Bonjour à tous ,
J'ai besoin de vos conseils ! Attention, l'explication est longue mais extrêmement simple !
Actuellement, ma boite possède un domaine : "mondomaine.com" avec un DNS 'externe' (cad non-hébergé chez nous) comportant certaines entrées comme :
www.mondomaine.com. A XXX.XXX.XXX.XXX
ssh.mondomaine.com. A YYY.YYY.YYY.YYY
'XXX.XXX.XXX.XXX' est l'adresse IP de notre hébergement (notre site web, etc) et 'YYY.YYY.YYY.YYY' est l'adresse IP (fixe) de notre ADSL nous permettant ainsi d'accéder à notre serveur en DMZ (ip : 'zzz.zzz.zzz.zzz').
Tout cela fonctionne sans problème quand on est à l'extérieur du réseau de la société. MAIS, la seconde entrée (ssh) pose problème quand on est sur notre réseau. Utilisant le DNS externe, ce dernier nous renvoie l'IP 'YYY.YYY.YYY.YYY' et non l'adresse interne en DMZ de notre serveur qui est 'zzz.zzz.zzz.zzz'.
Nous avons donc installé un DNS interne (Bind9) redéfinissant toutes les entrées du DNS externe comme suit :
www.mondomaine.com. A XXX.XXX.XXX.XXX
ssh.mondomaine.com. A zzz.zzz.zzz.zzz
Tout cela fonctionne...
Comme vous pouvez le voir, il y a une entrée commune aux deux DNS : l'entrée 'www' ! J'aurai aimé savoir s'il n'y avait pas possibilité de ne définir que les entrées 'internes' (celles différentes du DNS externe) dans le DNS interne ?
Par exemple :
-
Dans le DNS externe :
www.mondomaine.com. A XXX.XXX.XXX.XXX
ssh.mondomaine.com. A YYY.YYY.YYY.YYY
-
Dans le DNS interne :
ssh.mondomaine.com. A zzz.zzz.zzz.zzz
Si on demande 'www' sur le réseau, on interrogera le DNS interne qui n'aura pas la réponse et la demandera (ou redirigera) au DNS externe... Par contre, pour 'ssh', la demande s'arrêtera au DNS interne.
J'espère avoir été clair :) Petite précision, je n'ai pas envie d'utiliser les fichiers 'hosts' des postes (pas beau...).
Merci d'avance pour toute l'aide que vous pourrez m'apporter à ce sujet !
# un seul bind et des acls
Posté par NeoX . Évalué à 2.
par contre cela ne va pas forcement fonctionner si tu travaille dans le meme domaine
avec des acls, tu peux definir un sous domaine internal.domaine.com par exemple
et dire à ton DNS qui ne devra repondre que si l'ip qui demande cette info se trouve dans le bon groupe.
mais visiblement ce n'est pas ce que tu recherches.
aussi je vois l'option suivante :
avoir un dns interne, qui va effectivement repondre à tes utilisateurs
et mettre le DNS externe en "forwarder" de ton DNS interne
l'interne contiendra bien l'entrée ssh.domain.com et repondra zzz.zzz.zzz.zzz
mais comme il ne contiendra pas l'entrée www, il transferera la demande au serveur DNS externe
qui lui sera en mesure de repondre
[^] # Re: un seul bind et des acls
Posté par istyar . Évalué à 1.
Effectivement, le 'forwarder' conviendrait parfaitement à ce que je désire faire. Mais ne va-t-il pas dire à mon DNS interne de rediriger TOUTES les requêtes vers le DNS externe et donc ignorer l'entrée 'ssh' interne (yyy.yyy.yyy.yyy) ?
[^] # Re: un seul bind et des acls
Posté par nono14 (site web personnel) . Évalué à 1.
www pointant sur l'ip publique dans la vue interne...
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: un seul bind et des acls
Posté par nono14 (site web personnel) . Évalué à 1.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: un seul bind et des acls
Posté par nono14 (site web personnel) . Évalué à 1.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: un seul bind et des acls
Posté par NeoX . Évalué à 2.
alors il va d'abord resoudre pour les machines qu'il connait
puis passer la requete au "forwarders { .... };"
par contre en dessous, on parle de "vue"
en effet, il semblerait (mais j'ai pas reussi chez moi)
que tu puisses definir que quand on vient du reseau locale (ou de l'ip de votre patte WAN)
le domain.com est géré par un fichier de configuration
alors que si on vient d'ailleurs, ce fichier de configuration est en fait un autre.
du coup tu peux avoir 2 fois ssh.domain.com
un dans chaque fichier
mais seul un des deux sera presenté en fonction de l'endroit d'ou tu viens.
[^] # Re: un seul bind et des acls
Posté par istyar . Évalué à 1.
Visiblement, en utilisant les directives suivantes:
options {
...
forward only;
forwarders {
<IP DU DNS EXTERNE>;
};
...
}
notre DNS interne redirigera les requêtes vers le DNS externe s'il ne possède pas de réponse dans les zones qu'il possède. Je vous tiens au courant si ça marche !
Concernant les vues, ces dernières ne correspondent pas à ce que je désire car je souhaite conserver le DNS 'externe' (et donc, ne pas tout mettre, vues interne/intranet et externe/public, sur le DNS 'interne' situé en DMZ)
PS : nono14, pas vraiment compris ce que tu voulais dire...
[^] # Re: un seul bind et des acls
Posté par istyar . Évalué à 1.
Et ben le 'forward' n'a pas l'air de fonctionner... Voici en détail ce que j'ai sur mon DNS interne (Bind9 sous Debian) :
Fichier "/etc/bind/named.conf.local" :
zone "mondomaine.com" {
type master;
file "/etc/bind/mondomaine.com";
forward only;
forwarders { <IP DU DNS EXTERNE };
};
Fichier "/etc/bind/mondomaine.com" :
;
; MONDOMAINE.COM
;
$TTL 604800
@ IN SOA dmz.mondomaine.com root.dmz.mondomaine.com. (
2009043000 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS dmz.mondomaine.com.
ssh.mondomaine.com. A zzz.zzz.zzz.zzz
J'ai modifié le fichier "/etc/resolv.conf" de façon à ce que j'interroge mon DNS interne.
Quand je fais un "nslookup" et que je lui demande 'ssh', pas de problème, il me sort l'IP zzz.zzz.zzz.zzz.
Par contre, si je lui demande 'www', il me dit qu'il ne connait pas (il a l'air de s'arrêter à mon DNS interne, sans interroger l'externe...)
Peut-être est-ce le type de ma zone qui n'est pas bon ? Dois-je mettre 'slave' ?
Merci pour votre aide.
[^] # Re: un seul bind et des acls
Posté par nono14 (site web personnel) . Évalué à 1.
Ton dns interne a autorité sur la zone mondomaine.com
Il ne posséde pas d'enregistement www.mondomaine.com.
Il n'a aucune raison de forwarder des requêtes vers un dns autre pour cette zone
dont il a autorité.
C'est pour cela que j'ai suggeré de positionner un enregistrement www dans
la zone mondomaine.com.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: un seul bind et des acls
Posté par istyar . Évalué à 1.
Dans cet exemple, j'aimerai donc ne pas redéfinir 'www'...
[^] # Re: un seul bind et des acls
Posté par NeoX . Évalué à 2.
mais dans le /etc/bind/named.conf.options
et le forward only, ce serait pour un domain ou ton bind ne ferait PAS de resolution et renverrait tout sur le "forwarder"
# Re: un seul bind et des acls
Posté par Frédéric . Évalué à 1.
Pourquoi n'utiliserais tu pas les "vues" de BIND
https://www.isc.org/software/bind/documentation/arm95#id2585(...)
Cela te permettrais de faire voir la même zone (au niveau du nom) de plusieurs manières différentes en fonction des ips interrogeant ton serveur DNS (via les ACLs)
il faudra juste définir plusieurs (au moins 2) fichiers de zones en fonction de tes
besoins
Au passage tu pourrais aussi supprimer votre dNS externe car l'interne pourrais tout faire ...
FRED
[^] # Re: un seul bind et des acls
Posté par istyar . Évalué à 1.
Justement, nous préférons pour l'instant conserver notre DNS externe pour diverses raisons. Donc les vues ne me sont pas utiles dans ce cas là. Merci quand même.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.