Stephane Bortzmeyer a écrit :
Mon serveur était effectivement récursif, mais était configuré pour refuser les requêtes provenant de l'extérieur pour lesquelles il ne faisait pas autorité. C'est mal ?C'est surtout contradictoire. Il est récursif ou il ne l'est pas ? C'est une propriété booléenne donc les réponses intermédiaires sont interdites.
La configuration de BIND était un peu spéciale, mais simple et efficace pour empêcher l'accès au cache et aux zones privées depuis les adresses non autorisées. Il y avait dans les options générales :
allow-query { liste-adresses-autorisees; };
allow-recursion yes;
Et dans les options de chaque zone publique :
allow-query { any; };
J'ai réglé le problème avec des vues interne et externe comme tout le monde. C'est certainement plus propre,Oui. L'autre solution, plus simple, est d'avoir deux machines.
Plus coûteuse, aussi. J'ai aussi pensé à une solution intermédiaire : définir deux vues sur le même BIND, mais au lieu de dupliquer les zones dans chacune, il y aurait une vue non récursive avec les zones à accès public, et une vue récursive pure (ou récursive + zones locales) à usage local. Est-ce que ça a déjà été fait, est-ce que ça tient la route ?