<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>1.
Le Démon de Nom Internet Berkeley (Berkeley Internet Name Daemon, ou BIND - i.e. named)
</title>
<link rel="stylesheet" href="style.css" type="text/css">
<meta name="generator" content="DocBook XSL Stylesheets V1.66.1">
<link rel="start" href="index.html" title="
HOWTO IPv6 Linux (fr)
">
<link rel="up" href="ch20.html" title="Chapitre 20.
Eléments d'installation des démons prêts pour IPv6
">
<link rel="prev" href="ch20.html" title="Chapitre 20.
Eléments d'installation des démons prêts pour IPv6
">
<link rel="next" href="ch20s02.html" title="2.
Le super démon Internet (xinetd)
">
</head>
<body bgcolor="white" text="black" link="#0000FF" vlink="#840084" alink="#0000FF">
<div class="navheader">
<table width="100%" summary="Navigation header">
<tr><th colspan="3" align="center">1.
Le Démon de Nom Internet Berkeley (<span class="emphasis"><em>Berkeley Internet Name Daemon</em></span>, ou BIND - <span class="emphasis"><em>i.e.</em></span> named)
</th></tr>
<tr>
<td width="20%" align="left">
<a accesskey="p" href="ch20.html">Précédent</a> </td>
<th width="60%" align="center">Chapitre 20.
Eléments d'installation des démons prêts pour IPv6
</th>
<td width="20%" align="right"> <a accesskey="n" href="ch20s02.html">Suivant</a>
</td>
</tr>
</table>
<hr>
</div>
<div class="sect1" lang="fr">
<div class="titlepage"><div><div><h2 class="title" style="clear: both">
<a name="hints-daemons-bind"></a>1.
Le Démon de Nom Internet Berkeley (<span class="emphasis"><em>Berkeley Internet Name Daemon</em></span>, ou BIND - <span class="emphasis"><em>i.e.</em></span> named)
</h2></div></div></div>
<p>
IPv6 est supporté depuis la version 9. Utilisez toujours la dernière version disponible. Il faut au moins utiliser la version 9, les versions plus anciennes peuvent contenir des trous de sécurité exploitables à distance.
</p>
<div class="sect2" lang="fr">
<div class="titlepage"><div><div><h3 class="title">
<a name="id2547053"></a>1.1.
A l'écoute des adresses IPv6
</h3></div></div></div>
<p>
Note: à la différence d'IPv4, les versions actuelles ne permettent pas d'associer une socket de serveur à des adresses IPv6 données, par conséquent, seule l'alternative <span class="emphasis"><em>toutes</em></span> ou <span class="emphasis"><em>aucune</em></span> adresse(s) IPv6 est valide. Parce que cela peut poser un problème de sécurité, consultez aussi plus bas la section concernant la liste de contrôle d'accès (ACL)!
</p>
<div class="sect3" lang="fr">
<div class="titlepage"><div><div><h4 class="title">
<a name="id2547081"></a>1.1.1.
Rendre disponible l'écoute sur adresse IPv6
</h4></div></div></div>
<p>
Pour rendre disponible à named l'écoute IPv6, les options suivantes demandent à être modifiées
</p>
<pre class="programlisting">
options {
# certainement que d'autres options sont aussi ici
listen-on-v6 { any; };
};
</pre>
<p>
Il doit en résulter après redémarrage
</p>
<pre class="programlisting">
# netstat -lnptu |grep "named\W*$"
tcp 0 0 :::53 :::* LISTEN 1234/named
¬ # incoming TCP requests
udp 0 0 1.2.3.4:53 0.0.0.0:* 1234/named
¬ # incoming UDP requests to IPv4 1.2.3.4
udp 0 0 127.0.0.1:53 0.0.0.0:* 1234/named
¬ # incoming UDP requests to IPv4 localhost
udp 0 0 0.0.0.0:32868 0.0.0.0:* 1234/named
¬ # dynamic chosen port for outgoing queries
udp 0 0 :::53 :::* 1234/named
¬ # incoming UDP request to any IPv6
</pre>
<p>
Un test simple ressemble à
</p>
<pre class="programlisting">
# dig localhost @::1
</pre>
<p>
et doit vous afficher un résultat.
</p>
</div>
<div class="sect3" lang="fr">
<div class="titlepage"><div><div><h4 class="title">
<a name="id2547141"></a>1.1.2.
Rendre indisponible l'écoute sur adresse IPv6
</h4></div></div></div>
<p>
Pour rendre indisponible l'écoute IPv6, l'option suivante demande à être modifiée
</p>
<pre class="programlisting">
options {
# certainement que d'autres options sont aussi ici
listen-on-v6 { none; };
};
</pre>
</div>
</div>
<div class="sect2" lang="fr">
<div class="titlepage"><div><div><h3 class="title">
<a name="id2547166"></a>1.2.
Les Listes de Contrôle d'Accès IPv6 (ACL)
</h3></div></div></div>
<p>
Les ACL IPv6 sont disponibles et devraient être utilisées dès que possible. Un exemple ressemble à ce qui suit:
</p>
<pre class="programlisting">
acl internal-net {
127.0.0.1;
1.2.3.0/24;
3ffe:ffff:100::/56;
::1/128;
::ffff:1.2.3.4/128;
};
acl ns-internal-net {
1.2.3.4;
1.2.3.5;
3ffe:ffff:100::4/128;
3ffe:ffff:100::5/128;
};
</pre>
<p>
Ces ACL peuvent être utilisées par exemple pour les requêtes des clients ou pour le transfert de zones aux serveurs de noms de domaine secondaires. Ceci prévient aussi contre l'utilisation de votre serveur cache de noms de domaine à partir de l'extérieur grâce à IPv6.
</p>
<pre class="programlisting">
options {
# certainement que d'autres options sont aussi ici
listen-on-v6 { none; };
allow-query { internal-net; };
allow-transfer { ns-internal-net; };
};
</pre>
<p>
Il est aussi possible de positionner les options <span class="emphasis"><em>allow-query </em></span>et <span class="emphasis"><em>allow-transfer</em></span> pour la plupart des définitions par fichier de zone.
</p>
</div>
<div class="sect2" lang="fr">
<div class="titlepage"><div><div><h3 class="title">
<a name="id2547232"></a>1.3.
Emettre des requêtes avec une adresse IPv6 dédiée
</h3></div></div></div>
<p>
Cette option n'est pas requise, mais peut être nécessaire:
</p>
<pre class="programlisting">
query-source-v6 address <adresseipv6|*> port <port|*>;
</pre>
</div>
<div class="sect2" lang="fr">
<div class="titlepage"><div><div><h3 class="title">
<a name="id2547254"></a>1.4.
Adresses IPv6 dédiées définies par zone
</h3></div></div></div>
<p>
Il est aussi possible de définir des adresses IPv6 par zone.
</p>
<div class="sect3" lang="fr">
<div class="titlepage"><div><div><h4 class="title">
<a name="id2547267"></a>1.4.1.
Adresse de la source de transfert
</h4></div></div></div>
<p>
L'adresse de la source de transfert est utilisée pour aller chercher les zones transférées:
</p>
<pre class="programlisting">
transfer-source-v6 <adresseipv6|*> [port port];
</pre>
</div>
<div class="sect3" lang="fr">
<div class="titlepage"><div><div><h4 class="title">
<a name="id2547288"></a>1.4.2.
Adresse de la source à notifier
</h4></div></div></div>
<p>
L'adresse de la source à notifier est utilisée pour les messages de notification:
</p>
<pre class="programlisting">
notify-source-v6 <adresseipv6|*> [port port];
</pre>
</div>
</div>
<div class="sect2" lang="fr">
<div class="titlepage"><div><div><h3 class="title">
<a name="id2547311"></a>1.5.
Des exemples de fichiers de zone DNS IPv6
</h3></div></div></div>
<p>
Des informations peuvent être aussi trouvées dans cet article concernant l'<a href="http://www.isi.edu/~bmanning/v6DNS.html" target="_top">information d'installation d'un DNS IPv6</a>. Le <a href="http://tools.fpsn.net/ipv6-inaddr/" target="_top">constructeur de zone inverse IPv6 pour BIND 8/9 (outil web)</a> peut aussi être d'une aide précieuse.
</p>
</div>
<div class="sect2" lang="fr">
<div class="titlepage"><div><div><h3 class="title">
<a name="id2547339"></a>1.6.
Servir des données DNS relatives à IPv6
</h3></div></div></div>
<p>
Pour IPv6, de nouveaux types et la zone racine nécessaire à la recherche inversée sont définis:
</p>
<div class="itemizedlist"><ul type="disc">
<li><p>
AAAA et IP6.INT inversée: specifiés dans le<a href="http://www.faqs.org/rfcs/rfc1886.html" target="_top">RFC 1886 / DNS Extensions to support IP version 6</a>, utilisés depuis BIND version 4.9.6
</p></li>
<li><p>
A6, DNAME (DORÉNAVANT DÉPRECIÉ!) et IP6.ARPA inversé: spécifiés dans le<a href="http://www.faqs.org/rfcs/rfc2874.html" target="_top">RFC 2874 / DNS Extensions to Support IPv6 Address Aggregation and Renumbering</a>, utilisable depuis BIND 9, mais vous pouvez trouver de l'information sur l'état actuel dans <a href="http://www.ietf.org/internet-drafts/" target="_top">draft-ietf-dnsext-ipv6-addresses-00.txt</a>
</p></li>
</ul></div>
<p>
Peut-être complété plus tard, pour le moment, jetez un coup d'oeil aux RFC fournis et
</p>
<div class="itemizedlist"><ul type="disc">
<li><p>
AAAA et IP6.INT inversé: <a href="http://www.isi.edu/~bmanning/v6DNS.html" target="_top">l'installation d'un DNS IPv6</a>
</p></li>
<li><p>
A6, DNAME (DORÉNAVANT DÉPRECIÉ!) et IP6.ARPA inversé: jetez un coup d'oeil aux chapitres 4 et 6 du manuel de référence de l'administrateur BIND 9 (ARM), distributé avec le paquetage bind, ou bien récupérez-le : <a href="http://www.nominum.com/content/documents/bind9arm.pdf" target="_top">BIND version 9 ARM (PDF)</a>
</p></li>
</ul></div>
<p>
Parce que IP6.INT est déprécié (mais encore en usage), un serveur DNS qui supportera l'information IPv6 aura à servir tous les types de zones inversées.
</p>
<div class="sect3" lang="fr">
<div class="titlepage"><div><div><h4 class="title">
<a name="id2547452"></a>1.6.1.
La meilleure pratique courante
</h4></div></div></div>
<p>
Parce qu'il y a encore quelques problèmes qui existent lorsque les nouveaux formats sont utilisés, la meilleure pratique courante est:
</p>
<p>
Support de recherche:
</p>
<div class="itemizedlist"><ul type="disc"><li><p>
AAAA
</p></li></ul></div>
<p>
La recherche inversée supporte:
</p>
<div class="itemizedlist"><ul type="disc">
<li><p>
Le format réduit inversé (<span class="emphasis"><em>reverse nibble format</em></span>) pour la zone ip6.int (POUR LA COMPATIBILITÉ ASCENDANTE)
</p></li>
<li><p>
Le format réduit inversé (<span class="emphasis"><em>reverse nibble format</em></span>) pour la zone ip6.arpa (RECOMMANDÉ)
</p></li>
</ul></div>
</div>
</div>
<div class="sect2" lang="fr">
<div class="titlepage"><div><div><h3 class="title">
<a name="id2547516"></a>1.7.
Vérifier la connectivité IPv6
</h3></div></div></div>
<p>
Pour vérifier si BIND est à l'écoute sur une socket IPv6 et sert des données, voir les exemples suivants.
</p>
<div class="sect3" lang="fr">
<div class="titlepage"><div><div><h4 class="title">
<a name="id2547530"></a>1.7.1.
Connecté <span class="emphasis"><em>via</em></span> IPv6, mais refusé par les ACL
</h4></div></div></div>
<p>
En spécifiant un serveur pour les requêtes, une connexion IPv6 peut être forcée:
</p>
<pre class="programlisting">
$ host -t aaaa www.6bone.net 3ffe:ffff:200:f101::1
Using domain server:
Name: 3ffe:ffff:200:f101::1
Address: 3ffe:ffff:200:f101::1#53
Aliases:
Host www.6bone.net. not found: 5(REFUSED)
</pre>
<p>
L'entrée relative dans le journal ressemble à ce qui suit:
</p>
<pre class="programlisting">
Jan 3 12:43:32 gate named[12347]: client
¬ 3ffe:ffff:200:f101:212:34ff:fe12:3456#32770:
query denied
</pre>
<p>
Si vous observez de telles entrées dans le journal, vérifiez si les requêtes provenant de ce client doivent être autorisées, pour revoir, si nécessaire, votre configuration ACL.
</p>
</div>
<div class="sect3" lang="fr">
<div class="titlepage"><div><div><h4 class="title">
<a name="id2547584"></a>1.7.2.
Une connexion IPv6 réussie
</h4></div></div></div>
<p>
Une connexion IPv6 réussie ressemble à ce qui suit:
</p>
<pre class="programlisting">
$ host -t aaaa www.6bone.net 3ffe:ffff:200:f101::1
Using domain server:
Name: 3ffe:ffff:200:f101::1
Address: 3ffe:ffff:200:f101::1#53
Aliases:
www.6bone.net. is an alias for 6bone.net.
6bone.net. has AAAA address 3ffe:b00:c18:1::10
</pre>
</div>
</div>
</div>
<div class="navfooter">
<hr>
<table width="100%" summary="Navigation footer">
<tr>
<td width="40%" align="left">
<a accesskey="p" href="ch20.html">Précédent</a> </td>
<td width="20%" align="center"><a accesskey="u" href="ch20.html">Niveau supérieur</a></td>
<td width="40%" align="right"> <a accesskey="n" href="ch20s02.html">Suivant</a>
</td>
</tr>
<tr>
<td width="40%" align="left" valign="top">Chapitre 20.
Eléments d'installation des démons prêts pour IPv6
</td>
<td width="20%" align="center"><a accesskey="h" href="index.html">Sommaire</a></td>
<td width="40%" align="right" valign="top"> 2.
Le super démon Internet (xinetd)
</td>
</tr>
</table>
</div>
</body>
</html>
