Le 31/01/2012 14:55, Jean-Yves F. Barbier a écrit :
[...]
Est-il possible à un tiers de découvrir l'existence de
foobar.mondomaine.fr à partir de la seule connaissance de
mondomaine.fr ? Si oui, est-il possible de contrôler ou limiter cette
possibilité ?
Techniquement, ça se passe dans le svr HTTP (qui apparie le nom
de s/s domain avec un directory).
Donc j'aurais tendance à dire non; mais il-y-a des gens bcp plus
branchés web ici qui t'en diront sûrement plus.
C'est plus une question dns que web, il me semble.
Pour que l'on puisse connaître les noms d'hôtes définis sur la zone mondomaine.fr, il faut que le serveur dns *faisant autorité* autorise les transferts de zones (faire une recherche sur AXFR) pour mondomaine.fr.
Autoriser les transferts de zones sert dans le cadre d'une infra dns avec des serveurs esclaves récupérant les données à partir d'un serveur maître. Il me semble que l'AXFR est généralement restreint par IP.
Dans ton cas, il est probable qu'on ne puisse pas récupérer la zone dns de n'importe où par défaut. Comment le vérifier? Avec la commande dig mondomaine.fr. @dns_faisant_autorite axfr
Si les transferts sont autorisés, le contenu complet de la zone mondomaine.fr va s'afficher. Sinon, dig va répondre "Transfer failed".
J'insiste lourdement: après l'arobase, il faut spécifier le nom (ou l'IP) d'un serveur dns *faisant autorité* pour la zone mondomaine.fr. Inutile de demander à 8.8.8.8 ou au dns de son fai, le résultat (forcément transfer failed) serait trompeur. Pour connaître les dns faisant autorité sur la zone, utiliser dig -t NS mondomaine.fr., et regarder les noms à la fin des lignes NS.
Et comme tout ceci est bien maladroitement expliqué, un exemple pour la route:
zoidberg:~# dig -t NS debian.org.
[...]
debian.org. 28800 IN NS ns4.debian.com.
debian.org. 28800 IN NS ns2.debian.org.
debian.org. 28800 IN NS ns3.debian.org.
debian.org. 28800 IN NS ns1.debian.org.
=> donne les 4 serveurs faisant autorité pour la zone debian.org.
zoidberg:~# dig debian.org. @ns4.debian.com. axfr
[...]
; Transfer failed.
=> je ne peux pas connaître le détail de la zone debian.org.
Pour s'initier au dns, je conseille souvent les pages de Zytrax: http://www.zytrax.com/books/dns/
Si quelqu'un connaît un équivalent d'aussi bonne facture en français, ça m'intéresse.+1
2. Que penser de l'idée d'utiliser un nom de domaine plutôt qu'une
adresse IP pour accéder à un VPN, (afin de pouvoir re-diriger le
trafic vers un serveur VPN de secours) ?
C'est ce que je fais pour les maintenances à distances de certaines
personnes que j'ai poussées à migrer s/s Linux; c'est non seulement
très confortable (ssh -p nnnn monpote45.is-a-geek.org), et ça évite
aussi d'avoir à écrire un cron qui tape un svr STUN et te renvoie un
e-mail lors d'un chgt d'adresse IP.
Houla! Doit remonter à loin, ton souvenir, là, quand même ;-)
Le VPN est construit avec OpenVPN qui permet de fournir plusieurs
adresses de serveur aux clients, ce qui laisse la possibilité d'un
secours mais j'imagine qu'il est plus difficile de contrôler cette
possibilité avec des adresses en dur plutôt que des noms de domaine.
Votre avis ?
http://openvpn.net/index.php/open-source/documentation/miscellaneous/78-static-key-mini-howto.html
semble dire que c'est possible; il fut un temps où il n'acceptait
que les adresses IP, mais je pense que depuis, suffisamment de gens
ont gueulé pour que ça change.
Oui, on peut bien utiliser des fqdn plutôt que des ip dans la conf d'openvpn.
P.-A.Archive: [🔎] 4F27FED4.8060104@lemurien.org" target="_blank">http://lists.debian.org/[🔎] 4F27FED4.8060104@lemurien.org
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org