Config Bind9

Configuration noyau, systèmes de fichiers, périphériques,...

Modérateur: Equipe de modération des forums

Config Bind9

Message par gimokote » 26 Juin 2006, 15:37

Bonjour,
Actuellement je configure un contôleur de domaine samba avec un annuaire ldap.
J'ai mis en place mon serveur DNS Bind9 qui fonctionne très bien, mis je veux empécher les connexions vers les root-server, cela est-il, possible.
gimokote
 
Message(s) : 8
Inscription : 26 Fév 2005, 12:30
Localisation : Tahiti

Message par Cocobu » 30 Juin 2006, 08:08

Tout est possible ... Maistenant il faut savoir précisement ce qu'on veux.

Tu peux bloquer les requètes vers les root avec iptables, ou alors désactiver le resolver, etc ...
Avatar de l’utilisateur
Cocobu
Equipe LoLiTa
 
Message(s) : 831
Inscription : 24 Mars 2004, 16:20
Localisation : Polynésie Française

Message par Cocobu » 03 Juil 2006, 08:14

Pourquoi veux-tu bloquer les requètes vers les root ?
Avatar de l’utilisateur
Cocobu
Equipe LoLiTa
 
Message(s) : 831
Inscription : 24 Mars 2004, 16:20
Localisation : Polynésie Française

bind9

Message par gimokote » 03 Juil 2006, 19:09

Cocobu a écrit :Pourquoi veux-tu bloquer les requètes vers les root ?

Je suis placé derrière un proxy que je ne gère pas et qui n' arrête pas
de m'envoyer des messages interdisant l'accés vers les root-server
gimokote
 
Message(s) : 8
Inscription : 26 Fév 2005, 12:30
Localisation : Tahiti

Message par Cocobu » 04 Juil 2006, 07:45

Essaye de vider tous les root la zone "." ou alors de mettre localhost dans la zone "."
Je ne l'ai jamais testé mais toutes les requètes devraient etre redirigées vers ton propre server.
Avatar de l’utilisateur
Cocobu
Equipe LoLiTa
 
Message(s) : 831
Inscription : 24 Mars 2004, 16:20
Localisation : Polynésie Française

Message par gimokote » 04 Juil 2006, 20:47

Je suis sous ubuntu. j'ai supprimé le db.root mais mon serveur continue.
Je vais reactiver le db.root mais en pointant vers mon localhost.
gimokote
 
Message(s) : 8
Inscription : 26 Fév 2005, 12:30
Localisation : Tahiti

Message par Cocobu » 05 Juil 2006, 08:11

dans /etc/resolv.conf il faut qu'il y ait localhost egalement.
Avatar de l’utilisateur
Cocobu
Equipe LoLiTa
 
Message(s) : 831
Inscription : 24 Mars 2004, 16:20
Localisation : Polynésie Française

Message par lgtm » 19 Juil 2006, 09:32

Pour que le DNS fonctionne, il faut pouvoir joindre les ROOT SERVERS. La seule solution pour toi est de renvoyer les requêtes DNS de ton serveur vers un serveur autorisé à joindre les ROOT SERVERS.
La directive est à ajouter dans le named.conf dans la section options

Code : Tout sélectionner
options {
             .........
             forwarders {
                  202.3.225.10 ; // Adresse IP du serveur vers lequel on forwarde
             };
            ...........
}


Cela permet à ton serveur de répondre pour les domaines qu'il gère et de renvoyer les autres requêtes vers le ou les forwarders
Si ton proxy bloque les requêtes DNS, tu as peut-être déjà un serveur autorisé dans ton sous-réseau et c'est donc vers lui qu'il faut renvoyer les requêtes
lgtm
Equipe LoLiTa
 
Message(s) : 30
Inscription : 28 Mars 2004, 22:34
Localisation : Punaauia

Message par Cocobu » 19 Juil 2006, 09:55

Je suis d'accord avec toi lgtm, pour que le DNS marche il faut pouvoir joindre les ROOT Servers. Mais les ROOT Servers on bien une conf SANS ROOT, non ?

Donc la conf qui pourrais fonctionner pour gimokote est la meme conf que les ROOT Servers.

Enfin, pour ce que j'en penses.
Avatar de l’utilisateur
Cocobu
Equipe LoLiTa
 
Message(s) : 831
Inscription : 24 Mars 2004, 16:20
Localisation : Polynésie Française

Message par lgtm » 19 Juil 2006, 11:55

En fait ça dépend :
- Si tu es isolé d'Internet, ce que tu dis doit pouvoir fonctionner en modifiant le fichier servant "."; mais cela ne me parait pas un cas classique aujourd'hui ;
- Si tu veux servir un réseau privé et pouvoir faire des résolutions DNS sur Internet, la seule solution à ma connaissance est le principe des forwarders.
lgtm
Equipe LoLiTa
 
Message(s) : 30
Inscription : 28 Mars 2004, 22:34
Localisation : Punaauia

Re: bind9

Message par Cocobu » 19 Juil 2006, 14:07

gimokote a écrit :Je suis placé derrière un proxy que je ne gère pas et qui n' arrête pas
de m'envoyer des messages interdisant l'accés vers les root-server


Il veux complètement bloquer les requètes, donc agir comme un serveur ROOT.

D'ailleur gimokote as-tu trouver une parade à ton problème ?
Avatar de l’utilisateur
Cocobu
Equipe LoLiTa
 
Message(s) : 831
Inscription : 24 Mars 2004, 16:20
Localisation : Polynésie Française

Re: bind9

Message par gimokote » 01 Août 2006, 21:55

D'ailleur gimokote as-tu trouver une parade à ton problème ?[/quote]

J'étais à l'étranger.
J'ai mis en place les forwarders et je constate toujours d'énorme demande vers les root-server. comment puis-je connaitre l'application ou la machine de mon reseau qui demande l'acces à ces server.
gimokote
 
Message(s) : 8
Inscription : 26 Fév 2005, 12:30
Localisation : Tahiti

Message par Cocobu » 02 Août 2006, 08:02

Pour savoir quelle sont les machines qui font des requètes DNS, il suffit d'activer les logs de requètes, par exemple :

Code : Tout sélectionner
logging{
    channel "default" {
        file "/var/log/named" versions 5 size 10m ;
        print-time yes;
        print-category yes;
    };
        channel "query" {
                file "/var/log/query" versions 30 size 10m ;
        print-time yes;
        } ;
        category queries {
                "query" ;
        } ;
    category "default" {
        "default" ;
    };
    category lame-servers {
        null ;
    } ;
};


Et de regarder ce qui se passe dans /var/log/query
Avatar de l’utilisateur
Cocobu
Equipe LoLiTa
 
Message(s) : 831
Inscription : 24 Mars 2004, 16:20
Localisation : Polynésie Française


Retour vers Installation et configuration système

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 1 invité

cron