Différences entre versions de « DHCP »
Ligne 82 : | Ligne 82 : | ||
</pre> | </pre> | ||
− | = Mise à jour du DNS = | + | = Mise à jour sécurisée du DNS = |
Il est possible de configurer ''dhcpd'' pour qu'il envoie des mises à jour à ''named'' | Il est possible de configurer ''dhcpd'' pour qu'il envoie des mises à jour à ''named'' | ||
− | Pour cela, il faut ajouter les lignes suivantes: | + | == Configuration de ''dhcpd'' == |
+ | |||
+ | === Section global === | ||
+ | |||
+ | Pour cela, il faut ajouter les lignes suivantes au début du fichier: | ||
<pre> | <pre> | ||
ddns-update-style interim; | ddns-update-style interim; | ||
ignore client-updates; | ignore client-updates; | ||
− | + | update-static-leases on; | |
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
key DHCP_DAEMON { | key DHCP_DAEMON { | ||
algorithm hmac-md5; | algorithm hmac-md5; | ||
Ligne 120 : | Ligne 109 : | ||
primary 192.168.200.253; | primary 192.168.200.253; | ||
key DHCP_DAEMON; | key DHCP_DAEMON; | ||
+ | } | ||
+ | </pre> | ||
+ | |||
+ | La méthode interim est le standard. Le client peut demander au serveur DHCP de mettre à jour le serveur DNS en lui passant ses propres paramètres et le serveur est configuré pour honorer (''allow client-updates'') ou pas la demande du client (''ignore client-updates'') | ||
+ | |||
+ | ''ddns-domainname'' et ''ddns-rev-domainname'' permettent de spécifier au serveur DNS de quel zone il s'agit pour qu'il ajoute les enregistrement de type ''A'' et ''PTR'' dans les bons fichiers de zones. | ||
+ | |||
+ | === Section ''subnet'' === | ||
+ | |||
+ | Dans la section subnet il faut ajouter une section ''group'' qui permettra de délimiter les hôtes mis à jour de manière automatique | ||
+ | |||
+ | <pre> | ||
+ | group { | ||
+ | option domain-name "tala-informatique.fr"; | ||
+ | ddns-domainname "tala-informatique.fr"; | ||
+ | |||
+ | host proxy { | ||
+ | hardware ethernet 00:0C:29:A1:CA:BC; | ||
+ | fixed-address 192.168.200.249; | ||
+ | ddns-hostname "proxy"; | ||
+ | } | ||
} | } | ||
</pre> | </pre> |
Version du 28 décembre 2013 à 13:36
Client | Serveur | |
---|---|---|
Protocole | udp | udp |
Port | 67 | 68 |
Configuration Iptables | X | iptables -I INPUT 2 -p udp --dport 67 -j ACCEPT |
Introduction
- Dynamic Host Control Protocol (DHCP) est un protocole réseau ;
- Défini dans la RFC1531 et présenté la première fois en 1993 ;
- Son rôle est d'assurer la configuration automatique des paramètres IP d'une station ;
- DHCP configure l'adresse IP et le masque de la station cliente mais peu également configurer sa passerelle par défaut ainsi que ses serveur DNS et NBNS (WINS).
- DHCP est arrivé d'un problème : la conception d'IP suppose la configuration de chaque ordinateur connecté sur le réseau ;
- Quasi impossible pour des réseaux de grande taille ;
- Source d'erreur pour les FAI qui possèdent plus de clients que d'adresse IP publique.
Fonctionnement
L'ordinateur équipé d'une carte réseau mais dépourvu d'IP :
- Envoie par diffusion un datagramme DHCP DISCOVER sur le port 67 ;
- Tout serveur en mesure de répondre sur le réseau du client, envoie un datagramme DHCP OFFER en diffusion sur le port 68 et à destination du client (@MAC) ;
- Le client retient une des offres reçues, et diffuse un datagramme DHCP REQUEST comportant l'IP du serveur et l'IP retenue ;
- Le serveur DHCP envoie un datagramme DHCP ACK qui assigne au client l'adresse IP, le masque ainsi que la durée du bail pour cette adresse. C'est ce paquet qui contient les paramètres annexes comme la passerelle, les serveurs DNS, …
Installation
# yum -y install dhcp
Configuration du service
Le fichier de configuration du démon DHCP est : /etc/dhcp/dhcpd.conf
subnet 192.168.50.0 netmask 255.255.255.0 { # Ce serveur DHCP fait autorité pour ce sous-réseau authoritative; # Spécifie le routeur que le client prendra comme passerelle option routers 192.168.50.254; # Pas nécessaire si aucun découpage en sous-réseaux (dans la majorité des cas) option subnet-mask 255.255.0.0; # Le client prendra la chaîne comme suffixe DNS (eg. ping www au lieu de www.tala-informatique.fr) option domain-name "tala-informatique.fr"; # Spécifie le serveur DNS du réseau option domain-name-servers 192.168.50.253; # Utilise cette portion d'IP pour l'attribution d'adresse # Cette plage doit exclure les adresses spécifiées plus bas pour les hôtes ! range 192.168.50.10 192.168.50.50; # Durée de conservation du bail default-lease-time 7200; max-lease-time 10800; # DHCP donnera le nom d'hôte (eg. tc1) à la machine use-host-decl-names on; host tc1 { hardware ethernet 00:80:64:1A:E9:14; fixed-address 192.168.50.1; # A mettre uniquement si l'option "use-host-decl-names" n'est pas explicitement spécifiée ou à "off" option host-name "tc1"; } }
Enregistrement dans le chargeur de démarrage
# chkconfig dhcpd on
Mise à jour sécurisée du DNS
Il est possible de configurer dhcpd pour qu'il envoie des mises à jour à named
Configuration de dhcpd
Section global
Pour cela, il faut ajouter les lignes suivantes au début du fichier:
ddns-update-style interim; ignore client-updates; update-static-leases on; key DHCP_DAEMON { algorithm hmac-md5; secret "m6y00sQNwZQkQKq92ODj/5iSGIejHKGuURLVxHDE/iM="; } zone tala-informatique.fr. { primary 192.168.200.253; key DHCP_DAEMON; } zone 200.168.192.in-addr.arpa. { primary 192.168.200.253; key DHCP_DAEMON; }
La méthode interim est le standard. Le client peut demander au serveur DHCP de mettre à jour le serveur DNS en lui passant ses propres paramètres et le serveur est configuré pour honorer (allow client-updates) ou pas la demande du client (ignore client-updates)
ddns-domainname et ddns-rev-domainname permettent de spécifier au serveur DNS de quel zone il s'agit pour qu'il ajoute les enregistrement de type A et PTR dans les bons fichiers de zones.
Section subnet
Dans la section subnet il faut ajouter une section group qui permettra de délimiter les hôtes mis à jour de manière automatique
group { option domain-name "tala-informatique.fr"; ddns-domainname "tala-informatique.fr"; host proxy { hardware ethernet 00:0C:29:A1:CA:BC; fixed-address 192.168.200.249; ddns-hostname "proxy"; } }
Vérification
A chaque mise à jour on peut constater dans /var/log/messages
# tail -f /var/log/messages Dec 27 22:50:47 fw dhcpd: Added new forward map from proxy.tala-informatique.fr to 192.168.200.249 Dec 27 22:50:47 fw dhcpd: added reverse map from 249.200.168.192.in-addr.arpa. to proxy.tala-informatique.fr Dec 27 22:50:47 fw dhcpd: DHCPREQUEST for 192.168.200.249 from 00:0c:29:a1:ca:bc via eth1 Dec 27 22:50:47 fw dhcpd: DHCPACK on 192.168.200.249 to 00:0c:29:a1:ca:bc via eth1