linux:dns [Notes]

Cette page est en lecture seule. Vous pouvez afficher le texte source, mais ne pourrez pas le modifier. Contactez votre administrateur si vous pensez qu'il s'agit d'une erreur.
====== DNS ======

  * https://zonemaster.fr/fr/run-test
  * [[https://www.bortzmeyer.org/chaine-dns.html|Bien maîtriser ses chaînes de dépendance DNS]]
  * [[https://www.bortzmeyer.org/rollover-algorithm-opendnssec.html|Passage de mes zones DNS à des signatures à courbes elliptiques]]
  * [[https://www.bortzmeyer.org/serveur-dns-faisant-autorite.html|Serveur DNS faisant autorité : définition]]
  * [[https://www.bortzmeyer.org/separer-resolveur-autorite.html|Pourquoi ne pas mélanger résolveur DNS et serveur DNS faisant autorité ?]]
  * [[https://www.bortzmeyer.org/fermer-les-recursifs-ouverts.html|Il est recommandé de fermer les serveurs DNS récursifs ouverts]]
  * [[https://www.bortzmeyer.org/files/jdll-rdds.pdf|Trouver de l’information sur un nom de domaine]]
  * [[https://shaarli.guiguishow.info/?hCft1w|Noms de domaine : changer de bureau d'enregistrement]]
  * [[https://bersace.cae.li/dnsdock2.html|Rediriger la résolution de certains domaines dans un Docker]]
  * [[https://www.afnic.fr/observatoire-ressources/papier-expert/le-dns-ca-colle-ou-ca-ne-colle-pas/|Le DNS, ça colle ou ça ne colle pas ?]]
  * [[https://www.afnic.fr/observatoire-ressources/papier-expert/le-nom-de-domaine-dans-tous-ses-etats/|Le nom de domaine dans tous ses états]]

  * [[https://calomel.org/nsd_dns.html|NSD DNS Tutorial]]
  * [[https://www.microlinux.fr/blog/debian-13-dnsmasq/|Dnsmasq sur un routeur sous Debian 13]]



==== Dig ====

  * [[https://jvns.ca/blog/2021/12/04/how-to-use-dig/|How to use dig]]

Le binaire est dans le paquet Debian ''bind9-dnsutils''.


==== Changer le DNS pour une application ====

[[https://serverfault.com/a/952691|Source]]

Utiliser ''firejail'':
<code bash>
firejail --dns=8.8.8.8 application
</code>

L'option ''%%--%%quiet'' indique à firejail de ne pas afficher d'information.



==== Unbound ====

  * [[https://calomel.org/unbound_dns.html|Unbound DNS Tutorial]]
  * [[https://rtfm.co.ua/en/freebsd-home-nas-part-4-local-dns-with-unbound/|FreeBSD: Home NAS, part 4 – Local DNS with Unbound]]
  * [[https://wiki.evolix.org/HowtoUnbound|Howto Unbound]]

Unbound ne supporte pas le mécanisme ''NOTIFY'' pour transférer ses zones vers un serveur secondaire.

=== Gestion du cache ===

  * [[https://abridge2devnull.com/posts/2016/03/unbound-dns-server-cache-control/|Unbound DNS Server Cache Control]]
  * [[https://www.nlnetlabs.nl/documentation/unbound/howto-turnoff-dnssec/|Howto Turn Off DNSSEC]]

Afficher le cache DNS :
<code bash>
sudo unbound-control dump_cache
</code>
Enlever une entrée du cache :
<code bash>
sudo unbound-control flush www.google.com
</code>


=== Serveur faisant autorité ===

  * [[https://www.aricodes.net/posts/unbound-authoritative-zone/|Using Unbound as an Authoritative Nameserver]]
  * [[https://troubleshooters.com/linux/unbound_nsd/nsd.htm|NSD, an Authoritative Server to go with Unbound]]

''/etc/unbound/unbound.conf'' :
<code>
server:
    prefer-ip4: yes
    do-ip4: yes
    do-ip6: no
    hide-identity: yes
    hide-version: yes
    prefetch: yes
    tls-cert-bundle: "/etc/ssl/certs/ca-certificates.crt"

forward-zone:
    name: "."
    forward-addr: 192.168.3.53@53

auth-zone:
  name: g1.t2
  zonefile: /etc/unbound/g1.t2
</code>

''/etc/unbound/g1.t2'' :
<code>
$TTL    3600 ; 1 Hour
$ORIGIN g1.t2.
g1.t2. IN SOA g1.t2. hostmaster.g1.t2. (
                              20250211 ; serial
                              10800 ; refresh
                              3600 ; retry
                              604800 ; expire
                              300 ; minimum
                             )
@  1D  IN  NS g1.t2.

ns.foo IN A 192.168.2.212
foo IN NS ns.foo
</code>


==== Dnssec ====

  * [[https://www.bortzmeyer.org/files/jres2009-dnssec-article.pdf|Sécurité du DNS et DNSSEC]]


==== Bind9 ====

  * https://bind9.readthedocs.io/en/latest/index.html

  * [[https://calomel.org/dns_bind.html|Bind Authoritative Caching DNS with DNSSEC]]
  * [[https://wiki.debian.org/fr/Bind9MasterSlave|Bind9MasterSlave]]
  * [[https://wiki.debian.org/fr/Bind9|Bind9]]
  * [[https://jensd.be/197/linux/basic-master-and-slave-dns-setup-with-bind|Basic master and slave DNS setup with Bind]]
  * [[https://computingforgeeks.com/configure-slave-bind-dns-server-on-ubuntu/|Configure Slave BIND DNS Server on Ubuntu 22.04/20.04]]
  * [[https://fr.console-linux.com/?p=20940|Configurer le serveur DNS Slave BIND sur Ubuntu 22.04/20.04]]
  * [[https://github.com/0xCyberLiTech/DNS]]
  * [[https://www.it-connect.fr/dns-avec-bind-9/|Comment installer et configurer un serveur DNS Bind9 sur Debian ?]]


=== Désactiver DNSSEC ===

[[https://serverfault.com/questions/1058501/bind9-disable-dnssec-validation-on-per-zone-basis|Source]]

<code>
dnssec-validation no;
</code>