Service de nommage DNS

9.1 Service de nommage DNS

Préliminaires lors de la résolution :
- appel à une fonction de bibliothèque ;
- lecture du fichier /etc/resolv.conf ;
- appel au DNS spécifié (e.g. ns.plil.fr).
Une implémentation du DNS : bind9.
Nom du démon fournissant le service : named.
Fichier de configuration : /etc/bind/named.conf et ses sous-fichiers.

Extraits pour ns.plil.fr :

éléments de sécurité système (named.conf.options) :

controls {
  inet 127.0.0.1 allow {localhost;} keys {dnskey;} ;
};

key dnskey {
  algorithm HMAC-MD5;
  secret dfqsfFFcYyyyU999xcsdqs==;
};

éléments de sécurité serveur DNS (named.conf.options) :

options {
  ...
  allow-query { any; };
  allow-query-cache { trusted; };
  allow-recursion { trusted; };
  allow-transfer{ none; };
  version "mine";
  ...
};

acl "trusted" {
  172.26.0.0/16;
  2001:660:4401:6000::0/56;
  ...
};

les serveurs racines sont référencés (named.conf.default-zones) :
```
zone "." {
  type hint;
  file "root.cache";
  }; 
```

le DNS est maître pour certaines zones (named.conf.local) :

zone "plil.info" {
  type primary;  // version politiquement correcte de master
  file "/etc/bind/zones/plil.info/plil-dir.zone";
};

zone "145.26.172.in-addr.arpa" {
  type primary;  // version politiquement correcte de master
  file "/etc/bind/zones/plil.info/plil-schoolrooms-rev-IPv4.zone";
};

zone "144-159.204.101.195.in-addr.arpa" {
  type primary;  // version politiquement correcte de master
  file "/etc/bind/zones/plil.fr/plil-fiber-rev-IPv4.zone";
};

zone "8.4.0.6.1.0.4.4.0.6.6.0.1.0.0.2.ip6.arpa" {
  type primary;  // version politiquement correcte de master
  file "/etc/bind/zones/plil.info/plil-schoolserv-rev-IPv6.zone";
};

éléments de sécurité pour les zones primaires (named.conf.local) :

zone "plil.info" {
  type primary;
  file "/etc/bind/zones/plil.info/plil-dir.zone";

  allow-transfer{secondaries;};  // filtrage des secondaires
  also-notify{hiddensecondaries;}; // pour les secondaires vicieux
  notify yes;    // notification des secondaires

  inline-signing yes;   // DNSSEC automatique
  key-directory "/etc/bind/keys"; // répertoire des clefs, attention aux droits
  dnssec-policy "dnssecpolicy";  // politique pour les clefs de chiffrement
};

dnssec-policy "dnssecpolicy" {
  keys {
    ksk key-directory lifetime unlimited algorithm 13;
    zsk key-directory lifetime unlimited algorithm 13;
  };
  nsec3param;
};

acl "secondaries" {
  195.220.223.1;   // il était une fois Poitiers
  ...
};

masters "hiddensecondaries" {
  217.70.177.40;   // ns6.gandi.net caméléon IPv4
  2001:4b98:d:1::40;   // ns6.gandi.net caméléon IPv6
};

le DNS est secondaire pour d’autres zones (named.conf.local) :

zone "rex.eudil.fr"{
  type secondary; // version politiquement correcte de slave
  file "/etc/bind/backup/rex.eudil.fr";
  primaries{ 2001:660:4401:60b0:216:3eff:feb0:b140; };
};

Exemples de fichiers de zone pour plil.fr.

Exemple de fichier d’adresses :

$TTL 86400
@       IN      SOA     ns.plil.fr. postmaster.plil.fr. (
           3608           ; Version
          21600           ; Refresh secondary    (6h)
           3600           ; Retry secondary      (1h)
        2592000           ; Expire if no refresh (30j)
          86400 )         ; Negative cache       (24h)
        IN      NS      ns.plil.fr.
        IN      NS      ns6.gandi.net.
@       IN      MX      100 vervins.plil.fr.
@       IN      TXT     "v=spf1 mx mx:polytech-lille.fr -all"

ns         IN A 195.101.204.145
fourmies   IN A 195.101.204.146
vervins    IN A 195.101.204.147
ns         IN AAAA 2a01:c916:2047:c800:0216:3eff:fe82:8a5c
fourmies   IN AAAA 2a01:c916:2047:c800:0216:3Eff:fe52:8093
vervins    IN AAAA 2a01:c916:2047:c800:0216:3Eff:fe52:8095
imap       IN CNAME fourmies.plil.fr.
mail       IN CNAME vervins.plil.fr.

Exemple de fichier de noms :

$TTL 86400
@       IN      SOA     ns.plil.fr. postmaster.plil.fr. (
           3608           ; Version
          21600           ; Refresh secondary    (6h)
           3600           ; Retry secondary      (1h)
        2592000           ; Expire if no refresh (30j)
          86400 )         ; Negative cache       (24h)
        IN      NS      ns.plil.fr.
        IN      NS      ns6.gandi.net.

145     IN PTR ns.plil.fr.
146     IN PTR fourmies.plil.fr.
147     IN PTR vervins.plil.fr.

Les serveurs racines.

Fichier root.cache disponible à :

https://www.internic.net/domain/named.root

Le contenu au 5/10/2000 :

.                   3600000 IN NS    A.ROOT-SERVERS.NET.
A.ROOT-SERVERS.NET. 3600000    A     198.41.0.4
.                   3600000    NS    B.ROOT-SERVERS.NET.
B.ROOT-SERVERS.NET. 3600000    A     128.9.0.107
...

Le contenu au 17/01/2024 :

.                        3600000      NS    A.ROOT-SERVERS.NET.
A.ROOT-SERVERS.NET.      3600000      A     198.41.0.4
A.ROOT-SERVERS.NET.      3600000      AAAA  2001:503:ba3e::2:30
.                        3600000      NS    B.ROOT-SERVERS.NET.
B.ROOT-SERVERS.NET.      3600000      A     170.247.170.2
B.ROOT-SERVERS.NET.      3600000      AAAA  2801:1b8:10::b
...

Insertion dynamique d’enregistrements DNS.

Exemple de déclaration de zone pour ajout dynamique :

zone "dynamic.eudil.fr" {
  type primary;
  file "dynamic/eudil.fr";
  allow-update { key dnskey; };
};

Ajout dynamique et manuel d’entrée dans le DNS :

# nsupdate
> update add toto.dynamic.eudil.fr. 3600 IN A 193.48.64.221
> 
#

Ajout dynamique d’entrées dans le DNS par DHCP :

ddns-update-style interim;
key dnskey {
  algorithm HMAC-MD5;
  secret dfqsfFFcYyyyU999xcsdqs==;
  }

zone dynamic.eudil.fr. {
  primary douaisis.escaut.net; // Il était une fois l'EUDIL
  key dnskey;
  }

subnet 172.26.16.0 netmask 255.255.240.0 {
  option domain-name "students.deule.net ...";
  option subnet-mask 255.255.240.0;
  option broadcast-address 172.26.31.255;
  option static-routes ...
  option routers artegau.studserv.deule.net;
  range 172.26.17.0 172.26.28.255;
  ddns-domainname "eudil.fr";
  ddns-rev-domainname "dynamic.eudil.fr";
  ddns-ptr-domainname "dynamic.reverse.eudil.fr";
  }