technique:serveur_dns:reverse_ip_abonne

Obsolète

Reverse Ip Abonnée

Une reverse d'une ip est la résolution d'une adresse IP en Nom DNS

dig +short -x 80.67.180.5 ⇒ chtx-5.abo.wifi.ilico.fr.

Prérequis

Tout d’abord il faut 2 machines (de préférence dans 2 AS différent)

(Ce wiki montre la procédure sous Debian Wheezy)

On choisira un Serveur maître et un serveur esclave

Chez ilico

champignon.ilico.fr/91.194.60.201, 2001:67C:288::201 ⇒ Maitre

cassoulet.ilico.fr/91.224.149.116, 2A01:6600:8081:7400::1 ⇒ Esclave

On va maintenant installé le serveur DNS

(Attention si vous avez déjà installé un serveur avec DNSMasq il sont incompatible du fait que est un serveur DNS forwader)

sur chacun des serveurs: 

apt-get update && apt-get install bind9

Création de la zone Primaire

a partir d'ici il va falloir configuré le serveur Maitre

On va maintenant crée une Zone

Modifier le fichier avec votre éditeur de fichier favoris 

/etc/bind/named.conf.local

et y rajouté ceci a la fin du fichier 

zone "$blocip.in-addr.arpa" {
             type master;
             file "/etc/bind/db.$blocip.in-addr.arpa";
             allow-transfer {$ip.serveur.esclave;};
                notify yes;
        };

Il va bien-sur falloir remplacer certaine chose

file “/etc/bind/db.$blocip.in-addr.arpa”; nous avons appeler le fichier comme ceci pour ne pas sy perdre

$blocip = Votre bloc d'ip que vous possédé pour vos abonné, chez ilico c'est celui ci ⇒ 80.67.180.0/24 mais il va falloir le découpe en fonction du CIDR 80.67.180 et l'inversé ce qui fera ⇒

180.67.80.in-addr.arpa

$ip.serveur.esclave = Sesont les adresse ipv4 et/ou ipv6 de votre serveur esclave chez ilico ⇒ 91.224.149.116, 2A01:6600:8081:7400::1 chaque adresse ip est séparé d'un point virgule ce qui donnera

allow-transfer {91.224.149.116;2a01:6600:8081:7400::1;};

Enregistré votre fichier

Maintenant on va ajouté des information a cette zone

Crée un fichier

cp /dev/null /etc/bind/db.$blocip.in-addr.arpa“;

Le nom du fichier dépend de $blocip ou du nom que vous avez choisie auparavant

Puis édite le grâce a votre éditeur favoris

et rajouté 

$TTL    604800
@       IN      SOA     NomDeDomaineServeurMaitre. Contact.domaine.fr. (
                        2014081102         ; Serial
                         3600         ; Refresh
                          900         ; Retry
                        604800         ; Expire
                         604800 )       ; Negative Cache TTL
;

        IN      NS      NomDeDomaineServeurMaitre.
        IN      NS      NomDeDomaineServeuresclave.
1       IN      PTR     miassou.abo.wifi.ilico.fr.
2       IN      PTR     chtx-2.abo.wifi.ilico.fr.
3       IN      PTR     chtx-3.abo.wifi.ilico.fr.
4       IN      PTR     chtx-4.abo.wifi.ilico.fr.
5       IN      PTR     chtx-5.abo.wifi.ilico.fr.

@ IN SOA NomDeDomaineServeurMaitre. Contact.domaine.fr. (

Contact.domaine.fr ⇒ est une adresse mail ou il faut remplacer les “at” par des points

2014081102 ; Serial ⇒ le serial s'ecrit sour la forme AAAA MM JJ NN , qu'il faut modifier a chaque modification du fait de la date, et du Numero NN qui faut augmenter a chaque fois cela permet de prevenir les serveur secondaire d'une modification

1 IN PTR miassou.abo.wifi.ilico.fr.

2 IN PTR chtx-2.abo.wifi.ilico.fr.

3 IN PTR chtx-3.abo.wifi.ilico.fr.

chaque numéro correspond a l'adresse IP de fin

80.67.180.1 ⇒ miassou.abo.wifi.ilico.fr.

80.67.180.2 ⇒ chtx-2.abo.wifi.ilico.fr. etc…

Synchronisation de la zone avec le(s) serveurs esclave

On va maintenant passer sur le serveur esclave

Modifier le fichier avec votre éditeur de fichier favoris 

/etc/bind/named.conf.local

et y rajouté ceci a la fin du fichier 

zone "$blocip.in-addr.arpa" {
             type slave;
             file "/var/cache/bind/db.$blocip.in-addr.arpa";
             masters {ipserveurmaitrev4;ipserveurmaitrev6;};
        };

Relancer votre serveur esclave puis votre serveur maître, n’hésitai pas le faire plusieurs fois quee les configuration se mette en place 

service bind9 restart
[....] Stopping domain name service...: bind9waiting for pid 7609 to die
. ok 
[ ok ] Starting domain name service...: bind9.

puis vérifier la présence est le contenue de ce fichier dans le serveur esclave : 

cat /var/cache/bind/db.$blocip.in-addr.arpa

qui doit être normalement le même, que celui sur le serveur maitre

Débogage

Pour vérifier la bonne mise en place de vos serveurs DNS relancer les services bind9 sur chacun des serveur 

service bind9 restart
[....] Stopping domain name service...: bind9waiting for pid 7609 to die
. ok 
[ ok ] Starting domain name service...: bind9.

puis vérifier dans les syslog si il y pas d'erreur

cat /var/log/syslog

si vous voyer ce genre de chose c'est que il y a eu souci 

Aug 11 17:32:43 ilico named[29258]: zone 180.67.80.in-addr.arpa/IN: not loaded due to errors.
Aug 11 17:33:08 ilico named[29258]: zone 180.67.80.in-addr.arpa/IN: not loaded due to errors.
Aug 11 17:33:41 ilico named[29258]: zone 180.67.80.in-addr.arpa/IN: not loaded due to errors.
Aug 11 17:45:54 ilico named[29258]: zone 180.67.80.in-addr.arpa/IN: not loaded due to errors.
Aug 11 18:04:49 ilico named[29258]: zone 180.67.80.in-addr.arpa/IN: not loaded due to errors.
Aug 11 18:18:54 ilico named[29258]: zone 180.67.80.in-addr.arpa/IN: not loaded due to errors.

sinon vous devez voir ceci 

Aug 14 05:31:15 cassoulet named[9495]: zone 180.67.80.in-addr.arpa/IN: loaded serial 2014081403
Aug 14 05:33:11 ilico named[16682]: zone 180.67.80.in-addr.arpa/IN: loaded serial 2014081403

Utiliser une autre machine que le serveur primaire et secondaire pour envoyer des requette DNS de test

dig +short -x 80.67.180.5 @91.194.60.201 ⇒ chtx-5.abo.wifi.ilico.fr.

dig +short -x adresse.ip.a.reverse @ip.serveur.maitre.ou.esclave

je vous conseille d'utiliser cette outils gracieusement en ligne par l'afnic

Outils afnic

qui vas vous permetre de faire des test

dans le champs Zone il va falloir écrire $blocip.in-addr.arpa et dans le 1Primaire le nom DNS du serveur primaire et dans 2Secondaire le nom DNS du serveur secondaire.

Ou sinon ya mon mail auquel je peut vous aider 

contact {({[at])} silentt {([dot)]} fr

Déléguation

Maintenant que tout est bon il va falloir que vous vous fassiez déléguer les reverse du bloc d'adresse ip de vos abonnés

Pour se faire il va falloir tout simplement contacté les propriétaire du bloc ip de vos abonnés, si vous ne le connaissais pas :

  • Aller sur le site du Ripe est inscrivez dans le champs une adresse IP du bloc attribué a vos abonnés.

Le site vas vous répondre plein d'information et normalement il y aura une ligne avec ecris 

mnt-by:          Le nom des propriétaire des ip

Vous allez peut être le reconnaître, puis il faudra leur demandé de vous délégué la reverse de ce bloc d'adresse IP en précisant les nom DNS et l'adresse IP de vos serveur DNS que vous avez précédemment configurer.

  • technique/serveur_dns/reverse_ip_abonne.txt
  • Dernière modification : 2017/07/17 09:26
  • de taziden