Créer un serveur DNS sur Debian

Le serveur DNS gère la traduction des adresses IP en noms de domaine.

Grâce à ceci, je peux par exemple atteindre mon serveur nas : 172.16.20.20 avec nas.it.fr

Plutôt que de se souvenir d’une adresse IP, on retient un nom.

Un problème avec sudo ?

Danger (N'utilisez pas le compte root)

Si vous configurez votre serveur directement en tant que root, n’oubliez pas de retirer sudo de chaque commande.
Si vous définissez un mot de passe pour le compte root, la commande sudo ne sera pas acceptée. Connectez-vous directement en tant que root pour exécuter les commandes.
Vous pouvez aussi réinstaller votre système en laissant le mot de passe root vide lors de l’installation.
sudo s’installera et fonctionnera correctement.

ℹ️ Voici la configuration pour ce tutoriel :

IP Serveur DNS	Masque Réseau	Nom de la machine (hostname)	Nom de domaine
172.16.10.10	255.255.0.0	dns	it.fr

Ces 4 champs doivent être remplacés tout au long du tutoriel par les vôtres (correspondant à votre configuration).

Nommer la machine

sudo nano /etc/hostname

1
dns

Ici nous nommons la machine dns

S’assurer que l’adresse IP du serveur est STATIQUE

ip a

1
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
2
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
3
    inet 127.0.0.1/8 scope host lo
4
       valid_lft forever preferred_lft forever
5
    inet6 ::1/128 scope host
6
       valid_lft forever preferred_lft forever
7
2: ens192: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
8
    link/ether 00:0c:29:cd:01:1a brd ff:ff:ff:ff:ff:ff
9
    altname enp11s0
10
    inet 172.16.10.10/16 brd 172.16.255.255 scope global ens192
11
       valid_lft forever preferred_lft forever
12
    inet6 fe80::20c:29ff:fecd:11a/64 scope link
13
       valid_lft forever preferred_lft forever

ip a affiche la configuration réseau des interfaces connectées à la machine.

Mon interface ens192 possède l’adresse IP et le masque 172.16.10.10/16

Si vous avez fixé l’adresse de la machine lors de l’installation (configuration réseau manuelle), passez à l’étape suivante.

Passer l’adresse IP de l’interface en statique

1
sudo nano /etc/network/interfaces

1
# This file describes the network interfaces available on your system
2
# and how to activate them. For more information, see interfaces(5).
3

4
source /etc/network/interfaces.d/*
5

6
# The loopback network interface
7
auto lo
8
iface lo inet loopback
9

10
# The primary network interface
11
allow-hotplug ens192
12
iface ens192 inet static
13
address 172.16.10.10
14
netmask 255.255.0.0
15
gateway 172.16.1.1

Éditer le fichier hosts

sudo nano /etc/hosts

1
172.16.10.10  dns.it.fr  dns
2
127.0.0.1 dns

IP_SERVEUR_DNS HOSTNAME.DOMAINE HOSTNAME

Éditer le fichier resolv.conf

sudo nano /etc/resolv.conf

1
domain it.fr
2
search it.fr
3
nameserver 172.16.10.10

Danger

Il est nécessaire de redémarrer la machine :

sudo reboot

Après le redémarrage de la machine, passez à l’étape suivante.

Installer bind9

sudo apt update  &&  sudo apt install bind9 dnsutils

sudo apt update mettra à jour la liste des paquets en se basant sur le fichier sources.list
sudo apt install bind9 dnsutils installe bind9 pour gérer les zones DNS.

Copier et renommer le modèle de configuration

sudo cp /etc/bind/db.local /etc/bind/db.it.fr

La commande cp nous permet de copier db.local (le fichier de configuration par défaut de bind9), et de le renommer en un nouveau fichier db.it.fr

Éditer le fichier de configuration de zone DNS

Tip

Pour gagner du temps, nous allons directement remplacer les champs “localhost” par “it.fr” (notre domaine), dans le fichier de configuration.

Pour ce faire, nous utilisons l’utilitaire sed :

sudo sed 'i/localhost/it.fr/g' db.it.fr

Vérifiez votre configuration :

1
;
2
; BIND data file for local loopback interface
3
;
4
$TTL    604800
5
@       IN      SOA     it.fr. root.it.fr. (
6
                              2         ; Serial
7
                         604800         ; Refresh
8
                          86400         ; Retry
9
                        2419200         ; Expire
10
                         604800 )       ; Negative Cache TTL
11
;
12
@       IN      NS      localhost.
13
@       IN      A       172.16.10.10
14
@       IN      AAAA       ::1
15
dns       IN       A       172.16.10.10
16
client       IN       A       172.16.20.20

L’enregistrement A nommé client nous permet d’atteindre 172.16.20.20 avec client.it.fr

Ajouter un enregistrement DNS

Hostname	IN	Type	Adresse IP
nas	IN	A	172.16.30.30

1
;
2
; BIND data file for local loopback interface
3
;
4
$TTL    604800
5
@       IN      SOA     it.fr. root.it.fr. (
6
                              2         ; Serial
7
                         604800         ; Refresh
8
                          86400         ; Retry
9
                        2419200         ; Expire
10
                         604800 )       ; Negative Cache TTL
11
;
12
@       IN      NS      localhost.
13
@       IN      A       172.16.10.10
14
@       IN      AAAA       ::1
15
dns       IN       A       172.16.10.10
16
client       IN       A       172.16.20.20
17
nas       IN       A       172.16.30.30

Voici une description des principaux types d’enregistrements DNS :

A	AAAA	CNAME	MX	TXT	NS	SOA	SRV	PTR
Associe un nom d’hôte à une adresse IPv4 (32 bits)	Associe un nom d’hôte à une adresse IPv6 (128 bits)	Transfère un domaine ou un sous-domaine vers un autre domaine, ne fournit pas d’adresse IP	Dirige le courrier vers un serveur de messagerie	Peut être utilisé pour enregistrer des notes. Il est souvent utilisé pour la sécurité du courrier.	Stocke le serveur DNS pour une entrée	Stocke les informations administratives d’un domaine	Spécifie un port pour des services spécifiques	Fournit un nom de domaine dans les recherches inversées. La résolution inverse (l’inverse du type A).

Liste complète

📝 Éditer le fichier named.conf

Il est nécessaire de spécifier le chemin des fichiers de configuration pour les zones DNS :

sudo nano /etc/bind/named.conf.local

1
//
2
// Do any local configuration here
3
//
4

5
// Consider adding the 1918 zones here, if they are not used in your
6
// organization
7
//include "/etc/bind/zones.rfc1918";
8

9
zone "it.fr" {
10
        type master;
11
        file "/etc/bind/db.it.fr";
12
        allow-query { any; };
13
};
14
zone "10.16.172.in-addr.arpa" {
15
        type master;
16
        file "/etc/bind/db.it.fr.inv";
17
};

Ligne 9 zone "MON_DOMAINE"
Ligne 11 file "/etc/bind/db.MON_DOMAINE";
Ligne 14 Adresse inversée : zone "3_PREMIERS_OCTETS_ADDRESSE_RESEAU.in-addr.arpa"

Exemple : Si mon adresse réseau est : 192.168.1.0/24 inversée : 1.168.192

Ligne 16 file "/etc/bind/db.MON_DOMAINE.inv";

📝 Éditer le fichier named.conf.options

Nous allons maintenant configurer le fichier qui gère les options de redirection des requêtes :

sudo nano /etc/bind/named.conf.options

1
options {
2
  directory "/var/cache/bind";
3

4
  // If there is a firewall between you and nameservers you want
5
  // to talk to, you may need to fix the firewall to allow multiple
6
  // ports to talk.  See http://www.kb.cert.org/vuls/id/800113
7

8
  // If your ISP provided one or more IP addresses for stable
9
  // nameservers, you probably want to use them as forwarders.
10
  // Uncomment the following block, and insert the addresses replacing
11
  // the all-0's placeholder.
12

13
   forwarders {
14
     172.16.10.10;
15
     1.1.1.1;
16
   };
17

18
  //========================================================================
19
  // If BIND logs error messages about the root key being expired,
20
  // you will need to update your keys.  See https://www.isc.org/bind-keys
21
  //========================================================================
22
  dnssec-validation auto;
23

24
  auth-nxdomain no;    # conform to RFC1035
25
  version none;
26
          forward only;
27
  // listen-on-v6 { any; };
28
};

Ligne 13, l’option forwarders définit les serveurs DNS.
Je saisis donc l’adresse IP de mon serveur DNS.
C’est aussi grâce à cela que les machines du réseau peuvent accéder au WAN,
en spécifiant un DNS public (cloudflare: 1.1.1.1 ou google: 8.8.8.8 etc).