Franck Joncourt a écrit :
A vrai dire je n'ai jamais regarde de pres l'ipv6 et comment cela fonctionnait par rapport a l'ipv4. (Aie, Aie !!)
Dans les grandes lignes ça fonctionne à peu près pareil, sauf que les adresses sont plus longues - en contrepartie il y en a davantage - et moins "jolies". Quoique, l'hexa permet de créer des adresses rigolottes comme le bien connu dead:beef ou cafe:deca:fade. ;-)
[...]
Du coup, je me rends compte que cela serait plus judicieux de mettre
quelque chose du genre.
listen-on { any; };
allow-query { 127.0.0.0/8; 192.168.0.0/24; };
Par exemple. L'option 'allow-query' n'empêche pas de limiter le 'listen-on' aux adresses locales utiles, ça peut économiser quelques sockets puisque BIND ouvre deux sockets (TCP et UDP) par adresse IPv4. Autrement, on peut aussi restreindre l'accès avec des règles iptables.
En pratique, le fait de ne mettre dans l'option 'listen-on' qu'une adresse de loopback et une adresse privée a des chances d'aboutir au même résultat, mais c'est par effet de bord : la pile IP n'accepte pas les communications depuis ou vers 127.0.0.0/8 qui passent par une autre interface que l'inteface de loopback,loopback ne dialogue qu'avec loopback
Oui, mais il faut distinguer l'interface de loopback (lo) du bloc d'adresses de loopback (127.0.0.0/8). On pourrait imaginer qu'un petit malin trafique sa table de routage pour envoyer des requêtes à ta machine à destination d'une adresse de loopback. Mais la pile IP de Linux les rejettera car la restriction des adresses de loopback à l'interface de loopback est codée en dur. Ce genre d'attaque a déjà servi contre des OS n'ayant pas cette restriction.
Mais, vu que je fonctionne sur deux reseaux : - 192.168.1.0/24 pourl'internet - 192.168.0.0/24 pour le reseau prive dans la théorie rien n'empeche quelqu'un d'interroger le serveur DNS 192.168.0.1 via l'interface presente sur le reseau 192.168.1.0/24.
Exact. Il faut garder à l'esprit que pour Linux une adresse IP locale appartient à la machine tout entière et non à une interface particulière, et par conséquent est accessible par et utilisable avec n'importe quelle interface.