| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| ovh:reverse_ipv6 [2023/11/28 22:12] – [Problématique] Flaz | ovh:reverse_ipv6 [2023/11/28 22:26] (Version actuelle) – [Configuration du serveur BIND] Flaz |
|---|
| Source : [[http://mirrors.deepspace6.net/Linux+IPv6-HOWTO/hints-daemons-bind.html|Berkeley Internet Name Domain (BIND) daemon “named” : Listening on IPv6 addresses]] | Source : [[http://mirrors.deepspace6.net/Linux+IPv6-HOWTO/hints-daemons-bind.html|Berkeley Internet Name Domain (BIND) daemon “named” : Listening on IPv6 addresses]] |
| ==== Problématique ==== | ==== Problématique ==== |
| La pression au passage en ipV6 s'exerce sur le DNS lui-même, en tant que service. Si un //host// muni d'une ipV6 déclarée dans le DNS héberge un serveur DNS, le DNS tentera de l'interroger sur son ipV6((Plus généralement, l'existence d'un enregistrement AAAA pour un //host// est interprétée comme un engagement de la par du //host// à fournir les services qu'il rend via IPv6. Par exemple, //Let's Encrypt// ne pourra pas utiliser la vérification par requête http si un enregistrement AAAA existe mais que le service https n'est fourni qu'en IPv4.)). L'absence de réponse sur l'ipV6 sera considérée comme un mauvais fonctionnement. Tant que le serveur répond sur son ipV4, la zone ne disparaîtra pas du DNS mais la réputation du //host//, des services qu'il rend et de la zone((Potentiellement de tout le nom de domaine.)) en sera entachée. | La pression au passage en ipV6 s'exerce sur le DNS lui-même, en tant que service. Si un //host// muni d'une ipV6 déclarée dans le DNS héberge un serveur DNS, le DNS tentera de l'interroger sur son ipV6. L'absence de réponse sur l'ipV6 sera considérée comme un mauvais fonctionnement((Plus généralement, l'existence d'un enregistrement AAAA pour un //host// est interprétée comme un engagement de la par du //host// à fournir les services qu'il rend via IPv6. Par exemple, //Let's Encrypt// ne pourra pas utiliser la vérification par requête http si un enregistrement AAAA existe, même si le service https fourni en IPv4. En présence d'un enregistrement de type AAAA, l'absence de service en IPv6 est considérée comme une rupture de contrat.)). Tant que le serveur répond sur son ipV4, la zone ne disparaîtra pas du DNS mais la réputation du //host//, des services qu'il rend et de la zone((Potentiellement de tout le nom de domaine.)) en sera entachée. |
| ==== Diagnostic ==== | ==== Diagnostic ==== |
| Pour des raisons de sécurité, la configuration par défaut d'un serveur DNS ne prévoit pas l'activation du service sur les IP publiques((En général, le serveur sera en écoute sur les ip locales (ipV4 et ipV6) et autorisera même la récursion pour ces ip.)). La commande suivante, exécutée sur le host hébergeant le serveur DNS concerné, vous indiquera sur quelles ip est rendu le service DNS: | Pour des raisons de sécurité, la configuration par défaut d'un serveur DNS ne prévoit pas l'activation du service sur les IP publiques((En général, le serveur sera en écoute sur les ip locales (ipV4 et ipV6) et autorisera même la récursion pour ces ip.)). La commande suivante, exécutée sur le host hébergeant le serveur DNS concerné, vous indiquera sur quelles ip est rendu le service DNS: |
| |
| Ne pas oublier d'enregistrer et d'appliquer la modification. | Ne pas oublier d'enregistrer et d'appliquer la modification. |
| | |
| | Sur certains système, la configuration post-installation peut déjà contenir une déclaration englobante, couvrant toutes les interfaces connues : |
| | <code> |
| | listen-on-v6 { any; }; |
| | </code> |
| | |
| ==== Vérification ==== | ==== Vérification ==== |
| On commence par s'assurer, en local, que le serveur DNS écoute sur l'ipV6 publique : | On commence par s'assurer, en local, que le serveur DNS écoute sur l'ipV6 publique : |
