Bonjour,
J'ai quelques questions auxquelles je ne trouve pas de réponses claires.
Si je modifie les entrées DNS (je crée un CNAME, un A,...) de mon
serveur, comment indique-t-on à quels autres DNS sont transmis ces infos
en premier lieu (qui lui-même distribuera l'info) ?
Pourquoi me ferait-il confiance ?
Pourquoi faut-il toujours entrer au moins 2 NS ? Uniquement pour la
redondance ?
Donc dans mon cas, j'ai un seul serveur : est-ce que je peux mettre mon
IP en premier NS et un DNS de mon hébergeur en second ?
Bonjour,
J'ai quelques questions auxquelles je ne trouve pas de réponses claires.
Si je modifie les entrées DNS (je crée un CNAME, un A,...) de mon
serveur, comment indique-t-on à quels autres DNS sont transmis ces infos
en premier lieu (qui lui-même distribuera l'info) ?
Pourquoi me ferait-il confiance ?
Pourquoi faut-il toujours entrer au moins 2 NS ? Uniquement pour la
redondance ?
Donc dans mon cas, j'ai un seul serveur : est-ce que je peux mettre mon
IP en premier NS et un DNS de mon hébergeur en second ?
Bonjour,
J'ai quelques questions auxquelles je ne trouve pas de réponses claires.
Si je modifie les entrées DNS (je crée un CNAME, un A,...) de mon
serveur, comment indique-t-on à quels autres DNS sont transmis ces infos
en premier lieu (qui lui-même distribuera l'info) ?
Pourquoi me ferait-il confiance ?
Pourquoi faut-il toujours entrer au moins 2 NS ? Uniquement pour la
redondance ?
Donc dans mon cas, j'ai un seul serveur : est-ce que je peux mettre mon
IP en premier NS et un DNS de mon hébergeur en second ?
Si je modifie les entrées DNS (je crée un CNAME, un A,...) de mon
serveur, comment indique-t-on à quels autres DNS sont transmis ces infos
en premier lieu (qui lui-même distribuera l'info) ?
Pourquoi me ferait-il confiance ?
Pourquoi faut-il toujours entrer au moins 2 NS ? Uniquement pour la
redondance ?
Donc dans mon cas, j'ai un seul serveur : est-ce que je peux mettre mon
IP en premier NS et un DNS de mon hébergeur en second ?
PS : Nessus m'indique que "Remote DNS server is vulnerable to cache
snooping attacks".
Si je modifie les entrées DNS (je crée un CNAME, un A,...) de mon
serveur, comment indique-t-on à quels autres DNS sont transmis ces infos
en premier lieu (qui lui-même distribuera l'info) ?
Pourquoi me ferait-il confiance ?
Pourquoi faut-il toujours entrer au moins 2 NS ? Uniquement pour la
redondance ?
Donc dans mon cas, j'ai un seul serveur : est-ce que je peux mettre mon
IP en premier NS et un DNS de mon hébergeur en second ?
PS : Nessus m'indique que "Remote DNS server is vulnerable to cache
snooping attacks".
Si je modifie les entrées DNS (je crée un CNAME, un A,...) de mon
serveur, comment indique-t-on à quels autres DNS sont transmis ces infos
en premier lieu (qui lui-même distribuera l'info) ?
Pourquoi me ferait-il confiance ?
Pourquoi faut-il toujours entrer au moins 2 NS ? Uniquement pour la
redondance ?
Donc dans mon cas, j'ai un seul serveur : est-ce que je peux mettre mon
IP en premier NS et un DNS de mon hébergeur en second ?
PS : Nessus m'indique que "Remote DNS server is vulnerable to cache
snooping attacks".
J'ai quelques questions auxquelles je ne trouve pas de réponses claires.
Si je modifie les entrées DNS (je crée un CNAME, un A,...) de mon
serveur, comment indique-t-on à quels autres DNS sont transmis ces infos
en premier lieu
(qui lui-même distribuera l'info) ?
Pourquoi me ferait-il confiance ?
Pourquoi faut-il toujours entrer au moins 2 NS ? Uniquement pour la
redondance ?
Donc dans mon cas, j'ai un seul serveur : est-ce que je peux mettre mon
IP en premier NS et un DNS de mon hébergeur en second ?
PS : Nessus m'indique que "Remote DNS server is vulnerable to cache
snooping attacks". J'ai souvent obtenu des faux positifs dans la sécu
réseau avec cet outil, mais là, comme je ne comprends pas ce qu'il me
dit...
est-ce grave et comment y remédier ?
J'ai quelques questions auxquelles je ne trouve pas de réponses claires.
Si je modifie les entrées DNS (je crée un CNAME, un A,...) de mon
serveur, comment indique-t-on à quels autres DNS sont transmis ces infos
en premier lieu
(qui lui-même distribuera l'info) ?
Pourquoi me ferait-il confiance ?
Pourquoi faut-il toujours entrer au moins 2 NS ? Uniquement pour la
redondance ?
Donc dans mon cas, j'ai un seul serveur : est-ce que je peux mettre mon
IP en premier NS et un DNS de mon hébergeur en second ?
PS : Nessus m'indique que "Remote DNS server is vulnerable to cache
snooping attacks". J'ai souvent obtenu des faux positifs dans la sécu
réseau avec cet outil, mais là, comme je ne comprends pas ce qu'il me
dit...
est-ce grave et comment y remédier ?
J'ai quelques questions auxquelles je ne trouve pas de réponses claires.
Si je modifie les entrées DNS (je crée un CNAME, un A,...) de mon
serveur, comment indique-t-on à quels autres DNS sont transmis ces infos
en premier lieu
(qui lui-même distribuera l'info) ?
Pourquoi me ferait-il confiance ?
Pourquoi faut-il toujours entrer au moins 2 NS ? Uniquement pour la
redondance ?
Donc dans mon cas, j'ai un seul serveur : est-ce que je peux mettre mon
IP en premier NS et un DNS de mon hébergeur en second ?
PS : Nessus m'indique que "Remote DNS server is vulnerable to cache
snooping attacks". J'ai souvent obtenu des faux positifs dans la sécu
réseau avec cet outil, mais là, comme je ne comprends pas ce qu'il me
dit...
est-ce grave et comment y remédier ?
Bonjour,
On Mon, 17 Mar 2008 13:42:13 +0100, Olivier Masson wrote:J'ai quelques questions auxquelles je ne trouve pas de réponses claires.
Toutes les réponses sont probablement ici:
http://www.oreilly.fr/catalogue/2841771504.html
Bonjour,
On Mon, 17 Mar 2008 13:42:13 +0100, Olivier Masson wrote:
J'ai quelques questions auxquelles je ne trouve pas de réponses claires.
Toutes les réponses sont probablement ici:
http://www.oreilly.fr/catalogue/2841771504.html
Bonjour,
On Mon, 17 Mar 2008 13:42:13 +0100, Olivier Masson wrote:J'ai quelques questions auxquelles je ne trouve pas de réponses claires.
Toutes les réponses sont probablement ici:
http://www.oreilly.fr/catalogue/2841771504.html
Les modifications doivent se faire sur le serveur DNS primaire (maître) et
il va alors notifier les autres serveurs DNS, tels que présents dans la
zone (ou si on le force à contacter d'autres serveurs).
Vous parlez des DNS secondaires ? Il y a 20 ans, tout le monde faisait
confiance à tout le monde sur Internet et cela se passait très bien...
c'est le modèle encore qui reste ancré et on ajoute des couches au-dessus
pour « sécuriser » tout ca. Vous pouvez configurer les serveurs pour
n'autoriser les transfers de zone (AXFR/IXFR, le mécanisme utilisé pour la
synchronisation lorsque le primaire est modifié), que depuis/vers
certaines adresses IP, ou un cran au-dessus en utilisant une clef
cryptographique avec le mécanisme TSIG des DNS qui fera que seules les
machines ayant la clef auront le droit de récupérer la nouvelle zone sur
le primaire.
Donc dans mon cas, j'ai un seul serveur : est-ce que je peux mettre mon
IP en premier NS et un DNS de mon hébergeur en second ?
Si le serveur DNS de ce dernier est configuré correctement pour être
secondaire de votre zone et se synchroniser sur celle-ci, alors oui. Mais
il vaut mieux régler cela avant que de mettre le serveur DNS en question
dans votre zone. Voir aussi du côté du bureau d'enregistrement du nom de
domaine en question, beaucoup de bureaux proposent un service de DNS
secondaire.
PS : Nessus m'indique que "Remote DNS server is vulnerable to cache
snooping attacks".
C'est une ancienne version (de Bind je suppose) qu'il faudra mettre à
jour, j'imagine. Cela peut arriver aussi si vous avez la mauvaise idée
d'utiliser le même serveur DNS comme serveur autoritaire sur une zone et
résolveur local accessible publiquement.
Il faut :
- ne pas avoir le même DNS qui a deux rôles différents, aux
problématiques très différentes,
- ne pas avoir de résolveur local accessible publiquement, cela n'a pas de
sens (sauf « services » comme OpenDNS), c'est comme un serveur SMTP relai
ouvert, c'est potentiellement très dangereux.
Les modifications doivent se faire sur le serveur DNS primaire (maître) et
il va alors notifier les autres serveurs DNS, tels que présents dans la
zone (ou si on le force à contacter d'autres serveurs).
Vous parlez des DNS secondaires ? Il y a 20 ans, tout le monde faisait
confiance à tout le monde sur Internet et cela se passait très bien...
c'est le modèle encore qui reste ancré et on ajoute des couches au-dessus
pour « sécuriser » tout ca. Vous pouvez configurer les serveurs pour
n'autoriser les transfers de zone (AXFR/IXFR, le mécanisme utilisé pour la
synchronisation lorsque le primaire est modifié), que depuis/vers
certaines adresses IP, ou un cran au-dessus en utilisant une clef
cryptographique avec le mécanisme TSIG des DNS qui fera que seules les
machines ayant la clef auront le droit de récupérer la nouvelle zone sur
le primaire.
Donc dans mon cas, j'ai un seul serveur : est-ce que je peux mettre mon
IP en premier NS et un DNS de mon hébergeur en second ?
Si le serveur DNS de ce dernier est configuré correctement pour être
secondaire de votre zone et se synchroniser sur celle-ci, alors oui. Mais
il vaut mieux régler cela avant que de mettre le serveur DNS en question
dans votre zone. Voir aussi du côté du bureau d'enregistrement du nom de
domaine en question, beaucoup de bureaux proposent un service de DNS
secondaire.
PS : Nessus m'indique que "Remote DNS server is vulnerable to cache
snooping attacks".
C'est une ancienne version (de Bind je suppose) qu'il faudra mettre à
jour, j'imagine. Cela peut arriver aussi si vous avez la mauvaise idée
d'utiliser le même serveur DNS comme serveur autoritaire sur une zone et
résolveur local accessible publiquement.
Il faut :
- ne pas avoir le même DNS qui a deux rôles différents, aux
problématiques très différentes,
- ne pas avoir de résolveur local accessible publiquement, cela n'a pas de
sens (sauf « services » comme OpenDNS), c'est comme un serveur SMTP relai
ouvert, c'est potentiellement très dangereux.
Les modifications doivent se faire sur le serveur DNS primaire (maître) et
il va alors notifier les autres serveurs DNS, tels que présents dans la
zone (ou si on le force à contacter d'autres serveurs).
Vous parlez des DNS secondaires ? Il y a 20 ans, tout le monde faisait
confiance à tout le monde sur Internet et cela se passait très bien...
c'est le modèle encore qui reste ancré et on ajoute des couches au-dessus
pour « sécuriser » tout ca. Vous pouvez configurer les serveurs pour
n'autoriser les transfers de zone (AXFR/IXFR, le mécanisme utilisé pour la
synchronisation lorsque le primaire est modifié), que depuis/vers
certaines adresses IP, ou un cran au-dessus en utilisant une clef
cryptographique avec le mécanisme TSIG des DNS qui fera que seules les
machines ayant la clef auront le droit de récupérer la nouvelle zone sur
le primaire.
Donc dans mon cas, j'ai un seul serveur : est-ce que je peux mettre mon
IP en premier NS et un DNS de mon hébergeur en second ?
Si le serveur DNS de ce dernier est configuré correctement pour être
secondaire de votre zone et se synchroniser sur celle-ci, alors oui. Mais
il vaut mieux régler cela avant que de mettre le serveur DNS en question
dans votre zone. Voir aussi du côté du bureau d'enregistrement du nom de
domaine en question, beaucoup de bureaux proposent un service de DNS
secondaire.
PS : Nessus m'indique que "Remote DNS server is vulnerable to cache
snooping attacks".
C'est une ancienne version (de Bind je suppose) qu'il faudra mettre à
jour, j'imagine. Cela peut arriver aussi si vous avez la mauvaise idée
d'utiliser le même serveur DNS comme serveur autoritaire sur une zone et
résolveur local accessible publiquement.
Il faut :
- ne pas avoir le même DNS qui a deux rôles différents, aux
problématiques très différentes,
- ne pas avoir de résolveur local accessible publiquement, cela n'a pas de
sens (sauf « services » comme OpenDNS), c'est comme un serveur SMTP relai
ouvert, c'est potentiellement très dangereux.
Là, ça devient compliqué. Soit je m'achète le bouquin de O'Reilly, soit
je délègue tout à mon registrar (ce se sera plus laborieux mais plus sûr !)
Donc dans mon cas, j'ai un seul serveur : est-ce que je peux mettre
mon IP en premier NS et un DNS de mon hébergeur en second ?
Si le serveur DNS de ce dernier est configuré correctement pour être
secondaire de votre zone et se synchroniser sur celle-ci, alors oui.
Mais il vaut mieux régler cela avant que de mettre le serveur DNS en
question dans votre zone. Voir aussi du côté du bureau d'enregistrement
du nom de domaine en question, beaucoup de bureaux proposent un service
de DNS secondaire.
Et comment savoir si le DNS de mon registrar est bien "configuré
correctement pour être secondaire de [ma] zone" ?
PS : Nessus m'indique que "Remote DNS server is vulnerable to cache
snooping attacks".
C'est une ancienne version (de Bind je suppose) qu'il faudra mettre à
jour, j'imagine. Cela peut arriver aussi si vous avez la mauvaise idée
d'utiliser le même serveur DNS comme serveur autoritaire sur une zone
et résolveur local accessible publiquement. Il faut : - ne pas avoir le
même DNS qui a deux rôles différents, aux problématiques très
différentes,
- ne pas avoir de résolveur local accessible publiquement, cela n'a pas
de sens (sauf « services » comme OpenDNS), c'est comme un serveur SMTP
relai ouvert, c'est potentiellement très dangereux.
Soit c'est un faux positif (car mon Bind est à jour), soit je rentre
dans un des cas que vous citez... mais sans le savoir :/
Comme toujours, merci pour vos explications (même si ça me déprime
toujours un peu).
Là, ça devient compliqué. Soit je m'achète le bouquin de O'Reilly, soit
je délègue tout à mon registrar (ce se sera plus laborieux mais plus sûr !)
Donc dans mon cas, j'ai un seul serveur : est-ce que je peux mettre
mon IP en premier NS et un DNS de mon hébergeur en second ?
Si le serveur DNS de ce dernier est configuré correctement pour être
secondaire de votre zone et se synchroniser sur celle-ci, alors oui.
Mais il vaut mieux régler cela avant que de mettre le serveur DNS en
question dans votre zone. Voir aussi du côté du bureau d'enregistrement
du nom de domaine en question, beaucoup de bureaux proposent un service
de DNS secondaire.
Et comment savoir si le DNS de mon registrar est bien "configuré
correctement pour être secondaire de [ma] zone" ?
PS : Nessus m'indique que "Remote DNS server is vulnerable to cache
snooping attacks".
C'est une ancienne version (de Bind je suppose) qu'il faudra mettre à
jour, j'imagine. Cela peut arriver aussi si vous avez la mauvaise idée
d'utiliser le même serveur DNS comme serveur autoritaire sur une zone
et résolveur local accessible publiquement. Il faut : - ne pas avoir le
même DNS qui a deux rôles différents, aux problématiques très
différentes,
- ne pas avoir de résolveur local accessible publiquement, cela n'a pas
de sens (sauf « services » comme OpenDNS), c'est comme un serveur SMTP
relai ouvert, c'est potentiellement très dangereux.
Soit c'est un faux positif (car mon Bind est à jour), soit je rentre
dans un des cas que vous citez... mais sans le savoir :/
Comme toujours, merci pour vos explications (même si ça me déprime
toujours un peu).
Là, ça devient compliqué. Soit je m'achète le bouquin de O'Reilly, soit
je délègue tout à mon registrar (ce se sera plus laborieux mais plus sûr !)
Donc dans mon cas, j'ai un seul serveur : est-ce que je peux mettre
mon IP en premier NS et un DNS de mon hébergeur en second ?
Si le serveur DNS de ce dernier est configuré correctement pour être
secondaire de votre zone et se synchroniser sur celle-ci, alors oui.
Mais il vaut mieux régler cela avant que de mettre le serveur DNS en
question dans votre zone. Voir aussi du côté du bureau d'enregistrement
du nom de domaine en question, beaucoup de bureaux proposent un service
de DNS secondaire.
Et comment savoir si le DNS de mon registrar est bien "configuré
correctement pour être secondaire de [ma] zone" ?
PS : Nessus m'indique que "Remote DNS server is vulnerable to cache
snooping attacks".
C'est une ancienne version (de Bind je suppose) qu'il faudra mettre à
jour, j'imagine. Cela peut arriver aussi si vous avez la mauvaise idée
d'utiliser le même serveur DNS comme serveur autoritaire sur une zone
et résolveur local accessible publiquement. Il faut : - ne pas avoir le
même DNS qui a deux rôles différents, aux problématiques très
différentes,
- ne pas avoir de résolveur local accessible publiquement, cela n'a pas
de sens (sauf « services » comme OpenDNS), c'est comme un serveur SMTP
relai ouvert, c'est potentiellement très dangereux.
Soit c'est un faux positif (car mon Bind est à jour), soit je rentre
dans un des cas que vous citez... mais sans le savoir :/
Comme toujours, merci pour vos explications (même si ça me déprime
toujours un peu).
Là, ça devient compliqué. Soit je m'achète le bouquin de O'Reilly, soit
je délègue tout à mon registrar (ce se sera plus laborieux mais plus sûr
!)
Et comment savoir si le DNS de mon registrar est bien "configuré
correctement pour être secondaire de [ma] zone" ?
Là, ça devient compliqué. Soit je m'achète le bouquin de O'Reilly, soit
je délègue tout à mon registrar (ce se sera plus laborieux mais plus sûr
!)
Et comment savoir si le DNS de mon registrar est bien "configuré
correctement pour être secondaire de [ma] zone" ?
Là, ça devient compliqué. Soit je m'achète le bouquin de O'Reilly, soit
je délègue tout à mon registrar (ce se sera plus laborieux mais plus sûr
!)
Et comment savoir si le DNS de mon registrar est bien "configuré
correctement pour être secondaire de [ma] zone" ?
Pour résumer mes modifs (mon but étant de faire passer les mises à jour
de mon DNS à ceux de Gandi) :
- dans resolv.conf, j'ai mis mon IP en premier et les deux IP des DNS
gandi (le bout de serveur est chez eux) en second ensuite.
//forwarders { dns_gandi; }; # acl marche pas ici et je n'ai
pas tout compris à son utilité
allow-transfer { dns_gandi; };
allow-recursion { localhost; dns_gandi; };
Pour mes zones, mon panel génère ça :
$TTL 86400
@ IN SOA
www.monserveur.net. admin.mondomaine1.net. (
2008031001
28800
7200
604800
86400 )
MX 10 www.mondomaine1.net.
mondomaine1.net. A 9x.2xx.xx.xx
www A 9x.2xx.xx.xx
mondomaine1.net. TXT "v=spf1 a mx ptr ~all"
Outre le TXT dont je ne comprend pas l'utilité,
j'ai du mal avec l'utilisation du @,
le TTL à 86400,
l'absence de IN.
Après bien sûr comme dit précédemment il y a des pistes pour sécuriser
l'ensemble.
J'ai vu que j'avais dnssec-keygen et -seczone, mais j'attendrai déjà
d'avoir bien configuré le reste...
Soit le prestataire ne demande comme configuration que le nom de
domaine, et son serveur DNS va en récupérer les enregistrements NS,
regarder si son propre serveur est référencé (donc service DNS
secondaire à fournir), demander au primaire la zone (AXFR/IXFR), et à
partir de là tout fonctionne.
Soit le prestataire va demander l'adresse IP (ou le nom) du serveur
primaire, le contacter pour récupérer la zone (qu'il soit dans les
enregistrements NS ou pas), et se configurer.
Avec ma config (en supposant qu'elle soit bonne...), je suis dans quelle
situation ?
Pour les tests, je recommande dig en ligne de commande : dig @NS
example.com SOA
en remplacant NS par l'adresse IP (ou le nom) du serveur DNS que l'on
veut
Je me fais jeter partout pour cause de "recursion requested but not
available".
Pour limiter les risques, est-il possible d'envoyer toutes les mises à
jour aux DNS Gandi, sans pouvoir être interrogé par qui que ce soit
d'autre (que les DNS Gandi) ?
Et puis merci, comme toujours (y'a pas de bouton Donate sur dotandco ;))
Pour résumer mes modifs (mon but étant de faire passer les mises à jour
de mon DNS à ceux de Gandi) :
- dans resolv.conf, j'ai mis mon IP en premier et les deux IP des DNS
gandi (le bout de serveur est chez eux) en second ensuite.
//forwarders { dns_gandi; }; # acl marche pas ici et je n'ai
pas tout compris à son utilité
allow-transfer { dns_gandi; };
allow-recursion { localhost; dns_gandi; };
Pour mes zones, mon panel génère ça :
$TTL 86400
@ IN SOA
www.monserveur.net. admin.mondomaine1.net. (
2008031001
28800
7200
604800
86400 )
MX 10 www.mondomaine1.net.
mondomaine1.net. A 9x.2xx.xx.xx
www A 9x.2xx.xx.xx
mondomaine1.net. TXT "v=spf1 a mx ptr ~all"
Outre le TXT dont je ne comprend pas l'utilité,
j'ai du mal avec l'utilisation du @,
le TTL à 86400,
l'absence de IN.
Après bien sûr comme dit précédemment il y a des pistes pour sécuriser
l'ensemble.
J'ai vu que j'avais dnssec-keygen et -seczone, mais j'attendrai déjà
d'avoir bien configuré le reste...
Soit le prestataire ne demande comme configuration que le nom de
domaine, et son serveur DNS va en récupérer les enregistrements NS,
regarder si son propre serveur est référencé (donc service DNS
secondaire à fournir), demander au primaire la zone (AXFR/IXFR), et à
partir de là tout fonctionne.
Soit le prestataire va demander l'adresse IP (ou le nom) du serveur
primaire, le contacter pour récupérer la zone (qu'il soit dans les
enregistrements NS ou pas), et se configurer.
Avec ma config (en supposant qu'elle soit bonne...), je suis dans quelle
situation ?
Pour les tests, je recommande dig en ligne de commande : dig @NS
example.com SOA
en remplacant NS par l'adresse IP (ou le nom) du serveur DNS que l'on
veut
Je me fais jeter partout pour cause de "recursion requested but not
available".
Pour limiter les risques, est-il possible d'envoyer toutes les mises à
jour aux DNS Gandi, sans pouvoir être interrogé par qui que ce soit
d'autre (que les DNS Gandi) ?
Et puis merci, comme toujours (y'a pas de bouton Donate sur dotandco ;))
Pour résumer mes modifs (mon but étant de faire passer les mises à jour
de mon DNS à ceux de Gandi) :
- dans resolv.conf, j'ai mis mon IP en premier et les deux IP des DNS
gandi (le bout de serveur est chez eux) en second ensuite.
//forwarders { dns_gandi; }; # acl marche pas ici et je n'ai
pas tout compris à son utilité
allow-transfer { dns_gandi; };
allow-recursion { localhost; dns_gandi; };
Pour mes zones, mon panel génère ça :
$TTL 86400
@ IN SOA
www.monserveur.net. admin.mondomaine1.net. (
2008031001
28800
7200
604800
86400 )
MX 10 www.mondomaine1.net.
mondomaine1.net. A 9x.2xx.xx.xx
www A 9x.2xx.xx.xx
mondomaine1.net. TXT "v=spf1 a mx ptr ~all"
Outre le TXT dont je ne comprend pas l'utilité,
j'ai du mal avec l'utilisation du @,
le TTL à 86400,
l'absence de IN.
Après bien sûr comme dit précédemment il y a des pistes pour sécuriser
l'ensemble.
J'ai vu que j'avais dnssec-keygen et -seczone, mais j'attendrai déjà
d'avoir bien configuré le reste...
Soit le prestataire ne demande comme configuration que le nom de
domaine, et son serveur DNS va en récupérer les enregistrements NS,
regarder si son propre serveur est référencé (donc service DNS
secondaire à fournir), demander au primaire la zone (AXFR/IXFR), et à
partir de là tout fonctionne.
Soit le prestataire va demander l'adresse IP (ou le nom) du serveur
primaire, le contacter pour récupérer la zone (qu'il soit dans les
enregistrements NS ou pas), et se configurer.
Avec ma config (en supposant qu'elle soit bonne...), je suis dans quelle
situation ?
Pour les tests, je recommande dig en ligne de commande : dig @NS
example.com SOA
en remplacant NS par l'adresse IP (ou le nom) du serveur DNS que l'on
veut
Je me fais jeter partout pour cause de "recursion requested but not
available".
Pour limiter les risques, est-il possible d'envoyer toutes les mises à
jour aux DNS Gandi, sans pouvoir être interrogé par qui que ce soit
d'autre (que les DNS Gandi) ?
Et puis merci, comme toujours (y'a pas de bouton Donate sur dotandco ;))
Après bien sûr comme dit précédemment il y a des pistes pour sécuriser
l'ensemble.
J'ai vu que j'avais dnssec-keygen et -seczone, mais j'attendrai déjà
d'avoir bien configuré le reste...
Vous pouvez effectivement utiliser dnssec-keygen pour créer une clef à
utiliser par le mécanisme TSIG qui, en résumé, « sécurise » le transfert
de zone (entre primaire et secondaires) en authentifiant fortement
l'émetteur (le primaire). Cela remplace ou s'adjoint aux ACLs sur les
adresses IP.
Mais il faut contrôler le secondaire pour pouvoir faire cela, sinon
comment signifier au secondaire qu'on utilise ce mécanisme, etc. ?
Pour limiter les risques, est-il possible d'envoyer toutes les mises à
jour aux DNS Gandi, sans pouvoir être interrogé par qui que ce soit
d'autre (que les DNS Gandi) ?
Je ne suis pas sûr de comprendre la question, mais si vous voulez que
votre serveur DNS ne soit pas « public » c'est à dire ne réponde
quasimment à personne, sauf à votre prestataire, en phase de tests, il
suffit de placer une directive du type : allow-query { dns_gandi; };
dans votre fichier.
Je pense que la structure que je souhaite n'existe pas : informer les
DNS de mon registrar des modifications grâce à mon serveur DNS, sans que
ce dernier ne soit public (pour limiter les risques et décharger le
serveur).
Si j'utilise allow-query { dns_registrar } et que je me mets en DNS
primaire, les requêtes publiques seront donc toujours traitées par les
secondaires ce qui, je pense, n'est pas du tout "réglementaire" ?
Dès que je mets les services en-ligne, y aura un bouton « Order », ce
qui devrait faire l'affaire :-)
Quel type de service en ligne ?
Après bien sûr comme dit précédemment il y a des pistes pour sécuriser
l'ensemble.
J'ai vu que j'avais dnssec-keygen et -seczone, mais j'attendrai déjà
d'avoir bien configuré le reste...
Vous pouvez effectivement utiliser dnssec-keygen pour créer une clef à
utiliser par le mécanisme TSIG qui, en résumé, « sécurise » le transfert
de zone (entre primaire et secondaires) en authentifiant fortement
l'émetteur (le primaire). Cela remplace ou s'adjoint aux ACLs sur les
adresses IP.
Mais il faut contrôler le secondaire pour pouvoir faire cela, sinon
comment signifier au secondaire qu'on utilise ce mécanisme, etc. ?
Pour limiter les risques, est-il possible d'envoyer toutes les mises à
jour aux DNS Gandi, sans pouvoir être interrogé par qui que ce soit
d'autre (que les DNS Gandi) ?
Je ne suis pas sûr de comprendre la question, mais si vous voulez que
votre serveur DNS ne soit pas « public » c'est à dire ne réponde
quasimment à personne, sauf à votre prestataire, en phase de tests, il
suffit de placer une directive du type : allow-query { dns_gandi; };
dans votre fichier.
Je pense que la structure que je souhaite n'existe pas : informer les
DNS de mon registrar des modifications grâce à mon serveur DNS, sans que
ce dernier ne soit public (pour limiter les risques et décharger le
serveur).
Si j'utilise allow-query { dns_registrar } et que je me mets en DNS
primaire, les requêtes publiques seront donc toujours traitées par les
secondaires ce qui, je pense, n'est pas du tout "réglementaire" ?
Dès que je mets les services en-ligne, y aura un bouton « Order », ce
qui devrait faire l'affaire :-)
Quel type de service en ligne ?
Après bien sûr comme dit précédemment il y a des pistes pour sécuriser
l'ensemble.
J'ai vu que j'avais dnssec-keygen et -seczone, mais j'attendrai déjà
d'avoir bien configuré le reste...
Vous pouvez effectivement utiliser dnssec-keygen pour créer une clef à
utiliser par le mécanisme TSIG qui, en résumé, « sécurise » le transfert
de zone (entre primaire et secondaires) en authentifiant fortement
l'émetteur (le primaire). Cela remplace ou s'adjoint aux ACLs sur les
adresses IP.
Mais il faut contrôler le secondaire pour pouvoir faire cela, sinon
comment signifier au secondaire qu'on utilise ce mécanisme, etc. ?
Pour limiter les risques, est-il possible d'envoyer toutes les mises à
jour aux DNS Gandi, sans pouvoir être interrogé par qui que ce soit
d'autre (que les DNS Gandi) ?
Je ne suis pas sûr de comprendre la question, mais si vous voulez que
votre serveur DNS ne soit pas « public » c'est à dire ne réponde
quasimment à personne, sauf à votre prestataire, en phase de tests, il
suffit de placer une directive du type : allow-query { dns_gandi; };
dans votre fichier.
Je pense que la structure que je souhaite n'existe pas : informer les
DNS de mon registrar des modifications grâce à mon serveur DNS, sans que
ce dernier ne soit public (pour limiter les risques et décharger le
serveur).
Si j'utilise allow-query { dns_registrar } et que je me mets en DNS
primaire, les requêtes publiques seront donc toujours traitées par les
secondaires ce qui, je pense, n'est pas du tout "réglementaire" ?
Dès que je mets les services en-ligne, y aura un bouton « Order », ce
qui devrait faire l'affaire :-)
Quel type de service en ligne ?
Bon bref, je vais devoir me farcir l'API de mon registrar.
Si je peux faire ça, j'ai la question bête suivante : quel intérêt
peut-on avoir - hormis, comme pour moi, la curiosité - de faire son
propre serveur DNS si notre registrar offre un tel service ?
Bon bref, je vais devoir me farcir l'API de mon registrar.
Si je peux faire ça, j'ai la question bête suivante : quel intérêt
peut-on avoir - hormis, comme pour moi, la curiosité - de faire son
propre serveur DNS si notre registrar offre un tel service ?
Bon bref, je vais devoir me farcir l'API de mon registrar.
Si je peux faire ça, j'ai la question bête suivante : quel intérêt
peut-on avoir - hormis, comme pour moi, la curiosité - de faire son
propre serveur DNS si notre registrar offre un tel service ?