viens de soumettre cette possibilité à mes collègues (jouer avec des sous domaines) mais le problème c'est que pas mal d'application fonctionne avec des noms de domaines et il faut que pour elles les infos soit transparentes (ip local ou internet du moment que ça fonctionne !!)
Donc je suis coincé, car nous gérons plus d'un seul domaine, domaine.biz est 1 exemple mais nous gérons plus de 30 domaines et chaque domaine possède plusieurs entrés.
De plus notre Bind DNS est "master" de chacune des zones que nous gérons et je pense que le problème est là.
Exemple l'adresse "annuaire.domaine.biz" permet d'accéder à notre annuaire partager (un serveur WEB) qui est hébergé sur le 2ème site. Ce serveur est joignable de partout sauf du data à moins de préciser cette entré dans notre DNS. Je cherche donc à lui dire que si il ne connait pas l'entrée il forward, même si je sais que cela parait stupide vu qu'il est master de la zone.
Marsh Posté le 17-06-2010 à 15:29:01
tu ne vas pas pouvoir « forwarder » une entrée précise si le BIND sait justement qu'il est mettre de la zone en question.
Ce que tu peux déléguer c'est un sous domaine...
Sinon comme dit précédemment, tu optes pour un BIND qui est *réellement* le maitre de toutes les zones, qui propose une view interne et une view externe, et quand une entrée est ajoutée , elle le sera dans les deux views : soit une ip « interne » pour la view interne si le serveur de test va être placé dans ton site A, soit une ip routable dans la même view interne si le nouveau site est au niveau de ton site B.
Cela implique donc de bien penser à faire les modifications au niveau des deux zones (ce qui peut raisonnablement s'automatiser par le biais de scripts et d'utilisation de rndc-update )
Marsh Posté le 17-06-2010 à 16:19:51
Je comprends ce que vous voulez faire, mais le soucis c'est qu'entre les sites A et B il n'y a pas les mêmes serveurs (plus précisément il n'y a pas les mêmes services). Ensuite les sous-domaines ne sont pas possible a cause de la gestion en interne du datacenter, qui est pourrit je l'avoue.
Et pour finir nous ne pouvons pas nous permettre de mettre notre serveur dns sur le net.
Donc, comme je le pensais, ce n'ai pas possible donc on va trouver une autre solution ^^.
Merci beaucoup, j'ai appris un truc "les views" sur bind je vais plancher le sujet. Encore merci.
Nicolas
Marsh Posté le 18-06-2010 à 12:20:40
Bon la solution qui a été choisi est de refaire entièrement du début afin d'avoir une conf propre pour commencer. Si je trouve une solution pour le faire sous linux je la posterais ici, car il semblerait que sur un serveur Windobes 2003 les DNS sont capables d'effectuer une demande à un serveur tiers si celui-ci est déclaré et qu'il ne possède pas l'entrée demandé dans ses bases. Donc si un zidoze est capable de le faire y a pas de raison qu'un pingouin ne le soit pas ^^
Marsh Posté le 18-06-2010 à 12:28:14
n'importe quel dns va faire suivre la requête pour un sous domaine si il n'en dispose pas en cache *sous* réserve qu'il ne soit pas considéré comme le maitre de la zone en question ,dans ce cas il renverra un joli NXDOMAIN et gardera la dite réponse en cache.
J'ai donc un doute sur le fonctionnement que tu décrit par des serveurs windows .
Marsh Posté le 18-06-2010 à 13:53:51
Je n'ai pas de serveur windows sous la main pour tester et confirmer mes dires, ceci est donc à prendre au conditionnel.
Cela n'empêche pas de refaire les DNS de façon propre.
Nicolas
Marsh Posté le 17-06-2010 à 12:08:55
Bonjour,
Bon voici ce que l'on a, je dois reprendre la configuration d'un serveur Bind (BIND 9.3.6-P1-RedHat-9.3.6-4.P1.el5_4.2) sur un serveur CentOS release 5.4 (Final) qui a été configuré, à l'arrache, avec un Webmin 1.400.
Pour l'exemple je vais utiliser des ip et des noms de domaines "bidons", je ferais la conversion dans mon coin .
Domaine : domaine.biz
IP_local du serveur DNS primaire : 192.168.250.10
IP_internet du domaine : 84.83.82.81
Entête du fichier domaine.biz.hosts :
$ttl 38400
domaine.biz. IN SOA ns1.domanie.biz. email.domaine.biz. (
1261156791
10800
3600
604800
38400 )
domaine.biz. IN NS ns1.domaine.biz.
MX 10 emailsecurity-001.domaine.biz.
MX 80 antivirus1.domaine.biz.
MX 100 antivirus2.domaine.biz.
$ORIGIN domaine.biz.
antivirus1.domaine.biz. IN A 192.168.84.147
antivirus2.domaine.biz. IN A 192.168.49.15
antivirus3.domaine.biz. IN A 84.83.82.81
antivirus4.domaine.biz. IN A 192.168.100.10
....
....
Conf du named.conf :
options {
directory "/etc";
pid-file "/var/run/named/named.pid";
forward first;
forwarders {
195.68.0.1;
195.68.0.2;
};
};
zone "domaine.biz" {
type master;
file "/var/named/domaine.biz.hosts";
};
....
....
Bon maintenant que le décors est planté voici mon problème :
Ma boite possède un datacenter avec un serveur bind, en interne, qui nous permet d'accéder à nos machine local dans le domaine "domaine.biz" (mail.domaine.biz, dev.domaine.biz, www.domaine.biz par exemple). Cependant ce domaine est également géré par notre registar ce qui permet d'accéder aux mêmes machines mais avec depuis le net.
Pour résumer la machine nommé www.domaine.biz est joignable en interne sur l'ip 192.168.5.25 et en externe sur 84.83.82.81. Cette manipulation nous permet donc d'accéder à la machine en local sans passer par les Firewall et sans utiliser son IP Public. Le soucis c'est qui y a un 2 ème site et qu'il y a également des serveurs là-bas. Si une entrée "preprod.domaine.biz" est créé chez notre registar et qui pointe sur le 2ème site mais qui n'est pas créé dans notre DNS interne du datacenter le Bind (du data) ne forward pas la requette vers un autre serveur DNS et il dis que l'entrée n'existe pas.
Comment faire pour lui dire que si il ne trouve pas d'entrée dans ses fichiers Hosts il doit forwarder à un autre DNS (celui du registar par exemple)
Message édité par Nicolas_83 le 17-06-2010 à 12:09:12