[gull] DNS prive & caching

Tue Aug 28 15:24:51 CEST 2007

salut,

On Tue, 2007-08-28 at 09:03 +0200, Daniel Cordey wrote:
> On Monday 27 August 2007, Leopoldo Ghielmetti wrote:
> 
> > Je ne connais pas dproxy (il a l'air sympa). Pour ma part, j'utilise
> > bind sans trop de problèmes et il n'est pas si compliqué à configurer
> > qu'il en a l'air.
> 
> Je ne connais pas dproxy non plus, mais BIND permet d'avoir un controle tres 
> fin sur la maniere dont ont repond aux requetes.
> 
> > key DHCP_UPDATER {
> >         algorithm HMAC-MD5.SIG-ALG.REG.INT;
> >  # La clé est à générer (je cherche comment, je ne me rappelle plus :-)
> >         secret    XXXXXXXXXXXXXXXXXXXXXX==;
> > };
> 
> Ca me fait rire... parceque j'essaie depuis des annees d'utiliser des cles 
> avec les ISPs... J'ai beau parler de "cache-poisoning" mais ils continuent a 
> negliger le probleme et a utiliser des solutions de bricolage...
> 
> 
> > Fichier /var/lib/named/master/private/192.168.0.zone:
> > $ORIGIN .
> > $TTL 86400      ; 1 day
> > 0.168.192.in-addr.arpa  IN SOA  mondomaine.ch. root.mondomaine.ch. (
> >                                 1          ; serial
> >                                 10800      ; refresh (3 hours)
> >                                 900        ; retry (15 minutes)
> >                                 604800     ; expire (1 week)
> >                                 86400      ; minimum (1 day)
> >                                 )
> >                         NS      dns.mondomaine.ch.
> > $ORIGIN 0.168.192.in-addr.arpa.
> > 1                       PTR     dns.mondomaine.ch.
> > ; mettre ici tous les noms des machines avec leur adresse IP, si la mise
> > à jour via dhcp est activée ce sera automatique.
> 
> Cedric: C'est la que le point (.) en fin de ligne est tres important !
> 
> > Les valeurs "serial" tu dois les incrémenter à chaque fois que tu
> > modifies les fichiers car ils indiquent qu'il y a une mise à jour.
> 
> Il existe une convention (je me demande meme si ce n'est pas un RFC) quand au 
> format de "serial" :
> 
> 	YYYYMMDDXX

Non, utiliser la date c'est décrit comme "une erreur commune", en effet
le numéro de série c'est un simple numéro et c'est comme ça qu'il est
défini. Ce n'est pas une erreur d'utiliser une date, mais les mises à
jour automatique des fichiers DNS (p.e. via le DHCP) vont simplement
incrémenter le numéro de 1 sans tenir compte de la date du jour.
La date est utile uniquement si on gère le fichier uniquement de façon
manuelle.

Avant j'utilisais bien la date, mais je me suis retrouvé avec des dates
totalement étranges dès que j'ai activé la mise à jour automatique des
entrées DNS. En plus après activation des dites mises à jour
automatiques il n'est plus possible de corriger le tir car modifier le
numéro de série (si le DNS est public) rends problématiques les mises à
jour des DNS "non authoritative".
Donc on commence avec une date et quelque mois plus tard on se trouve
avec quelque chose du type 2007085678 car il y a eu quelque milliers de
mises à jour qui ont impacté sur le jour.

> Ou xx est un simple numero que tu incrementes si tu fais plus d'une 
> modification par jour. En general, XX vaut donc 00.
> 
> Tu n'est pas oblige de preciser les "intervales" en secondes, mais, par 
> exemple, tu peux ecrire comme suit :
> 
> mjt.ch    IN SOA  ns.mjt.ch. hostmaster.mjt.ch. (
>                                 2007082000; SID - Mon Aug 20 15:27:28 GMT 2007
>                                 3H      ; refresh (3 hours)
>                                 1H      ; retry (1 hour)
>                                 3W      ; expire (3 week)
>                                 1D      ; minimum (1 day)
>                                 )
> 
> C'est quand meme un poil plus lisible :-)
> 
> dc

ciao, Leo