[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Configuration d'un DNS et forward



richard wrote:
Pascal Hambourg a écrit :
Salut,

Yves Rutschle a écrit :
On Sun, Dec 30, 2007 at 01:25:40PM +0100, mouss wrote:

l'autre façon, un peu risquée, et d'ajouter les entrées privées sur le
dns officiel, mais bon, "tout le monde" saura quelles IPs internes
correspondent à tes serveurs, ce qui n'est pas super top

Quel problème ça pose?

C'est contraire aux Ecritures. Il est dit dans RFC 1918 - Address Allocation for Private Internets, verset 5 :

   If an enterprise uses the private address space, or a mix of private
   and public address spaces, then DNS clients outside of the enterprise
   should not see addresses in the private address space used by the
   enterprise, since these addresses would be ambiguous.

Pour répondre à la question initiale, c'est peut-être faisable en créant une zone "www.asgardian.be" de type forward sur le serveur DNS local. Je ne peux rien garantir, n'ayant jamais utilisé ce type de zone.

Mais personnellement je créerais plutôt sur le serveur DNS local un sous-domaine de asgardian.be dédié aux machines du réseau local, par exemple local.asgardian.be.


Bonjour et bonne année,

une autre solution est de splité le dns avec une vue externe et une vu interne.

Si le primaire est chez lui, oui. mais à ce moment là, les views n'apportent pas plus que de lancer deux instances (une sur l'IP interne, l'autre sur l'IP externe).

Les views ont été une tentative pour répondre à la problématique des "split dns", mais je trouve que l'implémentation est un peu ratée:

- si on n'a pas la main sur un secondaire, il n'y aura qu'une view pour lui. il faut faire attention à ce qu'il voit la bonne. une erreur est vite arrivée (surtout si on combine plusieurs ACLs d'accès).

- si on utilise des views, il faut dupliquer toutes les zones.

On est donc vite amené à utiliser un script. mais dans ce cas, deux instances donnent la même fonctionnalité, avec la possibilité supplémentaire de contrôler l'accès par le firewall (iptables ou autre).


acl my_network {
  172.16.0.0/16;
     };

view "interne" {
match-clients { "my_network"; };
recursion yes;

zone "asguardian.be" {
       type master;
   file "db.asguardian.be.lan";
};
//etc ...

view "externe" {
match-clients { any; };
recursion no;
zone "asguardian.be" {
       type master;
   file "db.asguardian.be";
   allow-transfer {x.x.x.x;};
};

//etc...

a+




Reply to: