Bonjour,
Je reviens vers vous car après avoir fini de configurer mon serveur DNS, j'ai voulu rajouter de la sécurité, j'ai donc ajouté DNSSEC, je génère les clés grâce à cette commande là :
dnssec-keygen -a NSEC3RSASHA1 -b 2048 -n ZONE dnstest.com
dnssec-keygen -f KSK -a NSEC3RSASHA1 -b 4096 -n ZONE dnstest.com
Ensuite j'ajoute les lignes au fichier de zone :
1
2
| $INCLUDE Kdnstest.com.+007+25409.key ; ZSK
$INCLUDE Kdnstest.com.+007+43941.key ; KSK |
et je signe les fichiers :
1
2
| dnssec-signzone –A -3 $(head –c 1000 /dev/random | sha1sum | cut –b 1-16) –N INCREMENT -o dnstest.com db.dnstest.com
dnssec-signzone –A -3 $(head –c 1000 /dev/random | sha1sum | cut –b 1-16) –N INCREMENT -o dnstest.com db.dnstest.com.inv |
Et je modifie mon named.conf.local
file "/etc/bind/db.dnstest.com.signed"
file "/etc/bind/db.dnstest.com.inv.signed"
Et c'est là que cela coince pour mon fichier "principal" cela marche mon client test peut résoudre :
dig www.dnstest.com
il me renvoie la bonne adresse IP.
Par contre pour le fichier de reverse impossible en essayant par l'adresse IP il ne trouve pas, j'ai comme code erreur SERVFAIL.
J'ai donc décidé de revenir en arrière et de tester si c'était mes fichiersq de zone reverse qui ne fonctionnait plus, j'ai donc remodifié mon fichier named.conf.local comme ceci :
file "/etc/bind/db.dnstest.com.inv."
et j'ai redemarré mon service bind et a nouveau j'ai la même erreur service bind donc après avoir vérifié mon fichier reverse avec la commande :
named-checkzone dnstest.com db.dnstrest.com.inv
qui ne me retourne aucune erreur.
J'ai donc cherché d'où provenait cette erreur que je n'avais pas avant et j'(ai trouvé que cela venait des deux lignes "$INCLUDE ..." que j'avais rajouté à mes fichiers de reverse. Sans ses lignes u dig local ou sur mon client test marche par contre avec ses lignes ou quand c'est le fichier signé qui est interrogé j'ai un servfail comme erreur.
Je ne comprend pas pourquoi. Pourriez vous m'aider ou m'éclairer ? Merci d'avance.
Voici dans l'intégralité mes fichiers bind :
named.conf :
1
2
3
| include "named.conf.local"
include "named.conf.option"
include "named.conf.default-zone" |
named.conf.option
1
2
3
4
5
6
| options {
dnssec-enables yes;
dnssec-validation yes;
dnssec-lookaside auto;
listen-on { 127.0.0.1; 192.168.1.1; };
}; |
named.conf.local :
1
2
3
4
5
6
7
8
9
10
11
|
zone "dnstest.com" {
type master;
file "/etc/bind/db.dnstest.com.signed";
allow-transfer {192.168.1.2; };
};
zone "1.168.192.in-addr.arpa" {
type master;
file "/etc/bind/db.dnstest.com.inv";
allow-transfer {192.168.1.2; };
}; |
le fichier "db.dnstest.com"
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
| $TTL 3600
@ IN SOA dnsserver1.dnstest. root.dnstest.com. (
2007010401 ; Serial
3600 ; Refresh [1h]
600 ; Retry [10m]
86400 ; Expire [1d]
600 ) ; Negative Cache TTL [1h]
;
@ IN NS dnsserver1.dnstest.com.
@ IN NS dnsserver2.dnstest.com.
dnsserver1 IN A 192.168.1.1
dnsserver2 IN A 192.168.1.2
interne IN A 192.168.1.3
pop IN CNAME dnsserver1
www IN CNAME interne
mail IN CNAME dnsserver1
$INCLUDE Kdnstest.com.+007+25409.key ; ZSK
$INCLUDE Kdnstest.com.+007+43941.key ; KSK |
le fichier db.dnstest.com.inv :
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
| $TTL 3H
@ IN SOA dnsserver1.dnstest.com. root.dnstest.com. (
2007010401 ; Serial
3600 ; Refresh [1h]
600 ; Retry [10m]
86400 ; Expire [1d]
600 ) ; Negative Cache TTL [1h]
;
@ IN NS dnsserver1.dnstest.com.
@ IN NS dnsserver2.dnstest.com.
1 IN PTR dnsserver1.dnstest.com.
2 IN PTR dnsserver2.dnstest.com.
3 IN PTR interne.dnstest.com.
$INCLUDE Kdnstest.com.+007+25409.key ; ZSK
$INCLUDE Kdnstest.com.+007+43941.key ; KSK |
Problème DNSSEC avec fichier de zone de reverse
Répondre avec citation
Partager