Knot
BIND9 a été installé sur bulbe afin de servir de résolveur DNS autoritaire sur les zones de nos-oignons, qui sont actuellement au nombre de quatre :
- nos-oignons.net
- nos-oignons.fr
- nos-oignons.org
- 2a01:6600:8081:ab00::/56
Il a par la suite été remplacé par knot, plus moderne (la configuration de BIND9 étant byzantine), et sûrement plus sûr (BIND9 étant connu pour sa faible sécurité). Il s'agit pour l'instant de la version 1, et non de la version 2 avec sa jolie configuration en YAML.
Il faut noter que les machines sont accessibles avec une adresse du style
<nom de la machine>.nos-oignons.net
et nos-oignons.net seulement.
Les zones DNS contiennent également notre politique SPF.
Test et debogage
On commence par se réjouir de voir que son résolveur à soi ne réponde pas un
SERVFAIL pour nos-oignons.net :
drill nos-oignons.net @127.0.0.1
drill nos-oignons.net @8.8.8.8
Ensuite, on peut inspecter la zone avec DNSViz, ou avec l'outil de test de VeriSign.
GLUE records
Lors des tests avec DNSViz, on a découvert une incohérence :
- le glue record pour
ns.nos-oignons.netn'avait pas d'IPv6 ; - les zones
nos-oignons.orgetnos-oignons.fravaient commeNSns.nos-oignons.net chez le registrar, et ns.nos-oignons.TLD chez nous.
Du coup, on corrige la glue sur ns.nos-oignons.net et on l'utilise comme NS pour toutes les zones (plutôt que trainer 3 séries de glue records).
Cohérence des zones DNS
Comme conseillé dans sa documentation,
on a activé dans knot des vérifications supplémentaires de la cohérence de nos
zones DNS avec semantic-checks on.