admin:services:dns:knot
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
admin:services:dns:knot [2016/10/12 00:20] – [Installation] Conversion conf david.sinquin | admin:services:dns:knot [2018/05/10 15:27] (Version actuelle) – chirac | ||
---|---|---|---|
Ligne 4: | Ligne 4: | ||
On l' | On l' | ||
- | apt install | + | apt install |
(Le paquet bind9utils permet de disposer de la commande named-checkzone pour vérifier un fichier de zone avant utilisation.) | (Le paquet bind9utils permet de disposer de la commande named-checkzone pour vérifier un fichier de zone avant utilisation.) | ||
- | Si la machine dispose également d'un serveur DNS récursif en écoute sur le port 53, il faut limiter Knot aux interfaces publique, en éditant ''/ | + | Si la machine dispose également d'un serveur DNS récursif en écoute sur le port 53, il faut limiter Knot aux interfaces publique, en éditant ''/ |
<file - / | <file - / | ||
server: | server: | ||
+ | # Listen on all configured IPv4 interfaces. | ||
listen: 62.210.81.204@53 | listen: 62.210.81.204@53 | ||
+ | # Listen on all configured IPv6 interfaces. | ||
listen: 2001: | listen: 2001: | ||
+ | listen: 2001: | ||
+ | # User for running the server. | ||
+ | # user: knot:knot | ||
+ | # Hide version | ||
version: "" | version: "" | ||
+ | # Hide server name | ||
identity: "" | identity: "" | ||
+ | |||
+ | log: | ||
+ | # Log info and more serious events to syslog. | ||
+ | - target: syslog | ||
+ | any: info | ||
+ | |||
+ | remote: | ||
+ | - id: parangon | ||
+ | address: 2a0c: | ||
+ | address: 138.231.142.239@53 | ||
+ | - id: saigon | ||
+ | address: 193.48.225.201@53 | ||
+ | |||
+ | acl: | ||
+ | - id: acl_slaves | ||
+ | address: 138.231.142.239 | ||
+ | address: 2a0c: | ||
+ | address: 193.48.225.201 # saigon | ||
+ | action: transfer | ||
</ | </ | ||
Ligne 22: | Ligne 48: | ||
On édite le fichier de configuration de Knot pour avoir le contenu suivant : | On édite le fichier de configuration de Knot pour avoir le contenu suivant : | ||
<file - / | <file - / | ||
- | remotes { | ||
- | quigon { | ||
- | address 160.228.155.65@53; | ||
- | } | ||
- | } | ||
- | zones { | + | zone: |
- | | + | - domain: federez.net |
- | | + | |
- | | + | |
+ | acl: acl_slaves | ||
+ | dnssec-signing: | ||
+ | dnssec-policy: | ||
- | federez.net { | ||
- | file "/ | ||
- | xfr-out quigon; | ||
- | notify-out quigon; | ||
- | } | ||
… | … | ||
- | } | ||
</ | </ | ||
- | Si l'on ne veut pas que la zone soit signée avec DNSSEC, on ajoute à la zone la directive : '' | + | Si l'on ne veut pas que la zone soit signée avec DNSSEC, on ajoute à la zone la directive : '' |
- | Sinon, il faut, au besoin, générer les clefs DNSSEC dans '' | + | Dans le cas contraire, on met à on. La gestion des clef est automatique, cf le tuto suivant https://www.swordarmor.fr/gestion-automatique-de-dnssec-avec-knot.html |
- | Pour cela : | + | |
- | cd /etc/ | + | |
- | dnssec-keygen | + | |
- | | + | |
- | (À noter, les tailles des clefs sont peut-être un peu longues, la taille a été choisi sans recherches poussées.) | + | |
- | Enfin, il faut ajouter les clefs dans l' | + | |
- | dig +cd +multi federez.net dnskey | + | |
- | À noter, en cas de signature | + | Il suffit donc de mettre dnssec-enable à yes, puis de récupérer la clef avec |
- | On place enfin le contenu de la zone dans ''/ | + | knotc zone-read federez.net |
+ | |||
+ | Enfin on la publie sur l'interface ovh et c'est bon. | ||
===== Modification d'une zone ===== | ===== Modification d'une zone ===== | ||
+ | |||
+ | __**Attention, | ||
On édite le fichier non-signé, par exemple ''/ | On édite le fichier non-signé, par exemple ''/ | ||
- | Ensuite, on vérifie que l'on a bien mis à jour le serial (la première valeur numérique de l' | + | On vérifie que l'on a bien mis à jour le serial (la première valeur numérique de l' |
- | | + | |
+ | Pour s' | ||
+ | / | ||
- | Enfin, on écrase le fichier en '' | + | On peut vérifier que la zone est bien gérée par knot : |
- | | + | |
- | et on recharge knot : | + | |
- | | + | |
- | On peut vérifier que knot s'est bien rechargé | + | Si l'on ne veut pas utiliser le script, on peut lancer |
- | | + | |
+ | knotc zone-check federez.net | ||
+ | knotc zone-reload federez.net |
admin/services/dns/knot.1476224459.txt.gz · Dernière modification : 2016/10/12 00:20 de david.sinquin