{"id":2500,"date":"2026-06-13T17:32:31","date_gmt":"2026-06-13T16:32:31","guid":{"rendered":"https:\/\/zaccararoberto.eu\/?p=2500"},"modified":"2026-06-14T12:05:45","modified_gmt":"2026-06-14T11:05:45","slug":"bind-9-post","status":"publish","type":"post","link":"https:\/\/zaccararoberto.eu\/index.php\/blog\/bind-9-post\/","title":{"rendered":"BIND 9.20"},"content":{"rendered":"\n
\n
\n

\ud83d\udd25 BIND 9<\/strong> (Berkeley Internet Name Domain) \u00e8 il software server DNS (Domain Name System) pi\u00f9 utilizzato su Internet in ambiente Linux. Il suo compito principale \u00e8 quello di tradurre i nomi di dominio<\/em> leggibili dall’uomo (come www.esempio.com<\/code>) in indirizzi IP<\/em> numerici (come 192.0.2.1<\/code>) che i computer utilizzano per comunicare tra loro. La relazione IP e dominio e univoca: un solo indirizzo IP per un solo dominio e viceversa.<\/p>\n\n\n\n

\n

\ud83c\udfaf Come funziona il DNS in breve<\/h2>\n\n\n\n

Il DNS e basato su due elementi: i Name Server<\/strong> e i server Ricorsivi<\/strong> (recursive o resolver). Un dispositivo qualunque (pc, telefono, console giochi, …) inoltra una richiesta ricorsiva (ogni tanto accade) al server recursive per recuperare l ‘IP. Il s. recursive sa che l’ IP \u00e8 disponibile negli (Autorevoli<\/strong>) Authoritative Name Server che stanno alla base della piramide DNS, ma lui conosce solo i 13 Root name server posti al vertice. In modo iterativo, fa diverse volte, il s. ricorsivo invia delle richieste ricorsive iniziando dai root fino a trovare l’ authoritative n.s. che \u00e8 responsabile di quella zona e fornir\u00e0 a seguito della richiesta ricorsiva l’ IP collegato al dominio.<\/p>\n<\/div>

\"\"<\/figure><\/div>\n\n\n\n

Quanto illustrato nell’ immagine sopra, \u00e8 il minimo per avere internet a portata d’ uomo, senza il servizio DNS dovreste individuare i vari dispositivi collegati alla rete (clients) e i servizi offerti (server) utilizzando gli indirizzi IP, che sono dei numeri. La rete sarebbe composta dai router con i relativi protocolli comunicazione per la realizzazione e lo scambio delle tabelle d’ instradamento utilizzate dai router stessi per inoltrare i pacchetti dati: le informazioni.<\/em><\/p>\n\n\n\n

<\/div>\n\n\n\n

\ud83d\udee0\ufe0f COMANDI PER L\u2019INSTALLAZIONE<\/strong> di BIND 9.20<\/p>\n\n\n\n

sudo apt install bind9 bind9utils bind9-doc dnsutils -y<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

bind9<\/strong>: il server DNS vero e proprio — bind9utils<\/strong>: strumenti utili per test e debug di bind9 — bind9-doc:<\/strong> documentazione opzionale — dnsutils<\/strong>: comandi come dig e nslookup per verificare il funzionamento del sistema DNS.<\/p>\n\n\n\n

La porta 53 (TCP\/UDP) deve essere aperta perch\u00e9 le query DNS funzionino. Aprire la porta DNS (TCP\/UDP 53) \u00e8 fondamentale per permettere le query e le risposte DNS tra client e server. Il DNS usa principalmente la porta UDP 53 per le query grazie alla sua velocit\u00e0, ma passa alla porta TCP 53 per risposte pi\u00f9 grandi: dnssec, o trasferimenti di zona.<\/p>\n\n\n\n

\u2b50 – Ecco una panoramica delle sue caratteristiche principali e delle possibilit\u00e0 di configurazioni base:<\/h3>\n\n\n\n

1. Funzionalit\u00e0 principali<\/p>\n\n\n\n

    \n
  • Server Autorevole:<\/strong> Gestisce e risponde delle zone di cui possiede i record ufficiali, server di zona per Bind o Authoritative<\/strong> Name Server nella gerarchia DNS, \u00e8 l’ ultimo name server, quello che fornisce gli indirizzi IP collegati al dominio.<\/li>\n\n\n\n
  • Server Ricorsivo <\/strong>(Recursive o Resolver):<\/strong> ha tre modi di funzionamento: 1)verifica se pu\u00f2 risolvere usando la cache altrimenti interroga altri server DNS per trovare l’indirizzo IP richiesto da un client e ne salva il risultato in cache per velocizzare le richieste successive; 2)inoltra la richiesta se non presente nella cache a un altro server ricorsivo; 3)misto, inizia il secondo metodo (forwader) se il risultato \u00e8 negativo prova con il primo metodo (resolver).<\/li>\n\n\n\n
  • Supporto DNSSEC:<\/strong> Offre funzionalit\u00e0 di sicurezza per crittografare e autenticare le risposte DNS, prevenendo attacchi come lo spoofing.<\/li>\n<\/ul>\n\n\n\n

    2. I file di configurazione di BIND9, sono quelli che offrono le diverse possibilit\u00e0 di funzionamento e si trovano solitamente nella directory \/etc\/bind\/<\/code>.<\/p>\n\n\n\n

      \n
    • named.conf<\/code><\/strong>: Il file principale che include tutti gli altri file di configurazione.<\/li>\n\n\n\n
    • named.conf.options<\/code><\/strong>: Contiene le impostazioni globali (ad esempio, a quali indirizzi IP rispondere, i forwarder da usare, o l’abilitazione delle query ricorsive).<\/li>\n\n\n\n
    • named.conf.local<\/code><\/strong>: Utilizzato per definire le zone locali (i domini che il server deve gestire).<\/li>\n\n\n\n
    • db.<\/code>*:<\/strong> file di zona contenenti i record DNS.<\/li>\n<\/ul>\n\n\n\n
      <\/div>\n\n\n\n

      Quando parliamo di BIND 9 nel ruolo di Name Resolver<\/strong> (risolutore di nomi), ci riferiamo alla sua capacit\u00e0 di prendere una richiesta del tipo \u201cqual \u00e8 l’indirizzo IP di google.com?\u201d<\/em> da un client (come il tuo browser) e trovare la risposta navigando nella gerarchia del DNS. Ecco come funziona in dettaglio questa componente.<\/p>\n\n\n\n

      1. I due volti di BIND 9 come Resolver ed un terzo volto come Authoritative name server:<\/h2>\n\n\n\n

      In BIND 9, la risoluzione pu\u00f2 essere configurata principalmente in due modi, a seconda delle esigenze della rete:<\/p>\n\n\n\n

      \u2705A. Resolver Ricorsivo (Caching Name Server)<\/h3>\n\n\n\n

      \u00c8 il comportamento standard di un server DNS ISP o aziendale. Quando riceve una query da un client:<\/p>\n\n\n\n

        \n
      1. Controlla nella sua cache<\/strong> locale. Se ha gi\u00e0 la risposta, la restituisce subito.<\/li>\n\n\n\n
      2. Se non ce l’ha, interroga i Root Server<\/strong> (i server radice sono 13).<\/li>\n\n\n\n
      3. Il Root Server lo indirizza ai server del TLD<\/strong> (Top-Level Domain, es. .com<\/code>).<\/li>\n\n\n\n
      4. Il server TLD lo indirizza ai Server Autorevoli<\/strong> del dominio specifico (es. google.com<\/code>).<\/li>\n\n\n\n
      5. Il server autorevole di zona\/dominio o Authoritative Name Server fornisce l’IP finale. BIND 9 salva il risultato in cache (per il tempo stabilito dal TTL) e lo invia al client.<\/li>\n<\/ol>\n\n\n\n

        \u2705B. Forwarding Resolver (Inoltratore)<\/h3>\n\n\n\n

        Invece di fare tutto il lavoro di ricerca da solo (iterazione), BIND 9 pu\u00f2 essere configurato per inoltrare<\/strong> tutte le richieste a un altro resolver pi\u00f9 a monte (come i DNS di Google 8.8.8.8<\/code> o di Cloudflare 1.1.1.1<\/code>).<\/p>\n\n\n\n

          \n
        • Continua a mantenere una cache locale per velocizzare le richieste successive, ma risparmia banda e risorse non dovendo ripetere il processo iterattivo di contattare i server autorevoli con le richieste recursive, iniziando dai Root Server fino ai Name Server.<\/li>\n<\/ul>\n\n\n\n

          2. Configurazione in named.conf<\/code> per ricorsivo e inoltratore.<\/h2>\n\n\n\n

          Il comportamento del resolver in BIND 9 si definisce principalmente nel file di configurazione named.conf<\/code> (di solito dentro la sezione options<\/code>).<\/p>\n\n\n\n

          Ecco un esempio pratico di configurazione per un Resolver Ricorsivo<\/strong>:<\/p>\n\n\n\n

          options {\n    directory \"\/var\/cache\/bind\";\n\n    \/\/ 1. Abilita la ricorsione\n    recursion yes;\n\n    \/\/ 2. Sicurezza: permette le query solo dalla rete locale (LAN)\n    allow-query { localhost; 192.168.1.0\/24; };\n    allow-recursion { localhost; 192.168.1.0\/24; };\n\n    \/\/ 3. Nasconde la versione di BIND per sicurezza\n    version \"Not Disclosed\";\n\n    \/\/ 4. Abilita la validazione DNSSEC (fondamentale per i resolver moderni)\n    \/\/dnssec-validation auto; \/\/se abilitate avete DNS sicuro, dovete gestire a priori i certificati\n};\n<\/code><\/pre>\n\n\n\n
          Se invece volessi trasformarlo in un Forwarding only Resolver<\/strong>, la configurazione cambierebbe cos\u00ec:<\/p>\n\n\n\n
          options {\n    directory \"\/var\/cache\/bind\";\n    recursion yes;\n    \n    \/\/ Inoltra le query a Cloudflare e Google\n    forwarders {\n        1.1.1.1;\n        8.8.8.8;\n    };\n    \/\/ \"forward only\" significa che se i forwarder non rispondono, non prova a fare ricorsione da solo\n    forward only; \n};\n<\/code><\/pre>\n\n\n\n
          3. Funzionalit\u00e0 Chiave del Resolver BIND 9<\/h2>\n\n\n\n
            \n
          • Gestione della Cache:<\/strong> BIND 9 memorizza temporaneamente le risposte per evitare di sovraccaricare la rete. Rispetta il TTL (Time to Live)<\/strong> impostato dai proprietari dei domini, ma i sistemisti possono svuotare manualmente la cache in caso di problemi usando il comando:Bashrndc flush<\/code><\/li>\n\n\n\n
          • Validazione DNSSEC:<\/strong> Un resolver moderno deve essere sicuro. BIND 9 verifica le firme digitali dei record DNS per garantire che i dati non siano stati manomessi o falsificati durante il tragitto (evitando attacchi di tipo DNS Spoofing<\/em> o Cache Poisoning<\/em>).<\/li>\n\n\n\n
          • RNDC (Remote Name Daemon Control):<\/strong> \u00c8 lo strumento a riga di comando che permette di gestire il resolver in tempo reale (ricaricare la configurazione, vedere lo stato, svuotare la cache) senza dover riavviare l’intero servizio.<\/li>\n<\/ul>\n\n\n\n
            4. Best Practice di Sicurezza per un Resolver<\/h2>\n\n\n\n
            Un errore comune nel configurare BIND 9 come resolver \u00e8 creare un Open Resolver<\/strong> (risolvitore aperto). Se il tuo server accetta query ricorsive da chiunque<\/em> su Internet, i malintenzionati potrebbero usarlo per lanciare attacchi informatici (come i DNS Amplification DDoS).<\/p>\n\n\n\n
              \n
            • Regola d’oro:<\/strong> Usa sempre la direttiva allow-recursion<\/code><\/em> per limitare la risoluzione solo ai tuoi dispositivi o alla tua sottorete fidata.<\/li>\n<\/ul>\n\n\n\n
              <\/div>\n\n\n\n
              \u2705C. BIND come Server Autorevole (Authoritative)<\/h3>\n\n\n\n
              BIND<\/strong> 9 <\/strong>\u00e8 estremamente versatile perch\u00e9 pu\u00f2 essere configurato per svolgere diversi ruoli, separando o unendo<\/em> le funzioni di Server Risolutore <\/strong>(Caching-Forwader, Caching-Recursive, Caching-Forwader-Recursive) e Server Autorevole <\/strong>(Authoritative). Ecco un’analisi dettagliata di come funziona BIND9 come solo<\/strong><\/em> risolutore autorevole<\/em>.<\/p>\n\n\n\n
              Un server autorevole \u00e8 il “proprietario” ufficiale di una determinata zona DNS (es. tuosito.it<\/code>). Non cerca le informazioni in giro per la rete: ha gi\u00e0 le risposte<\/strong> scritte nei suoi file di configurazione locali e risponde solo per i domini che gestisce direttamente. Rifiuta le recursive richieste inviate dai vari dispositivi se non sono di sua competenza.<\/p>\n\n\n\n
              Caratteristiche principali:<\/h3>\n\n\n\n
                \n
              • Nessuna ricorsione:<\/strong> Se gli viene chiesto un dominio che non conosce (es. google.com<\/code> mentre gestisce solo tuosito.it<\/code>), risponde con un errore (REFUSED<\/code> o NXDOMAIN<\/code>) oppure reindirizza la richiesta, ma non va a cercarla per conto dell’utente.<\/li>\n\n\n\n
              • Tipi di Server Autorevoli:<\/strong>\n
                  \n
                • Primary (Master):<\/strong> Contiene la copia originale e modificabile del file di zona.<\/li>\n\n\n\n
                • Secondary (Slave):<\/strong> Mantiene una copia esatta del file di zona, sincronizzandosi con il Master tramite un processo chiamato Zone Transfer<\/strong> (AXFR<\/code> o IXFR<\/code>).<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
                  Confronto Diretto<\/h2>\n\n\n\n
                  Caratteristica<\/strong><\/td>Server Risolutore<\/strong> (Resolver)<\/td>Server Autorevole<\/strong><\/td><\/tr><\/thead>
                  Scopo principale<\/strong><\/td>Trovare gli IP per gli utenti naviganti.<\/td>Pubblicare gli IP dei propri domini nel mondo.<\/td><\/tr>
                  Chi lo interroga?<\/strong><\/td>I client della rete locale (PC, Router).<\/td>Altri server DNS sparsi per il web.<\/td><\/tr>
                  Uso della Cache<\/strong><\/td>Fondamentale per velocizzare la navigazione.<\/td>Non usa la cache di altri; legge i propri file.<\/td><\/tr>
                  Configurazione tipica<\/strong><\/td>recursion yes;<\/code><\/td>recursion no;<\/code> (Best practice se pubblico)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
                  \ud83d\udccc In passato era comune configurare un unico server BIND9 che facesse sia da risolutore per gli utenti interni, sia da server autorevole per il mondo esterno ed interno. Oggi questa pratica \u00e8 fortemente sconsigliata<\/strong> per motivi di sicurezza e performance. La best practice odierna prevede di:<\/p>\n\n\n\n
                    \n
                  1. Configurare un server BIND9 solo Autorevole<\/strong> (esposto su Internet, con ricorsione disattivata) per gestire i propri domini.<\/li>\n\n\n\n
                  2. Configurare un server BIND9 (o altri software come Unbound) solo Risolutore<\/strong> all’interno della rete aziendale\/domestica per servire i client.<\/li>\n<\/ol>\n\n\n\n
                    Esempio Pratico: definizione di una zona<\/h3>\n\n\n\n
                    Se vuoi che il tuo server sia autorevole per il dominio mio-dominio.it<\/code>, dovrai aggiungere la zona nel file named.conf.local<\/code>:<\/p>\n\n\n\n
                    zone \"mio-dominio.it\" {\n    type master;\n    file \"\/etc\/bind\/db.mio-dominio.it\";\n    allow-transfer { 192.168.1.5; }; \/\/ IP del server secondario\n};\n<\/code><\/pre>\n\n\n\n
                    Successivamente, si crea il file di zona corrispondente (db.mio-dominio.it<\/code>) per inserire i record DNS (SOA, NS, A, MX, ecc.):<\/p>\n\n\n\n
                    $TTL    604800\n@       IN      SOA     ns1.mio-dominio.it. root.mio-dominio.it. (\n                              2         ; Serial\n                         604800         ; Refresh\n                          86400         ; Retry\n                        2419200         ; Expire\n                         604800 )       ; Negative Cache TTL\n;\n@       IN      NS      ns1.mio-dominio.it.\nns1     IN      A       192.168.1.10\nwww     IN      A       192.168.1.20\n<\/code><\/pre>\n\n\n\n
                    \ud83d\udc5e Quanto esposto sopra \u00e8 riservato al caso di dns solo primary ed in assenza di reverse-zone<\/em>, grave carenza. Se lo utilizzate al posto del server autorevole del vostro provider dns come ad esempio Aruba, non avendo due ip pubblici per forza di cose potete collegare ad internet solo server primary. La reverse-zone<\/em> al fine delle richieste PTR sarebbe meglio realizzarla sempre. Se fate questo al fine di ottenere la wildcard di LetsEncrypt dovete aggiungere anche un plugin per bind9, leggi post su LetsEncrypt.<\/p>\n\n\n\n
                    Comandi Utili per la Gestione. Per verificare che la configurazione non contenga errori di sintassi prima di riavviare il servizio, si usano questi comandi:<\/h3>\n\n\n\n
                      \n
                    • Controllo configurazione generale:<\/strong> named-checkconf<\/code><\/li>\n\n\n\n
                    • Controllo sintassi di una zona:<\/strong> named-checkzone mio-dominio.it \/etc\/bind\/db.mio-dominio.it<\/code><\/li>\n\n\n\n
                    • Riavviare il servizio:<\/strong> sudo systemctl restart bind9<\/code><\/li>\n<\/ul>\n\n\n\n
                      \ud83d\udd0e\u2728\ud83e\udde0\ud83d\udccc\u2b50\ud83d\uded2\ud83e\uddd1\u27531\ufe0f\u20e32\ufe0f\u20e33\ufe0f\u20e34\ufe0f\u20e3\ud83d\udc4d\u2705\ud83d\udc64\ud83e\udded\ud83e\uddea\u27a1\ufe0f\u2714\ud83d\ude0a\ud83d\udd25\ud83d\ude80\ud83c\udfaf\u26a0\ufe0f\ud83d\ude97\ud83c\udfcd\ufe0f\ud83d\ude9a\ud83e\udd9c\ud83e\uddbf\ud83d\udedd\ud83e\udde9\ud83c\udf2c\ufe0f\ud83d\udca1\ud83d\udee0\ufe0f\ud83d\udcac\ud83d\udd04\ufe0f\ud83c\udf7e\ud83d\udc49\ud83d\udc5e\ud83d\udc60<\/p>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"
                      \ud83d\udd25 BIND 9 (Berkeley Internet Name Domain) \u00e8 il software server DNS (Domain Name System) pi\u00f9 utilizzato su Internet in ambiente Linux. Il suo compito principale \u00e8 quello di tradurre i nomi di dominio leggibili dall’uomo (come www.esempio.com) in indirizzi IP numerici (come 192.0.2.1) che i computer utilizzano per comunicare tra loro. La relazione IP […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_sitemap_exclude":false,"_sitemap_priority":"","_sitemap_frequency":"","_themeisle_gutenberg_block_has_review":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-2500","post","type-post","status-publish","format-standard","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/zaccararoberto.eu\/index.php\/wp-json\/wp\/v2\/posts\/2500","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/zaccararoberto.eu\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/zaccararoberto.eu\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/zaccararoberto.eu\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/zaccararoberto.eu\/index.php\/wp-json\/wp\/v2\/comments?post=2500"}],"version-history":[{"count":86,"href":"https:\/\/zaccararoberto.eu\/index.php\/wp-json\/wp\/v2\/posts\/2500\/revisions"}],"predecessor-version":[{"id":2612,"href":"https:\/\/zaccararoberto.eu\/index.php\/wp-json\/wp\/v2\/posts\/2500\/revisions\/2612"}],"wp:attachment":[{"href":"https:\/\/zaccararoberto.eu\/index.php\/wp-json\/wp\/v2\/media?parent=2500"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/zaccararoberto.eu\/index.php\/wp-json\/wp\/v2\/categories?post=2500"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/zaccararoberto.eu\/index.php\/wp-json\/wp\/v2\/tags?post=2500"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}