Le dimanche 6 mai 2007 12:41, Pascal Hambourg a écrit:

> >>Je verrais bien une coquille dans la façon de commenter l'option.
> >
> > je crois que tu as raison; le « ; » c'est bien la manière de commenter
> > non ?
>
> Dans les fichiers de zone oui, mais pas dans les fichiers d'options de
> BIND où il sert de séparateur. Les commentaires dans les fichiers
> d'options peuvent être sous les formes suivantes :
>
> /* This is a BIND comment as in C */
> // This is a BIND comment as in C++
> # This is a BIND comment as in common UNIX shells and perl

donc voilà. j'avais mis un « ; », comme dans les fichiers de zone. M'apprendra
à pas lire toute la documentation.

Merci

--
steve

Steve a écrit :
>>>>Que contient l'option 'listen-on' ?
>>>
>>>l'adresse du réseau local : 192.168.20.0/24
>>
>>En général on met plutôt l'adresse de la machine, mais pourquoi pas.
>
> je ne me rappelle plus très bien pourquoi l'ai mis ça plutôt que l'adresse de
> la machine (peut-être parce que j'ai plusieurs interfaces) en tout cas ça
> marche..

Pas de problème, d'après le manuel spécifier un bloc d'adresse dans
l'option 'listen-on' est parfaitement valide.

>>>/etc/bind/named.conf.options:26: '}' expected near ';'
>>>loading configuration: unexpected token
>>>exiting (due to fatal error)
[...]
>>Je verrais bien une coquille dans la façon de commenter l'option.
>
> je crois que tu as raison; le « ; » c'est bien la manière de commenter non ?

Dans les fichiers de zone oui, mais pas dans les fichiers d'options de
BIND où il sert de séparateur. Les commentaires dans les fichiers
d'options peuvent être sous les formes suivantes :

/* This is a BIND comment as in C */
// This is a BIND comment as in C++
# This is a BIND comment as in common UNIX shells and perl


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le dimanche 6 mai 2007 12:41, Pascal Hambourg a écrit:

> >>Je verrais bien une coquille dans la façon de commenter l'option.
> >
> > je crois que tu as raison; le « ; » c'est bien la manière de commenter
> > non ?
>
> Dans les fichiers de zone oui, mais pas dans les fichiers d'options de
> BIND où il sert de séparateur. Les commentaires dans les fichiers
> d'options peuvent être sous les formes suivantes :
>
> /* This is a BIND comment as in C */
> // This is a BIND comment as in C++
> # This is a BIND comment as in common UNIX shells and perl

donc voilà. j'avais mis un « ; », comme dans les fichiers de zone. M'apprendra
à pas lire toute la documentation.

Merci

--
steve

Steve a écrit :
>>>>Que contient l'option 'listen-on' ?
>>>
>>>l'adresse du réseau local : 192.168.20.0/24
>>
>>En général on met plutôt l'adresse de la machine, mais pourquoi pas.
>
> je ne me rappelle plus très bien pourquoi l'ai mis ça plutôt que l'adresse de
> la machine (peut-être parce que j'ai plusieurs interfaces) en tout cas ça
> marche..

Pas de problème, d'après le manuel spécifier un bloc d'adresse dans
l'option 'listen-on' est parfaitement valide.

>>>/etc/bind/named.conf.options:26: '}' expected near ';'
>>>loading configuration: unexpected token
>>>exiting (due to fatal error)
[...]
>>Je verrais bien une coquille dans la façon de commenter l'option.
>
> je crois que tu as raison; le « ; » c'est bien la manière de commenter non ?

Dans les fichiers de zone oui, mais pas dans les fichiers d'options de
BIND où il sert de séparateur. Les commentaires dans les fichiers
d'options peuvent être sous les formes suivantes :

/* This is a BIND comment as in C */
// This is a BIND comment as in C++
# This is a BIND comment as in common UNIX shells and perl


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Franck Joncourt a écrit :
>
> A vrai dire je n'ai jamais regarde de pres l'ipv6 et comment cela
> fonctionnait par rapport a l'ipv4. (Aie, Aie !!)

Dans les grandes lignes ça fonctionne à peu près pareil, sauf que les
adresses sont plus longues - en contrepartie il y en a davantage - et
moins "jolies". Quoique, l'hexa permet de créer des adresses rigolottes
comme le bien connu dead:beef ou cafe:deca:fade. ;-)

[...]
> Du coup, je me rends compte que cela serait plus judicieux de mettre
> quelque chose du genre.
>
> listen-on { any; };
> allow-query { 127.0.0.0/8; 192.168.0.0/24; };

Par exemple. L'option 'allow-query' n'empêche pas de limiter le
'listen-on' aux adresses locales utiles, ça peut économiser quelques
sockets puisque BIND ouvre deux sockets (TCP et UDP) par adresse IPv4.
Autrement, on peut aussi restreindre l'accès avec des règles iptables.

>>En pratique, le fait de ne mettre dans l'option 'listen-on' qu'une
>>adresse de loopback et une adresse privée a des chances d'aboutir au
>>même résultat, mais c'est par effet de bord : la pile IP n'accepte pas
>>les communications depuis ou vers 127.0.0.0/8 qui passent par une autre
>>interface que l'inteface de loopback,
>
> loopback ne dialogue qu'avec loopback

Oui, mais il faut distinguer l'interface de loopback (lo) du bloc
d'adresses de loopback (127.0.0.0/8). On pourrait imaginer qu'un petit
malin trafique sa table de routage pour envoyer des requêtes à ta
machine à destination d'une adresse de loopback. Mais la pile IP de
Linux les rejettera car la restriction des adresses de loopback à
l'interface de loopback est codée en dur. Ce genre d'attaque a déjà
servi contre des OS n'ayant pas cette restriction.

> Mais, vu que je fonctionne sur deux reseaux :
> - 192.168.1.0/24 pourl'internet
> - 192.168.0.0/24 pour le reseau prive
> dans la théorie rien n'empeche quelqu'un d'interroger le serveur DNS
> 192.168.0.1 via l'interface presente sur le reseau 192.168.1.0/24.

Exact. Il faut garder à l'esprit que pour Linux une adresse IP locale
appartient à la machine tout entière et non à une interface
particulière, et par conséquent est accessible par et utilisable avec
n'importe quelle interface.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Franck Joncourt a écrit :
>
> A vrai dire je n'ai jamais regarde de pres l'ipv6 et comment cela
> fonctionnait par rapport a l'ipv4. (Aie, Aie !!)

Dans les grandes lignes ça fonctionne à peu près pareil, sauf que les
adresses sont plus longues - en contrepartie il y en a davantage - et
moins "jolies". Quoique, l'hexa permet de créer des adresses rigolottes
comme le bien connu dead:beef ou cafe:deca:fade. ;-)

[...]
> Du coup, je me rends compte que cela serait plus judicieux de mettre
> quelque chose du genre.
>
> listen-on { any; };
> allow-query { 127.0.0.0/8; 192.168.0.0/24; };

Par exemple. L'option 'allow-query' n'empêche pas de limiter le
'listen-on' aux adresses locales utiles, ça peut économiser quelques
sockets puisque BIND ouvre deux sockets (TCP et UDP) par adresse IPv4.
Autrement, on peut aussi restreindre l'accès avec des règles iptables.

>>En pratique, le fait de ne mettre dans l'option 'listen-on' qu'une
>>adresse de loopback et une adresse privée a des chances d'aboutir au
>>même résultat, mais c'est par effet de bord : la pile IP n'accepte pas
>>les communications depuis ou vers 127.0.0.0/8 qui passent par une autre
>>interface que l'inteface de loopback,
>
> loopback ne dialogue qu'avec loopback

Oui, mais il faut distinguer l'interface de loopback (lo) du bloc
d'adresses de loopback (127.0.0.0/8). On pourrait imaginer qu'un petit
malin trafique sa table de routage pour envoyer des requêtes à ta
machine à destination d'une adresse de loopback. Mais la pile IP de
Linux les rejettera car la restriction des adresses de loopback à
l'interface de loopback est codée en dur. Ce genre d'attaque a déjà
servi contre des OS n'ayant pas cette restriction.

> Mais, vu que je fonctionne sur deux reseaux :
> - 192.168.1.0/24 pourl'internet
> - 192.168.0.0/24 pour le reseau prive
> dans la théorie rien n'empeche quelqu'un d'interroger le serveur DNS
> 192.168.0.1 via l'interface presente sur le reseau 192.168.1.0/24.

Exact. Il faut garder à l'esprit que pour Linux une adresse IP locale
appartient à la machine tout entière et non à une interface
particulière, et par conséquent est accessible par et utilisable avec
n'importe quelle interface.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

On Sun, May 06, 2007 at 06:32:21PM +0200,
Pascal Hambourg <pascal.mail@plouf.fr.eu.org> wrote
a message of 58 lines which said:

> comme le bien connu dead:beef ou cafe:deca:fade. ;-)

<troll type="dimanche">Ce ne sont pas des adresses légales, il aurait
fallu dire dead::beef ou cafe:deca::fade.</troll>


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

On Sun, May 06, 2007 at 06:32:21PM +0200,
Pascal Hambourg <pascal.mail@plouf.fr.eu.org> wrote
a message of 58 lines which said:

> comme le bien connu dead:beef ou cafe:deca:fade. ;-)

<troll type="dimanche">Ce ne sont pas des adresses légales, il aurait
fallu dire dead::beef ou cafe:deca::fade.</troll>


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Stephane Bortzmeyer a écrit :
>
>>comme le bien connu dead:beef ou cafe:deca:fade. ;-)
>
> <troll type="dimanche">Ce ne sont pas des adresses légales, il aurait
> fallu dire dead::beef ou cafe:deca::fade.</troll>

Disons que ce ne sont pas des adresses IPv4 complètes. Elles pourraient
constituer la partie hôte d'une adresse, vu qu'on a rarement le choix du
préfixe. A ce titre je suppose que j'aurais dû les faire précéder de
'::' (pour ceux qui ne connaissent pas c'est une notation qui représente
autant de zéros que nécessaire pour compléter l'adresse à 128 bits).


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Stephane Bortzmeyer a écrit :
>
>>comme le bien connu dead:beef ou cafe:deca:fade. ;-)
>
> <troll type="dimanche">Ce ne sont pas des adresses légales, il aurait
> fallu dire dead::beef ou cafe:deca::fade.</troll>

Disons que ce ne sont pas des adresses IPv4 complètes. Elles pourraient
constituer la partie hôte d'une adresse, vu qu'on a rarement le choix du
préfixe. A ce titre je suppose que j'aurais dû les faire précéder de
'::' (pour ceux qui ne connaissent pas c'est une notation qui représente
autant de zéros que nécessaire pour compléter l'adresse à 128 bits).


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

On Sun, May 06, 2007 at 06:32:21PM +0200, Pascal Hambourg wrote:
>
> >A vrai dire je n'ai jamais regarde de pres l'ipv6 et comment cela
> >fonctionnait par rapport a l'ipv4. (Aie, Aie !!)
>
> Dans les grandes lignes ça fonctionne à peu près pareil, sauf que les
> adresses sont plus longues - en contrepartie il y en a davantage - et
> moins "jolies". Quoique, l'hexa permet de créer des adresses rigolottes
> comme le bien connu dead:beef ou cafe:deca:fade. ;-)

J'ai regarde un peu du cote de wikipedia, pour mettre un peu plus *les
points sur les i*. L'ecriture hexa pour les adresses est plutot sympa en
effet, et c'est assez simple de s'en souvenir si on tombe sur quelque
chose de coherent :p! Mais bon, il y a peu de chance quand meme.

C'est facile a mettre en place ? J'ai bien vu l'histoire de l'interface
*sit0* (encapsulation ipv6 dans ipv4) mais je ne suis pas alle plus
loin. D'ailleurs, je ne vois pas pourquoi on encapsulerait ipv6 dans
ipv4 car ils sont senses pouvoir fonctionner ensemble, le type de la
version utilisee etant present dans la trame ip.

Va falloir faire du google la dessus pour eclaircir les gros points
noirs :p!

> [...]
> >Du coup, je me rends compte que cela serait plus judicieux de mettre
> >quelque chose du genre.
> >
> >listen-on { any; };
> >allow-query { 127.0.0.0/8; 192.168.0.0/24; };
>
> Par exemple. L'option 'allow-query' n'empêche pas de limiter le
> 'listen-on' aux adresses locales utiles, ça peut économiser quelques
> sockets puisque BIND ouvre deux sockets (TCP et UDP) par adresse IPv4.
> Autrement, on peut aussi restreindre l'accès avec des règles iptables.

Autant bien configurer les differents services presents sur un systeme,
et ensuite rajouter une couche de iptables par dessus. On est doublement
plus securise.

> >>En pratique, le fait de ne mettre dans l'option 'listen-on' qu'une
> >>adresse de loopback et une adresse privée a des chances d'aboutir au
> >>même résultat, mais c'est par effet de bord : la pile IP n'accepte pas
> >>les communications depuis ou vers 127.0.0.0/8 qui passent par une autre
> >>interface que l'inteface de loopback,
> >
> >loopback ne dialogue qu'avec loopback
>
> Oui, mais il faut distinguer l'interface de loopback (lo) du bloc
> d'adresses de loopback (127.0.0.0/8). On pourrait imaginer qu'un petit
> malin trafique sa table de routage pour envoyer des requêtes à ta
> machine à destination d'une adresse de loopback. Mais la pile IP de
> Linux les rejettera car la restriction des adresses de loopback Ã
> l'interface de loopback est codée en dur. Ce genre d'attaque a déjÃ
> servi contre des OS n'ayant pas cette restriction.

Que dire de plus ? Vive Linux !

--
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFGPmMfxJBTTnXAif4RAiF7AJ9h6RDX186V+eeNxKjlLT lPvgthPgCfeF4s
cBFpquSGaj/Gn6etpzRH+xQ=
=coyx
-----END PGP SIGNATURE-----

On Sun, May 06, 2007 at 06:32:21PM +0200, Pascal Hambourg wrote:
>
> >A vrai dire je n'ai jamais regarde de pres l'ipv6 et comment cela
> >fonctionnait par rapport a l'ipv4. (Aie, Aie !!)
>
> Dans les grandes lignes ça fonctionne à peu près pareil, sauf que les
> adresses sont plus longues - en contrepartie il y en a davantage - et
> moins "jolies". Quoique, l'hexa permet de créer des adresses rigolottes
> comme le bien connu dead:beef ou cafe:deca:fade. ;-)

J'ai regarde un peu du cote de wikipedia, pour mettre un peu plus *les
points sur les i*. L'ecriture hexa pour les adresses est plutot sympa en
effet, et c'est assez simple de s'en souvenir si on tombe sur quelque
chose de coherent :p! Mais bon, il y a peu de chance quand meme.

C'est facile a mettre en place ? J'ai bien vu l'histoire de l'interface
*sit0* (encapsulation ipv6 dans ipv4) mais je ne suis pas alle plus
loin. D'ailleurs, je ne vois pas pourquoi on encapsulerait ipv6 dans
ipv4 car ils sont senses pouvoir fonctionner ensemble, le type de la
version utilisee etant present dans la trame ip.

Va falloir faire du google la dessus pour eclaircir les gros points
noirs :p!

> [...]
> >Du coup, je me rends compte que cela serait plus judicieux de mettre
> >quelque chose du genre.
> >
> >listen-on { any; };
> >allow-query { 127.0.0.0/8; 192.168.0.0/24; };
>
> Par exemple. L'option 'allow-query' n'empêche pas de limiter le
> 'listen-on' aux adresses locales utiles, ça peut économiser quelques
> sockets puisque BIND ouvre deux sockets (TCP et UDP) par adresse IPv4.
> Autrement, on peut aussi restreindre l'accès avec des règles iptables.

Autant bien configurer les differents services presents sur un systeme,
et ensuite rajouter une couche de iptables par dessus. On est doublement
plus securise.

> >>En pratique, le fait de ne mettre dans l'option 'listen-on' qu'une
> >>adresse de loopback et une adresse privée a des chances d'aboutir au
> >>même résultat, mais c'est par effet de bord : la pile IP n'accepte pas
> >>les communications depuis ou vers 127.0.0.0/8 qui passent par une autre
> >>interface que l'inteface de loopback,
> >
> >loopback ne dialogue qu'avec loopback
>
> Oui, mais il faut distinguer l'interface de loopback (lo) du bloc
> d'adresses de loopback (127.0.0.0/8). On pourrait imaginer qu'un petit
> malin trafique sa table de routage pour envoyer des requêtes à ta
> machine à destination d'une adresse de loopback. Mais la pile IP de
> Linux les rejettera car la restriction des adresses de loopback Ã
> l'interface de loopback est codée en dur. Ce genre d'attaque a déjÃ
> servi contre des OS n'ayant pas cette restriction.

Que dire de plus ? Vive Linux !

--
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFGPmMfxJBTTnXAif4RAiF7AJ9h6RDX186V+eeNxKjlLT lPvgthPgCfeF4s
cBFpquSGaj/Gn6etpzRH+xQ=
=coyx
-----END PGP SIGNATURE-----