Bonsoir,

Il y a quelques temps, je me suis offert un nom de domaine avec site web,
serveur de mail et gestion de dns chez ovh. Cela fonctionne parfaitement.
Donc si je veux pinger "mon serveur web", je fais un ping www.asgardian.be
et cela fonctionne.

Je configure maintenant un DNS local pour mon lan, un petit réseau qui
s'appel biensur asgardian.be.
Afin de pouvoir continuer à pinger www.asgardian.be qui se trouve toujours
chez ovh, j'ai du ajouter ces lignes dans le fichier de config de mon dns
pour la zone asgardian.be.

60gp.ovh.net IN A 213.186.33.19
www IN CNAME 60gp.ovh.net

Cela veut dire que je dois "recréer" la structure de DNS de ovh pour que
cela fonctionne.
Le DNS de mon lan, ne répond qu'a des requêtes locales. Comme mon réseau
n'héberge aucun serveur accessible du net, les requêtes externes sont
gérées par ovh.
L'idéal, pour moi, serait de dire à mon DNS que www n'est pas une machine
locale mais une machine gérée à l'extérieur et qu'il doit simplement
forwarder les requètes vers le net. Ceci est-il possible ?


--
Thierry Leurent

E-mail : thierry.leurent@asgardian.be
Website (en developpement) : http://www.asgardian.be


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Thierry Leurent wrote:
> Bonsoir,
>
> Il y a quelques temps, je me suis offert un nom de domaine avec site web,
> serveur de mail et gestion de dns chez ovh. Cela fonctionne parfaitement.
> Donc si je veux pinger "mon serveur web", je fais un ping www.asgardian.be
> et cela fonctionne.
>
> Je configure maintenant un DNS local pour mon lan, un petit réseau qui
> s'appel biensur asgardian.be.
> Afin de pouvoir continuer à pinger www.asgardian.be qui se trouve toujours
> chez ovh, j'ai du ajouter ces lignes dans le fichier de config de mon dns
> pour la zone asgardian.be.
>
> 60gp.ovh.net IN A 213.186.33.19
> www IN CNAME 60gp.ovh.net

pourquoi utiliser un nom aussi long que 60gp.ovh.net? un petit

ovh IN A 213.186.33.19
www IN CNAME ovh
mail IN CNAME ovh
....

suffirait.

> Cela veut dire que je dois "recréer" la structure de DNS de ovh pour que
> cela fonctionne.
> Le DNS de mon lan, ne répond qu'a des requêtes locales. Comme mon réseau
> n'héberge aucun serveur accessible du net, les requêtes externes sont
> gérées par ovh.
> L'idéal, pour moi, serait de dire à mon DNS que www n'est pas une machine
> locale mais une machine gérée à l'extérieur et qu'il doit simplement
> forwarder les requètes vers le net. Ceci est-il possible ?
>

si ton DNS local gère asgardian.be, il faut reproduire toutes les
données de la zone dedans, et si besoin est, ajouter des entrées locales
(c'est un peu du "split dns").

si tu peux autoriser ta machine à être faire du transfer de zone, tu
peux alors configurer ton dns local en secondaire juste pour qu'il
récupère tout, et ensuite le remettre en primaire après avoir rajouté
les entrées locales. il faut refaire la procédure à chaque fois que le
dns "officiel" change, ce qui peut être pénible.

le plus simple est d'utiliser un domaine local sur ton lan
("asgardian.private" par exemple), comme ça il n'y a rien à copier entre
les deux serveurs.

l'autre façon, un peu risquée, et d'ajouter les entrées privées sur le
dns officiel, mais bon, "tout le monde" saura quelles IPs internes
correspondent à tes serveurs, ce qui n'est pas super top (à moins
d'ajouter des entrées pour toutes les IPs privées possibles, ou un grand
nombre du moins, histoire de noyer les bonnes infos).


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Merci.

J'utilise 60gp.ovh.net parce que tous mes services ne sont pas hébergés à
la même adresse. J'ai des services hébergés par news.ovh.net qui est en
213.186.33.102, 7 adresses différentes en tout. J'ai aussi pris le parti
de respecter la structure d'ovh, je pense que ce sera plus simple en cas
de panne ou de mise à jour. J'aurais aussi pu mettre
ovh1 IN A 213.186.33.14
ovh2 IN A 213.186.33.19
ftp2 IN CNAME ovh1
www IN CNAME ovh2

Mais je ne l'ai pas fait.

J'ai aussi choisi d'avoir le même nom de domaine en interne qu'en externe
afin de me rapprocher du monde de l'entreprise en étant concient que dans
le cadre d'un compte pro, le DNS externe point vers l'adresse publique de
la boite et que les machines hébergées à l'extéieur sont directement
"attaquées" par leur IP. au niveau du DNS interne.

mouss a écrit :
> Thierry Leurent wrote:
>> Bonsoir,
>>
>> Il y a quelques temps, je me suis offert un nom de domaine avec site
>> web,
>> serveur de mail et gestion de dns chez ovh. Cela fonctionne
>> parfaitement.
>> Donc si je veux pinger "mon serveur web", je fais un ping
>> www.asgardian.be
>> et cela fonctionne.
>>
>> Je configure maintenant un DNS local pour mon lan, un petit réseau qui
>> s'appel biensur asgardian.be.
>> Afin de pouvoir continuer à pinger www.asgardian.be qui se trouve
>> toujours
>> chez ovh, j'ai du ajouter ces lignes dans le fichier de config de mon
>> dns
>> pour la zone asgardian.be.
>>
>> 60gp.ovh.net IN A 213.186.33.19
>> www IN CNAME 60gp.ovh.net
>
> pourquoi utiliser un nom aussi long que 60gp.ovh.net? un petit
>
> ovh IN A 213.186.33.19
> www IN CNAME ovh
> mail IN CNAME ovh
> ...
>
> suffirait.
>
>> Cela veut dire que je dois "recréer" la structure de DNS de ovh pour que
>> cela fonctionne.
>> Le DNS de mon lan, ne répond qu'a des requêtes locales. Comme mon réseau
>> n'héberge aucun serveur accessible du net, les requêtes externes sont
>> gérées par ovh.
>> L'idéal, pour moi, serait de dire à mon DNS que www n'est pas une
>> machine
>> locale mais une machine gérée à l'extérieur et qu'il doit simplement
>> forwarder les requètes vers le net. Ceci est-il possible ?
>>
>
> si ton DNS local gère asgardian.be, il faut reproduire toutes les
> données de la zone dedans, et si besoin est, ajouter des entrées locales
> (c'est un peu du "split dns").
>
> si tu peux autoriser ta machine à être faire du transfer de zone, tu
> peux alors configurer ton dns local en secondaire juste pour qu'il
> récupère tout, et ensuite le remettre en primaire après avoir rajouté
> les entrées locales. il faut refaire la procédure à chaque fois que le
> dns "officiel" change, ce qui peut être pénible.
>
> le plus simple est d'utiliser un domaine local sur ton lan
> ("asgardian.private" par exemple), comme ça il n'y a rien à copier entre
> les deux serveurs.
>
> l'autre façon, un peu risquée, et d'ajouter les entrées privées sur le
> dns officiel, mais bon, "tout le monde" saura quelles IPs internes
> correspondent à tes serveurs, ce qui n'est pas super top (à moins
> d'ajouter des entrées pour toutes les IPs privées possibles, ou un grand
> nombre du moins, histoire de noyer les bonnes infos).
>
>
> --
> Lisez la FAQ de la liste avant de poser une question :
> http://wiki.debian.net/?DebianFrench
> Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
> "Reply-To:"
>
> To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
>
>


--
Thierry Leurent
Phone : +32 476/20.23.98
E-mail : thierry.leurent@asgardian.be
Website (en developpement) : http://www.asgardian.be


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

On Sun, Dec 30, 2007 at 01:25:40PM +0100, mouss wrote:
> l'autre façon, un peu risquée, et d'ajouter les entrées privées sur le
> dns officiel, mais bon, "tout le monde" saura quelles IPs internes
> correspondent à tes serveurs, ce qui n'est pas super top

Quel problème ça pose? Il me semble que pour que cette
information soit utile, il faut qu'un attaquant ai déjà
pénétré le réseau, auquel cas trouver des IPs locales n'est
pas très difficile?

Y.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Salut,

Yves Rutschle a écrit :
> On Sun, Dec 30, 2007 at 01:25:40PM +0100, mouss wrote:
>
>>l'autre façon, un peu risquée, et d'ajouter les entrées privées sur le
>>dns officiel, mais bon, "tout le monde" saura quelles IPs internes
>>correspondent à tes serveurs, ce qui n'est pas super top
>
> Quel problème ça pose?

C'est contraire aux Ecritures. Il est dit dans RFC 1918 - Address
Allocation for Private Internets, verset 5 :

If an enterprise uses the private address space, or a mix of private
and public address spaces, then DNS clients outside of the enterprise
should not see addresses in the private address space used by the
enterprise, since these addresses would be ambiguous.

Pour répondre à la question initiale, c'est peut-être faisable en créant
une zone "www.asgardian.be" de type forward sur le serveur DNS local. Je
ne peux rien garantir, n'ayant jamais utilisé ce type de zone.

Mais personnellement je créerais plutôt sur le serveur DNS local un
sous-domaine de asgardian.be dédié aux machines du réseau local, par
exemple local.asgardian.be.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Pascal Hambourg a écrit :
> Salut,
>
> Yves Rutschle a écrit :
>> On Sun, Dec 30, 2007 at 01:25:40PM +0100, mouss wrote:
>>
>>> l'autre façon, un peu risquée, et d'ajouter les entrées privées sur le
>>> dns officiel, mais bon, "tout le monde" saura quelles IPs internes
>>> correspondent à tes serveurs, ce qui n'est pas super top
>>
>> Quel problème ça pose?
>
> C'est contraire aux Ecritures. Il est dit dans RFC 1918 - Address
> Allocation for Private Internets, verset 5 :
>
> If an enterprise uses the private address space, or a mix of private
> and public address spaces, then DNS clients outside of the enterprise
> should not see addresses in the private address space used by the
> enterprise, since these addresses would be ambiguous.
>
> Pour répondre à la question initiale, c'est peut-être faisable en
> créant une zone "www.asgardian.be" de type forward sur le serveur DNS
> local. Je ne peux rien garantir, n'ayant jamais utilisé ce type de zone.
>
> Mais personnellement je créerais plutôt sur le serveur DNS local un
> sous-domaine de asgardian.be dédié aux machines du réseau local, par
> exemple local.asgardian.be.
>
>
Bonjour et bonne année,

une autre solution est de splité le dns avec une vue externe et une vu
interne.
acl my_network {
172.16.0.0/16;
};

view "interne" {
match-clients { "my_network"; };
recursion yes;

zone "asguardian.be" {
type master;
file "db.asguardian.be.lan";
};
//etc ...

view "externe" {
match-clients { any; };
recursion no;
zone "asguardian.be" {
type master;
file "db.asguardian.be";
allow-transfer {x.x.x.x;};
};

//etc...

a+


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

richard a écrit :
>
> une autre solution est de splité le dns avec une vue externe et une vu
> interne.

Cette solution n'est valable que si on a le serveur DNS maître chez soi,
ce qui ne semble pas être le cas ici si j'ai bien compris.

--
Bonne année à tous


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

richard wrote:
> Pascal Hambourg a écrit :
>> Salut,
>>
>> Yves Rutschle a écrit :
>>> On Sun, Dec 30, 2007 at 01:25:40PM +0100, mouss wrote:
>>>
>>>> l'autre façon, un peu risquée, et d'ajouter les entrées privées sur le
>>>> dns officiel, mais bon, "tout le monde" saura quelles IPs internes
>>>> correspondent à tes serveurs, ce qui n'est pas super top
>>>
>>> Quel problème ça pose?
>>
>> C'est contraire aux Ecritures. Il est dit dans RFC 1918 - Address
>> Allocation for Private Internets, verset 5 :
>>
>> If an enterprise uses the private address space, or a mix of private
>> and public address spaces, then DNS clients outside of the enterprise
>> should not see addresses in the private address space used by the
>> enterprise, since these addresses would be ambiguous.
>>
>> Pour répondre à la question initiale, c'est peut-être faisable en
>> créant une zone "www.asgardian.be" de type forward sur le serveur DNS
>> local. Je ne peux rien garantir, n'ayant jamais utilisé ce type de zone.
>>
>> Mais personnellement je créerais plutôt sur le serveur DNS local un
>> sous-domaine de asgardian.be dédié aux machines du réseau local, par
>> exemple local.asgardian.be.
>>
>>
> Bonjour et bonne année,
>
> une autre solution est de splité le dns avec une vue externe et une vu
> interne.

Si le primaire est chez lui, oui. mais à ce moment là, les views
n'apportent pas plus que de lancer deux instances (une sur l'IP interne,
l'autre sur l'IP externe).

Les views ont été une tentative pour répondre à la problématique des
"split dns", mais je trouve que l'implémentation est un peu ratée:

- si on n'a pas la main sur un secondaire, il n'y aura qu'une view pour
lui. il faut faire attention à ce qu'il voit la bonne. une erreur est
vite arrivée (surtout si on combine plusieurs ACLs d'accès).

- si on utilise des views, il faut dupliquer toutes les zones.

On est donc vite amené à utiliser un script. mais dans ce cas, deux
instances donnent la même fonctionnalité, avec la possibilité
supplémentaire de contrôler l'accès par le firewall (iptables ou autre).


> acl my_network {
> 172.16.0.0/16;
> };
>
> view "interne" {
> match-clients { "my_network"; };
> recursion yes;
>
> zone "asguardian.be" {
> type master;
> file "db.asguardian.be.lan";
> };
> //etc ...
>
> view "externe" {
> match-clients { any; };
> recursion no;
> zone "asguardian.be" {
> type master;
> file "db.asguardian.be";
> allow-transfer {x.x.x.x;};
> };
>
> //etc...
>
> a+
>
>


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org