Pages : 1
#1 Le 06/08/2014, à 10:34
- Rhyddid
Problème DNS/DNSSEC avec fichier de zone de reverse
Bonjour,
Je reviens vers vous car après avoir fini de configurer mon serveur DNS, j'ai voulu rajouter de la sécurité, j'ai donc ajouté DNSSEC, je génère les clés grâce à cette commande là :
dnssec-keygen -a NSEC3RSASHA1 -b 2048 -n ZONE dnstest.comdnssec-keygen -f KSK -a NSEC3RSASHA1 -b 4096 -n ZONE dnstest.comEnsuite j'ajoute les lignes au fichier de zone :
$INCLUDE Kdnstest.com.+007+25409.key ; ZSK $INCLUDE Kdnstest.com.+007+43941.key ; KSK et je signe les fichiers :
dnssec-signzone –A -3 $(head –c 1000 /dev/random | sha1sum | cut –b 1-16) –N INCREMENT -o dnstest.com db.dnstest.com dnssec-signzone –A -3 $(head –c 1000 /dev/random | sha1sum | cut –b 1-16) –N INCREMENT -o dnstest.com db.dnstest.com.invEt je modifie mon named.conf.local
file "/etc/bind/db.dnstest.com.signed" file "/etc/bind/db.dnstest.com.inv.signed"Et c'est là que cela coince pour mon fichier "principal" cela marche mon client test peut résoudre :
dig www.dnstest.com
il me renvoie la bonne adresse IP.
Par contre pour le fichier de reverse impossible en essayant par l'adresse IP il ne trouve pas, j'ai comme code erreur SERVFAIL.
J'ai donc décidé de revenir en arrière et de tester si c'était mes fichiersq de zone reverse qui ne fonctionnait plus, j'ai donc remodifié mon fichier named.conf.local comme ceci :
file "/etc/bind/db.dnstest.com.inv."et j'ai redemarré mon service bind et a nouveau j'ai la même erreur service bind donc après avoir vérifié mon fichier reverse avec la commande :
named-checkzone dnstest.com db.dnstrest.com.inv qui ne me retourne aucune erreur.
J'ai donc cherché d'où provenait cette erreur que je n'avais pas avant et j'(ai trouvé que cela venait des deux lignes "$INCLUDE ..." que j'avais rajouté à mes fichiers de reverse. Sans ses lignes u dig local ou sur mon client test marche par contre avec ses lignes ou quand c'est le fichier signé qui est interrogé j'ai un servfail comme erreur.
Je ne comprend pas pourquoi. Pourriez vous m'aider ou m'éclairer ? Merci d'avance.
Voici dans l'intégralité mes fichiers bind :
named.conf :
include "named.conf.local"
include "named.conf.option"
include "named.conf.default-zone"named.conf.option
options {
dnssec-enables yes;
dnssec-validation yes;
dnssec-lookaside auto;
listen-on { 127.0.0.1; 192.168.1.1; };
};named.conf.local :
zone "dnstest.com" {
type master;
file "/etc/bind/db.dnstest.com.signed";
allow-transfer {192.168.1.2; };
};
zone "1.168.192.in-addr.arpa" {
type master;
file "/etc/bind/db.dnstest.com.inv";
allow-transfer {192.168.1.2; };
};le fichier "db.dnstest.com"
$TTL 3600
@ IN SOA dnsserver1.dnstest. root.dnstest.com. (
2007010401 ; Serial
3600 ; Refresh [1h]
600 ; Retry [10m]
86400 ; Expire [1d]
600 ) ; Negative Cache TTL [1h]
;
@ IN NS dnsserver1.dnstest.com.
@ IN NS dnsserver2.dnstest.com.
dnsserver1 IN A 192.168.1.1
dnsserver2 IN A 192.168.1.2
interne IN A 192.168.1.3
pop IN CNAME dnsserver1
www IN CNAME interne
mail IN CNAME dnsserver1
$INCLUDE Kdnstest.com.+007+25409.key ; ZSK
$INCLUDE Kdnstest.com.+007+43941.key ; KSK le fichier db.dnstest.com.inv :
$TTL 3H
@ IN SOA dnsserver1.dnstest.com. root.dnstest.com. (
2007010401 ; Serial
3600 ; Refresh [1h]
600 ; Retry [10m]
86400 ; Expire [1d]
600 ) ; Negative Cache TTL [1h]
;
@ IN NS dnsserver1.dnstest.com.
@ IN NS dnsserver2.dnstest.com.
1 IN PTR dnsserver1.dnstest.com.
2 IN PTR dnsserver2.dnstest.com.
3 IN PTR interne.dnstest.com.
$INCLUDE Kdnstest.com.+007+25409.key ; ZSK
$INCLUDE Kdnstest.com.+007+43941.key ; KSK Hors ligne
Pages : 1