Re: Conseils sur la configuration DNS d'un serveur
On Fri, Sep 22, 2023 at 11:01:52AM +0200,
Olivier <oza.4h07@gmail.com> wrote
a message of 48 lines which said:
> - pour chaque VLAN, j'aimerai pouvoir désigner un fichier
> /etc/hosts.vlanx dans lequel je liste quelques ressources locales
> (imprimante, ...) pouvant être résolues.
Hmmm, ça va sérieusement compliquer les choses (et le déboguage !). À
part avec les vues, je ne vois pas comment faire.
> Vis à vis du DNS amont, j'utilise un fichier /etc/resolv.conf dont le
> contenu est:
> options rotate timeout:1 retries:1
> search monsuperdomain.lan
> nameserver 1.1.1.1
> nameserver 9.9.9.9
Alors, quatre remarques :
- pourquoi utiliser des résolveurs étatsuniens qui font Dieu sait quoi
des données récoltées ?
- pourquoi d'ailleurs utiliser un résolveur en aval, plutôt que de
parler directement aux serveurs faisant autorité ?
- /etc/resolv.conf est pour les clients finaux, pas pour un résolveur,
- avoir à la fois un résolveur non menteur et un menteur va être assez
cauchemardesque pour le déboguage.
> 1. Préférez-vous séparer le paramétrage DNS amont (/etc/resolv.conf)
> de celui en aval ?
Pas clair. Pas compris.
> 2. Activer le DNSSEC engendre-t-il des difficultés pour
> l'exploitant ?
On est en 2023, tous les résolveurs sérieux valident avec DNSSEC.
> Les utilisateurs lambda perçoivent-ils selon vous, des bénéfices ou
> des inconvénients ?
Bénéfice : sécurité
Inconvénient : comme toutes les techniques de sécurité, ça peut
bloquer des accès légitimes
> 3. Quand on sert des utilisateurs qui consomment du Netflix, TikTok
> ou youtube, faut-il attendre des bénéfices avec du cache DNS (par
> rapport à une configuration où les utilisateurs interrogent
> directement des DNS publics) ?
Tester. (En administration système, il faut mesurer, pas supposer.)
> 4. Conseillez-vous unbound ? Si non, quelle alternative ?
Unbound est très bien, mais Knot Resolver aussi.
Reply to: