Il pannello che rende BIND9 gestibile.

DNS autoritativo su Debian 12 e 13, in un solo pannello. Per-zona master/slave/forward con form condizionali, DNSSEC in un click (KASP) coi record DS pronti per il registrar, feed RPZ di threat-intel curati più i tuoi URL feed personali, verifica propagazione live su Cloudflare e Quad9. I file sono la fonte di verità — niente database, vim è un editor di prima classe.

Installa nomina Vedi lo stack

Gratis per uso personale e non-commerciale — homelab, studio, DNS in casa per i tuoi domini. L'uso commerciale (clienti paganti, produzione a scopo di lucro) richiede una licenza NetForge attiva — vedi i termini.

Perché nomina

✦

DNSSEC in un click, con DS export

Attiva dnssec-policy default; su una zona master e BIND genera KSK + ZSK in /srv/nomina/dnssec/<zona>/ al prossimo apply. nomina calcola i record DS (SHA-256 + SHA-384) e te li mostra pronti da incollare al registrar — drift detection inclusa.

⌬

RPZ threat-intel pronto all'uso

Feed curati (URLhaus, Hagezi, OISD, mining NetForge) si attivano con un checkbox. Inserisci i tuoi URL feed per blocklist private. Whitelist e custom block list come override globali — un falso positivo si risolve in un punto solo, senza disabilitare un feed intero.

⛌

File, non un database

Le zone sono .json sidecar accanto ai file di zona BIND. Gli admin sono admins.json. Audit log .jsonl. Liste RPZ file di zona. Vim-li. Le modifiche tornano pulite nel pannello — niente schema migrations, niente acrobazie sul backup.

Lo stack scelto

Un demone. Un pannello. Niente alternative — meno scelte vuol dire meno deriva tra due nomina diversi e meno cose da debuggare alle 2 di notte.

BIND9demone DNS

KASPpolicy DNSSEC

RPZResponse Policy Zones

dnspythonparser + calcolo DS

nftablesfirewall kernel

fail2bandifesa abusi auth

filestato sotto /srv/nomina/

FastAPIHTTP del pannello

Debian 12 e 13unico target

Niente SQL. Niente Docker. Niente admin web cucita dentro un monolite Rust. BIND, config ben renderizzata, e un pannello che rispetta il tuo tempo.

Come si confronta

	nomina	Webmin	BindAgent	Cloudflare DNS
Self-hosted (server tuo)	✓	✓	✓	SaaS
UI moderna	✓	vibe 2003	datata	✓
DNSSEC un-click + DS export	✓	keygen a mano	parziale	✓
Feed RPZ threat-intel	curati + custom	✗	✗	DNS firewall ($$)
Verifica propagazione live	✓	✗	✗	parziale
Target Pi 4 / 4 GB	✓	✓	✓	N/A
File visibili e vim-editabili	✓	✓	DB-backed	SaaS
Integrazione di famiglia (hosting + posta)	arx + missus	✗	✗	✗

Come scorre una query in nomina

Due corsie — in entrata (il mondo che risolve le tue zone) e admin (tu che le modifichi). Stesso demone, stesso stato SQLite-free, niente pezzi in più. Ogni box col bordo blu è qualcosa di cui il pannello genera la config e che puoi leggere su disco.

flusso dati di nomina: i resolver esterni interrogano BIND sulla porta 53; BIND legge le zone da /srv/nomina/zones/, RPZ da /srv/nomina/rpz/, le chiavi DNSSEC da /srv/nomina/dnssec/. L'admin modifica lo stato dal pannello su 127.0.0.1:8053 (loopback, frontato da arx); l'apply rigenera /srv/nomina/named.conf.local e rndc riconfigura BIND.

Installa

Su una VPS, Pi o LXC Debian 12 (bookworm) o 13 (trixie) appena fatto, come root:

Aggiungi il repo APT pubblico NetForge (codename auto-rilevato):

curl -fsSL https://apt.netforge.it/netforge.asc | sudo tee /etc/apt/keyrings/netforge.asc > /dev/null

echo "deb [signed-by=/etc/apt/keyrings/netforge.asc] https://apt.netforge.it/public $(. /etc/os-release; echo $VERSION_CODENAME) main" | sudo tee /etc/apt/sources.list.d/netforge.list

Installa — apt risolve BIND9, nftables, fail2ban:
```
sudo apt update
```
```
sudo apt install nomina
```
(raro) Se apt si lamenta di dipendenze rotte, sistema in un colpo:
```
sudo apt -f install
```
Primo admin + avvio. Il pannello resta su 127.0.0.1:8053 — mettilo dietro un reverse_proxy di arx, oppure SSH-tunnel dal tuo laptop:
```
sudo nomina admin create
```
```
sudo systemctl enable --now nomina
```
```
ssh -L 8053:127.0.0.1:8053 root@your-vps
```

Stato e config stanno tutti sotto /srv/nomina/ — backup è solo un rsync, restore è nomina rehydrate. Migrare tra macchine è un one-liner. Il passo 3 (apt -f install) serve solo se un repo di terze parti o un'installazione precedente lasciata a metà ha rotto l'albero delle dipendenze — ricalcola e risolve.

Parte della famiglia NetForge

nomina non prova a essere tutto. Due pannelli sorella si occupano di ciò che non è DNS — insieme coprono hosting, posta e nomi su un solo server self-hosted.

arx

Pannello hosting. nginx + PHP-FPM, firewall outbound per-sito, WireGuard come admin plane, filtro Squid SNI. L'edge HTTPS che fronta nomina (e missus). arx.netforge.it →

missus

Pannello mail server. Postfix + Dovecot + Rspamd. SMTP, IMAP, DKIM, backup granulare. Si abbina a nomina per gestire i record MX dei tuoi domini. missus.netforge.it →

nomina (sei qui)

DNS autoritativo. BIND9 + KASP + RPZ + verifica propagazione. La metà nomi della triade. arx + missus + nomina = base self-hosted.