Err404 - notes:formation_serveur_de_fichiers

dns

anonymous@undisclosed.example.com (Anonymous) — Tue, 13 Jan 2026 08:20:09 +0000

un serveur dns authoritaire (dns SOA) va être utilisé pour déclarer que le serveur fait autorité sur certains noms de domaines.
ce qui permettra de définir facilement plein de sous-domaines sans avoir à changer les parametres chez le registrar.

j'ai choisi d'utiliser nsd, mais j'aurais pu utiliser knot
il est préférable d'installer le serveur de nom de domaine dans une machine virtuelle plutôt que dans l'hyperviseur de façon à faciliter les sauvegardes.

et dans mon cas j'ai choisi d'installer le serveur dns autoritaire dans la même machine qui fait reverse proxy sni

nsd

on installe le paquet nsd disponible dans Debian
aptitude install nsd

on va avoir quelques fichiers à éditer, puis éditer un fichier supplémentaire par zone dns

nsd.conf

/etc/nsd/nsd.conf:

# NSD configuration file for Debian.
#
# See the nsd.conf(5) man page.
#
# See /usr/share/doc/nsd/examples/nsd.conf for a commented
# reference config file.
 
server:
        # log only to syslog.
        log-only-syslog: yes
 
ip-address: 2a02:8428:753:5002:97dc:9048:0:53
ip-address: 192.168.1.7
 
# use this number of cpu cores
server-count: 1
 
# We recommend leaving this empty, otherwise use "/var/db/nsd/nsd.db"
database: ""
 
#  the default file used for the nsd-control addzone and delzone commands
# zonelistfile: "/var/db/nsd/zone.list"
# The unprivileged user that will run NSD, can also be set to "" if
# user privilige protection is not needed
username: nsd
 
# Default file where all the log messages go
#logfile: "/var/log/nsd.log"
 
# Use this pid file instead of the platform specific default
pidfile: "/var/run/nsd.pid"
 
# don't answer VERSION.BIND and VERSION.SERVER CHAOS class queries
hide-version: yes
hide-identity: yes
 
 
# Enable if privilege "jail" is needed for unprivileged user. Note
# that other file paths may break when using chroot
# chroot: "/etc/nsd/"
# The default zone transfer file
# xfrdfile: "/var/db/nsd/xfrd.state"
# The default working directory before accessing zone files
# zonesdir: "/etc/nsd"
 
 
 
# The following line includes additional configuration files from the
# /etc/nsd/nsd.conf.d directory.
 
include: "/etc/nsd/nsd.conf.d/*.conf"

on ajoute un fichier de zone, dans mon cas j'ai une zone pour err404.numericore.com et les sous-domaines comme visio.err404.numericore.com et une autre zone pour ikce.numericore.com

zones.conf

/etc/nsd/nsd.conf.d/zones.conf:

zone:
    name: ikce.numericore.com
    zonefile: /etc/nsd/nsd.conf.d/ikce.numericore.com.zone
 
zone:
    name: err404.numericore.com
    zonefile: /etc/nsd/nsd.conf.d/err404.numericore.com.zone

err404.numericore.com.zone

Attention, il y a un piège qui m'a bloqué assez longtemps:
dans la ligne @ IN SOA ns.err404.numericore.com. err404.numericore.com. ( le champs err404.numericore.com. est en réalité une adresse email

d'autre part il faut faire bien attention à ne pas oublier le point final après les noms de domaines

j'utilise les ip publiques:

en ipv4 je vais utiliser l'ip publique de la box et faire une redirection du port 53 vers la machine qui héberge mon service dns
en ipv6 je vais directement indiquer l'ipv6 publique de la machine qui héberge mon service dns

la ligne contenant Sérial est simplement un numéro de série qui doit être strictement croissant à chaque mise à jour du fichier, donc souvent on va utiliser une date du jour et incrémenter
/etc/nsd/nsd.conf.d/err404.numericore.com.zone:

$ORIGIN err404.numericore.com.
$TTL 7200
 
@       IN      SOA    ns.err404.numericore.com. err404.numericore.com. (
                                                2021042514 ; Serial
                                                7200       ; Refresh
                                                1800       ; Retry
                                                1209600    ; Expire
                                                86400 )    ; Minimum
 
; NAMESERVERS
 
@                   IN                NS                   ns.err404.numericore.com.
 
ns                  IN                A                    77.129.238.159
ns                  IN                AAAA                 2a02:8428:753:5002:97dc:9048:0:53
 
 
; A RECORDS
@                                   A          77.129.238.159
@                                   AAAA       2a02:8428:753:5002:fcb3:ff:fe8a:3b80
visio                               A          77.129.238.159
visio                               AAAA       2a02:8428:753:5002:fcb3:ff:fe8a:3b80

$ORIGIN err404.numericore.com. va être utilisé comme variable pour le reste du fichier
@ va être remplacé par la variable $ORIGIN
donc on va définir des ip pour err404.numericore.com et visio.err404.numericore.com

la box

et enfin sur la box il faut rediriger les ports 53 vers l'ip de la machine qui héberge le serveur dns –autoritaire– qui fait autorité

rpsni

anonymous@undisclosed.example.com (Anonymous) — Tue, 13 Jan 2026 22:53:54 +0000

On n'a besoin d'un reverse proxy que dans le cas ou on n'a pas d'ipv6.
et comme tout le monde n'a pas encore ipv6 (il y a même des gens qui vont désactiver l'ipv6 sur leur machine…) on va mettre en place un reverse proxy:

il suffit d'installer par exemple un serveur Haproxy, que ce soit dans l'hyperviseur ou une machine virtuelle.

il est préférable d'installer le reverse proxy dans une machine virtuelle ou un conteneur plutôt que dans l'hyperviseur de façon à faciliter les sauvegardes.

et dans mon cas j'ai choisi d'installer le reverse proxy dans la même machine qui fait serveur de nom de domaine faisant autorité

dans mon cas les machines virtuelles et les conteneurs ont de l'ipv6, donc les noms de domaines vont directement sur ces machines, pas besoin de reverse proxy sni pour l'ipv6.
le problème c'est que je n'ai qu'une seule ipv4 publique (la box de mon fournisseur d'accès à Internet) et que je suis obligé de partager cette unique ipv4 publique pour toutes mes machines virtuelles ou conteneurs.
c'est pour permettre cette cohabitation que j'installe un reverse proxy sni.

avec l'ipv6, c'est simple: toutes les machines ont un accès direct à Internet et sont directement joignable depuis Internet, elles sont indépendantes et n'ont pas de problèmes de ports à partager donc pas de problèmes de traduction d'adresses.

Reverse proxy sni

on installe le paquet haproxy disponible dans Debian apt install haproxy
un seul fichier à éditer:

/etc/haproxy/haproxy.cfg:

global
        log /dev/log    local0 info
        log /dev/log    local1 info
        chroot /var/lib/haproxy
        stats socket /run/haproxy/admin.sock mode 660 level admin
        stats timeout 30s
        user haproxy
        group haproxy
        daemon
 
 
        # Default SSL material locations
       ca-base /etc/ssl/certs
       crt-base /etc/ssl/private
 
        # See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
        ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
        ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
        ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
 
defaults
        log     global
        option  dontlognull
        timeout connect 5000
        timeout client  50000
        timeout server  50000
        errorfile 400 /etc/haproxy/errors/400.http
        errorfile 403 /etc/haproxy/errors/403.http
        errorfile 408 /etc/haproxy/errors/408.http
        errorfile 500 /etc/haproxy/errors/500.http
        errorfile 502 /etc/haproxy/errors/502.http
        errorfile 503 /etc/haproxy/errors/503.http
        errorfile 504 /etc/haproxy/errors/504.http
 
 
############################
 
frontend http_in
        mode http
        option httplog
        bind [::]:80 v6only
        bind *:80
        option forwardfor
        http-request add-header X-Forwarded-For %[src]
        http-request set-header X-Forwarded-Proto https if { ssl_fc }
 
        acl host_err404 hdr(host) -i err404.numericore.com
        acl host_err404 hdr(host) -i visio.err404.numericore.com
 
        acl host_ikce hdr(host) -i ikce.numericore.com
 
 
        use_backend http_err404 if host_err404
        use_backend http_ikce if host_ikce
 
 
backend http_err404
        mode http
        option forwardfor
        balance roundrobin
        server server1 ct-err404:80
 
backend http_ikce
        mode http
        option forwardfor
        balance roundrobin
        server server1 ct-ikce:80
 
 
#######################
frontend tcp_https
        mode tcp
        option tcplog
        bind [::]:443 v6only
        bind *:443
        acl tls req.ssl_hello_type 1
        tcp-request inspect-delay 5s
        tcp-request content accept if tls
 
 
        acl host_err404 req.ssl_sni -i err404.numericore.com
        acl host_err404 req.ssl_sni -i visio.err404.numericore.com
 
        acl host_ikce req.ssl_sni -i ikce.numericore.com
 
 
        use_backend tcp_err404 if host_err404
        use_backend tcp_ikce if host_ikce
 
 
backend tcp_err404
  mode tcp
  option ssl-hello-chk
  balance roundrobin
  server err404 ct-err404:443 send-proxy check
 
backend tcp_ikce
  mode tcp
  option ssl-hello-chk
  balance roundrobin
  server ikce ct-ikce:443 send-proxy check
 
############### 
frontend port1935
  mode tcp
  option tcplog
  bind [::]:1935 v6only
  bind *:1935
  acl err404_1935 req.ssl_sni -i err404.numericore.com
 
 
  use_backend err404_1935 if err404_1935
 
 
backend err404_1935
  mode tcp
  balance roundrobin
  server err404 ct-err404:1935 send-proxy

bind [::]:80 v6only bind *:80 permet d'écouter en ipv4 ET en ipv6
j'ai rajouté l'exemple pour le port 1935
les sous-domaines doivent être ajoutés (ici on a visio.err404.numericore.com comme sous-domaine de err404.numericore.com)
ct-err404 et ct-ikce sont les nom des conteneurs, qui seront résolu en ip par mon résolveur interne, vous pourrez indiquer directement les ip de vos conteneurs

les machines (virtuelles, conteneurs ou autre)

d'autre part il faudra modifier les fichiers nginx des machines concernées (dans mon cas c'est les machines ikce.numericore.com et err404.numericore.com)

dans err404.numericore.com:

on rajoute simplement `proxy_protocol` dans le segment `server` et uniquement pour le port 443

on ne touche pas à l'ipv6 vu que dans mon cas les machines ont de l'ipv6 public.

voici un extrait du fichier `/etc/nginx/conf.d/err404.numericore.com.conf`:

server {
    listen 443 ssl http2 proxy_protocol;
    listen [::]:443 ssl http2;                            
    server_name err404.numericore.com;

lorsque on modifie le fichier de conf nginx, Yunohost ne va pas être content et refusera de les mettre à jour car ils auront étés modifiés

il faut faire pareil pour les autres machines virtuelles (ikce.numericore.com dans mon cas)

pour obtenir les ip réelles des clients en ipv4 (et pas seulement l'ip du reverse proxy):
voici un extrait du fichier `/etc/nginx.conf` :

http {
    real_ip_header proxy_protocol;
    real_ip_recursive on;
    set_real_ip_from 192.168.1.20;

vous remplacerez 192.168.1.20 par l'ip de votre reverse proxy sni

la box

sur la box il faut rediriger les ports 80 et 443 (et les autres ports que vous aller proxyfier) vers l'ip de la machine qui héberge le reverse proxy sni