WORKSHOP : DNS

A2 – 2017/2018

PRISE EN MAIN DU SERVICE DNS SOUS DEBIAN

INSTALLATION LINUX

Ce workshop a été réalisé à partir d’une distribution Debian dans sa version 7.7 pour architecture x86
sous VMWare Workstation 10.

La carte réseau est configurée en NAT et reçoit par défaut une adresse IP grâce au serveur DHCP
intégré à VMWare qui lui permet de communiquer sur le réseau du CESI et Internet.

L’authentification sur le proxy du CESI doit avoir été faite depuis votre hôte sous Windows.

CONFIGURATION D’UN CLIENT DNS

1) QUE CONTIENT VOTRE FICHIER /ETC/HOSTS ?

2) DANS QUEL ORDRE SE FERA LA RESOLUTION DE NOMS SUR VOTRE

MACHINE ?

3) QUELLE EST L'ADRESSE IP DU SERVEUR DE NOMS DNS QUE LE

RESOLVEUR INTERROGERA ?

4) MODIFIER LE FICHIER DE CONFIGURATION DE LA RESOLUTION DE

NOMS POUR QU'IL INTERROGE LES SERVEURS DNS SUIVANTS :
Serveurs OpenDNS :

DNS Primaire : 208.67.222.222

DNS Secondaire : 208.67.220.220

Workshop : « DNS »
Fayçal KHETAR fkhetar@cesi-algerie.com
Romain BRUNELOT rbrunelot@cesi.fr
2ème année cycle préparatoire 2017
 WORKSHOP : DNS

A2 – 2017/2018

REQUETES DNS

INTERROGATION BASIQUE :

La commande nslookup étant dépréciée sur les systèmes GNU/Linux, nous allons utiliser la
commande dig (si absent de votre installation, paquet nommé dnsutils sous Debian).

Cette commande permet d’envoyer une requête de résolution de nom à un serveur DNS (par défaut
ceux définis dans resolv.conf mais on peut en définir un autre).

Cette commande permet d’avoir une vision détaillée de la requête et sa réponse ; notamment les flags,
lorsqu’ils sont présents.

Voici leur signification :

• qr (query response) indique qu’il s’agit d’une réponse à une requête.

• aa (authoritative answer) indique que la réponse vient directement d’un serveur faisant autorité.

• rd (recursion desired) indique qu’une requête récursive est demandée (par défaut).

• ra (recursion available) indique que la récursivité est disponible.

1) DETERMINER L’ADRESSE IP DE WWW.CESI.FR

2) DETERMINEZ SI LA REPONSE DU SERVEUR DNS QUI VOUS A REPONDU

SUPPORTE LA RECURSIV ITE ET SI SA REPONSE FAIT AUTORITE («
AUTHORITATIVE »).

3) DETERMINEZ LE SERVEUR A UTILISER POUR OBTENIR UNE REPONSE

«AUTHORITATIVE ». CE SERVEUR SUPPORTE-T-IL LA RECURSIVITE ?

4) QUELLE REPONSE VOUS DONNE UN SERVEUR DNS LORSQU’IL NE

SUPPORTE PAS LA RECURSIVITE ET QU’IL NE CONNAIT PAS LA
REPONSE A VOTRE QUESTION ?

Workshop : « DNS »
Fayçal KHETAR fkhetar@cesi-algerie.com
Romain BRUNELOT rbrunelot@cesi.fr
2ème année cycle préparatoire 2017
 WORKSHOP : DNS

A2 – 2017/2018

FONCTIONNEMENT DU DN S
1) VISUALISEZ, AVEC L’OPTION +TRACE LA SUITE DES SERVEURS
CONTACTES POUR TROUVER L’ADRESSE IP DE WWW.CESI.FR. QUELS
SONT LES DOMAINES TRAVERSES ET LES SERVEURS DE NOMS
INTERROGES ? LA REQUETE EST-ELLE RECURSIVE ? QUE CONSTATEZ-
VOUS EN LANÇANT PLUSIEURS FOIS CETTE COMMANDE ?

2) COMMENT SAVOIR QUELS SERVEURS DNS GERENT LE TLD .FR ?

3) COMMENT RECUPERER AVEC DIG LES INFORMATIONS CONTENUES

DANS LES ENTREES DE TYPE SOA DU DNS GERANT LA ZONE CESI.FR ?

Les enregistrements SOA (Start Of Authority) donnent les informations générales de la zone :
serveur principal, courriel de contact, différentes durées dont celle d'expiration, numéro de série de
la zone. Il désigne l'autorité (start of authority) ou le responsable de la zone dans la hiérarchie
DNS.

Cet enregistrement permet d'indiquer le serveur de nom maître (primaire), l'adresse email d'un
contact technique (avec @ remplacé par un point) et des paramètres d'expiration. Ces paramètres
sont dans l'ordre :

Workshop : « DNS »
Fayçal KHETAR fkhetar@cesi-algerie.com
Romain BRUNELOT rbrunelot@cesi.fr
2ème année cycle préparatoire 2017
 WORKSHOP : DNS

A2 – 2017/2018
zone IN SOA primary email. (
serial
refresh
retry
expire
ttl )
avec:

Zone : Nom de domaine associé à la zone.

Primary : Nom de domaine du serveur primaire de la zone (notez le point apposé à la fin du nom).
Email : C'est l'adresse électronique du contact technique de la zone. Cette adresse a un format
particulier différent du format habituel utilisé pour le courrier électronique ; le "@" est en effet
remplacé par un point ("."). Ainsi, pour une adresse "nom@nom_domaine", on obtient
"nom.nom_domaine." (Notez encore une fois le point (".") à la fin du nom de domaine.
Si le nom dans l'adresse email contient un point, celui-ci doit être "protégé" en le faisant précéder
du caractère "\".
Exemple : on notera philippe\.lubrano.nic.fr. pour philippe.lubrano@nic.fr
Serial : Ce paramètre donne le numéro de série du fichier de zone, ce qui correspond à la version
du fichier. Le serial est un entier de 32 bits qui doit être augmenté avant chaque enregistrement du
fichier de zone après que des modifications y aient été effectuées. En principe, on peut choisir un
numéro de série de départ quelconque et l'incrémenter à chaque modification du fichier de zone.
Cependant, il y a un format recommandé, notamment :
YYYYMMDDxx (YYYY : année ; MM : mois ; DD : jour ; xx : énième modification du jour).
Refresh : Les serveurs secondaires autoritaires pour la zone procèdent régulièrement à la
vérification du numéro de série du fichier de zone du primaire pour décider si la zone doit être
transférée ou non. Le paramètre refresh donne l'intervalle de temps en secondes entre deux
vérifications du numéro de série. La valeur recommandée est 86400 (c.-à-d. 24 heures) ; elle devra
être réduite si les modifications sont fréquentes pour la zone.
Retry : La vérification du numéro de série par un serveur secondaire peut se solder par un échec
dû par exemple à des problèmes de connexion. Dans ce cas, la valeur du paramètre retry donne
l'intervalle en secondes entre deux tentatives de lecture du serial du fichier de zone. La valeur
recommandée est 21400, soit 6 heures ; elle devra être ajustée en fonction de la connectivité entre
les serveurs autoritaires de la zone.
Expire : Un serveur peut ne pas réussir à vérifier le serial ou à transférer le fichier de zone. Dans
ce cas, on considère au bout d'un certain temps que les informations qu'il détient dans la copie du
fichier de zone sont "périmées" et qu'il ne faut plus les diffuser. Le paramètre expire donne le
temps maximum pendant lequel les données du serveur secondaire peuvent être diffusées, si
aucune vérification ni transfert de zone n'ont pu être effectués depuis leur téléchargement. La
valeur recommandée pour expire est 3600000, soit 41 jours ; au-delà de cette période, le serveur
ne diffusera plus ces données et répondra d'une manière non autoritaire pour les requêtes
concernant cette zone.
En général, on choisit une valeur de expire très grande par rapport à celle de refresh, et celle de
refresh très grande par rapport à celle de retry (retry << refresh << expire).

Workshop : « DNS »
Fayçal KHETAR fkhetar@cesi-algerie.com
Romain BRUNELOT rbrunelot@cesi.fr
2ème année cycle préparatoire 2017
 WORKSHOP : DNS

A2 – 2017/2018

TTL : Cette durée de vie (TTL : time to live) est différente de celle définie ppar $TTL (durée de
vie des RR). Ce paramètre définit la durée de vie pour le "negative caching", c'est-à-dire le temps
qu'une réponse négative doit rester dans les caches. Il existe deux types de réponse négative qu'un
serveur peut renvoyer en réponse à une requête DNS (voir aussi RFC 2308)

4) DETERMINER LE TTL (DUREE PENDANT LAQUELLE

L’ENREGISTREMENT SERA VALIDE DANS LES CACHES DES DNS) DE
WWW.CESI.FR?

5) LE TYPE NOM CANONIQUE (ALIAS). VERIFIER LE TYPE DE

WWW.YAHOO.FR?

6) TROUVER L’ADRESSE IP ET LE NOM DU SERVEUR D’ECHANGE DE

COURRIER DE CESI.FR ?

INSTALLATION ET CONFIGURATION D’UN SERVEUR DNS

Toute la configuration qui suit simule une résolution de nom sur le réseau IPv4 192.168.1.0/24.

INSTALLATION DES PAQUETS

apt-get install bind9 bind9utils dnsutils

CONFIGURATION DU SERVICE

Les fichiers de configuration du service sont dans le répertoire /etc/bind/.

On y trouve les fichiers de configuration du service (ex : named.conf) et les fichiers de zone (ex :
db.127).

Nous nous intéressons dans un premier temps aux fichiers de configuration du service.

Ces fichiers vont permettre de définir comment va agir notre serveur DNS et quelles zones il va gérer.
Les fichiers de zones contiennent les enregistrements des zones.

Workshop : « DNS »
Fayçal KHETAR fkhetar@cesi-algerie.com
Romain BRUNELOT rbrunelot@cesi.fr
2ème année cycle préparatoire 2017
 WORKSHOP : DNS

A2 – 2017/2018

On peut éditer le fichier named.conf.local et y ajouter ces lignes par exemple :

zone "example.com" {
type master;
file "/etc/bind/db.example.com";
};

zone "1.168.192.in-addr.arpa" {
type master;
file "/etc/bind/db.192.168.1";
};

Cela défini une zone directe pour le domaine example.com et une zone reverse pour les adresses de ce
réseau : 192.168.1.0/24.

On peut vérifier la configuration avec la commande : named-checkconf

CREATION DU FICHIER DE ZONE DIRECT

Fichier /etc/bind/db.example.com

$TTL 86400
@ IN SOA ns1.example.com. admin.example.com. (
2013062301 ; serial number YYMMDDNN
28800 ; Refresh
7200 ; Retry
864000 ; Expire
86400 ; Min TTL
)
@ IN NS ns1.example.com.
@ IN MX 10 mail.example.com.
ns1 IN A 192.168.1.53
mail IN A 192.168.1.25

Workshop : « DNS »
Fayçal KHETAR fkhetar@cesi-algerie.com
Romain BRUNELOT rbrunelot@cesi.fr
2ème année cycle préparatoire 2017
 WORKSHOP : DNS

A2 – 2017/2018

CREATION DU FICHIER DE ZONE INVERSE

Fichier /etc/bind/db.192.168.1

$TTL 86400
@ IN SOA ns1.example.com. admin.example.com. (
2013062301 ; serial number YYMMDDNN
28800 ; Refresh
7200 ; Retry
864000 ; Expire
86400 ; Min TTL
)
@ IN NS ns1.example.com.
;1.168.192.in-addr.arpa IN NS ns1.example.com.

53 IN PTR ns1.example.com.
25 IN PTR mail.example.com.

TEST DES FICHIERS DE ZONE

Commande named-checkzone

Ex : named-checkzone 1.168.192.in-addr.arpa /etc/bind/db.192.168.1

Maintenant que vous l’avez fait une fois manuellement, je peux vous dire qu’il existe des logiciels
pour aider à créer ces fichiers de zone. Par exemple : http://pgl.yoyo.org/as/bind-zone-file-creator.php

TEST DU SERVICE

On utilisera pour cela la commande dig.

Dig @127.0.0.1 mail.example.com

Dig @127.0.0.1 –x 192.168.1.25

Vous avez ainsi un serveur DNS qui répond à vos requêtes… mais cela reste une installation limitée
sans serveur esclave par exemple.

Workshop : « DNS »
Fayçal KHETAR fkhetar@cesi-algerie.com
Romain BRUNELOT rbrunelot@cesi.fr
2ème année cycle préparatoire 2017