Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Échanger des DNS secondaires entre serveurs amis/CHATONS

nicolas

Je suis tombé toute-à-l’heure sur ce post du forum CHATONS :
Qui héberge les DNS des chatons?

Ça m’a rappelé qu’on avait parlé avec Aymeric et aussi @etienne je crois d’entre héberger des serveurs DNS secondaires. Normalement c’est vraiment assez simple. Comme expliqué dans la documentation de Bind, il faut juste ajouter un bloc dans le fichier de configuration de bind pour le serveur secondaire :

// We are the secondary server for example.com
zone "example.com" {
  // this is a secondary server for the zone
  type secondary;
  // the file statement here allows the secondary to save
  // each zone transfer so that in the event of a program restart
  // the zone can be loaded immediately and the server can start
  // to respond to queries without waiting for a zone transfer
  file "example.com.saved";
  // IP address of example.com primary server
  primaries { 192.168.254.2; };
};

Et ensuite autoriser ce serveur à récupérer la zone au niveau du primary dans allow-transfer :

// We are the primary server for example.com
zone "example.com" {
  // this is the primary name server for the zone
  type primary;
  file "example.com";
  // this is the default
  notify yes;
  // IP addresses of secondary servers allowed to
  // transfer example.com from this server
  allow-transfer {
    192.168.4.14;
    192.168.5.53;
  };
};

Le seul truc auquel il va falloir faire attention c’est la clé TSIG, j’ai pas bien compris exactement comment elle est utilisée. Et aussi ça serait pas mal que Configurer DNSSEC sur ns1.club1.fr #7 soit mis en place, même si en vrai je fais pas plus confiance aux serveurs secondary qu’on a actuellement (he.net) qu’à des serveurs amis/CHATONS.

nicolas

Un article de Bortzmeyer par rapport à TSIG qui est pas mal. Notamment le fait qu’il faut utiliser juste la clé TSIG et pas les IPs dans la directive allow-transfer du primary, et bien faire une clé par paire de machines : https://www.bortzmeyer.org/8945.html

nicolas

Et la section du manuel de Bind qui est en fait très bien : https://bind9.readthedocs.io/en/v9.18.19/chapter7.html#tsig

nicolas

Ok je suis maintenant bien à l’aise avec les clés TSIG et complètement prêt à setup un echange de zones secondaires avec qui veut ! Au passage j’ai nettoyé la config (qui était en fait incorrecte) pour effectivement n’autoriser les transferts qu’avec la clé (et non pas les IPs), c’est plus sécurisé et plus robuste car ça tolère un changement d’infra au niveau des serveurs secondaires. D’après les logs ça fonctionne correctement.