Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente | |||
technique:adminsys:dns:reverse [2021/11/22 22:30] – ↷ Page déplacée de technique:internal_serv:dns:reverse à technique:adminsys:dns:reverse qduchemi | technique:adminsys:dns:reverse [2021/11/22 22:30] (Version actuelle) – ↷ Liens modifiés en raison d'un déplacement. qduchemi | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
+ | {{indexmenu_n> | ||
+ | # Configuration des reverses | ||
+ | |||
+ | < | ||
+ | Pour le reste de la page, on suppose que le [dépôt dédié au DNS](https:// | ||
+ | |||
+ | Une **[résolution DNS inverse](https:// | ||
+ | |||
+ | < | ||
+ | |||
+ | Dans certains cas, cela peut augmenter la sécurité. Par exemple, les serveurs mail vérifient souvent le reverse : s'ils ont reçus un email d'une IP qui prétend émettre de `mail.picasoft.net`, | ||
+ | |||
+ | Dans le fichier `named.conf.local`, | ||
+ | |||
+ | ## Zone pour IPv4 | ||
+ | |||
+ | ``` | ||
+ | // Reverse 91.224.148.84 (alice) | ||
+ | zone " | ||
+ | type master; | ||
+ | file "/ | ||
+ | allow-transfer{91.224.148.85; | ||
+ | }; | ||
+ | ``` | ||
+ | |||
+ | La syntaxe est un peu spéciale. Tous les reverses V4 ont le suffixe spécial `.in-addr.arpa`, | ||
+ | |||
+ | < | ||
+ | |||
+ | Bonne question! | ||
+ | |||
+ | < | ||
+ | |||
+ | Ainsi, supposons que Tetaneutral nous allouait le bloc 91.224.148.0. Nous aurions pu alors créer la zone `148.224.91.in-addr.arpa`, | ||
+ | |||
+ | Mais ces notions de classes sont obsolètes. Tetaneutral nous alloue les IP une par une, alors comment faire pour nous déléguer le reverse pour une unique IP ? | ||
+ | |||
+ | < | ||
+ | |||
+ | < | ||
+ | |||
+ | Le *registrar* nous fournit notre nom de domaine, c'est donc lui qui va pouvoir dire où aller chercher la correspondance avec les IP. | ||
+ | |||
+ | Mais ici, c'est Tetaneutral qui nous fournit les IP, c'est donc vers lui qu'on va se tourner pour les reverses ! Par exemple, [la base de donnée RIPE](https:// | ||
+ | |||
+ | Pour tout ce qui est dans le bloc `91.224.148.0/ | ||
+ | |||
+ | ## Zone pour IPv6 | ||
+ | |||
+ | Pour IPv6, c'est le même principe : | ||
+ | |||
+ | ``` | ||
+ | // Reverse 2a03: | ||
+ | zone " | ||
+ | type master; | ||
+ | file "/ | ||
+ | allow-transfer{91.224.148.85; | ||
+ | }; | ||
+ | ``` | ||
+ | |||
+ | On inverse **symbole par symbole** l' | ||
+ | |||
+ | On n'a pas ici l' | ||
+ | |||
+ | ## Exemple de fichier de zone IPv4 | ||
+ | |||
+ | Une fois notre serveur configuré pour le reverse de chaque IP, il ne reste plus que à créer un fichier de zone pour chaque délégation reverse que nous fait Tetaneutral. Comme il y en a un certain nombre, ils sont tous versionnés dans le dossier reverse du [dépôt Git](https:// | ||
+ | |||
+ | Par exemple le fichier '' | ||
+ | |||
+ | ``` | ||
+ | ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; | ||
+ | ;;;;;;;;;;;;;;;;;;; | ||
+ | ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; | ||
+ | $ORIGIN . | ||
+ | $TTL 7200 ; TTL - 2H - Durée expiration cache DNS client | ||
+ | 84/ | ||
+ | 2018012801 | ||
+ | 300 ; Refresh - 5 minutes - Fréquence d' | ||
+ | 3600 ; Retry - 1 heure - Fréquence de nouvel essai quand actualisation DNS échoue | ||
+ | 2419200 | ||
+ | 10800 ; Negative Cache TTL - 3 heures - TTL de l' | ||
+ | ) | ||
+ | |||
+ | ; Set origin | ||
+ | $ORIGIN 84/ | ||
+ | |||
+ | ; NS records | ||
+ | IN NS | ||
+ | IN NS | ||
+ | IN NS | ||
+ | |||
+ | ; PTR record | ||
+ | 84 IN PTR alice.picasoft.net. | ||
+ | ``` | ||
+ | |||
+ | La ligne la plus importante est la dernière. C'est elle qui enregistre l'IP '' |