Il y a quelques temps, je me suis offert un nom de domaine avec site web,
serveur de mail et gestion de dns chez ovh. Cela fonctionne parfaitement.
Donc si je veux pinger "mon serveur web", je fais un ping www.asgardian.be
et cela fonctionne.
Je configure maintenant un DNS local pour mon lan, un petit réseau qui
s'appel biensur asgardian.be.
Afin de pouvoir continuer à pinger www.asgardian.be qui se trouve toujours
chez ovh, j'ai du ajouter ces lignes dans le fichier de config de mon dns
pour la zone asgardian.be.
60gp.ovh.net IN A 213.186.33.19
www IN CNAME 60gp.ovh.net
Cela veut dire que je dois "recréer" la structure de DNS de ovh pour que
cela fonctionne.
Le DNS de mon lan, ne répond qu'a des requêtes locales. Comme mon réseau
n'héberge aucun serveur accessible du net, les requêtes externes sont
gérées par ovh.
L'idéal, pour moi, serait de dire à mon DNS que www n'est pas une machine
locale mais une machine gérée à l'extérieur et qu'il doit simplement
forwarder les requètes vers le net. Ceci est-il possible ?
--
Thierry Leurent
E-mail : thierry.leurent@asgardian.be
Website (en developpement) : http://www.asgardian.be
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Mon, Dec 31, 2007 at 12:24:29PM +0100, Pascal Hambourg wrote:
l'autre façon, un peu risquée, et d'ajouter les entrées privées sur le dns officiel, mais bon, "tout le monde" saura quelles IPs internes correspondent à tes serveurs, ce qui n'est pas super top
Quel problème ça pose?
C'est contraire aux Ecritures. Il est dit dans RFC 1918 - Address Allocation for Private Internets, verset 5 :
Je comprend qu'il ne faut pas le faire, je ne comprend pas pourquoi c'est un problème de sécurité ("risqué").
disons que s'il n'y a pas un vrai besoin de donner une information, il n'y a aucune raison de la donner. sinon, on peut aussi publier son /etc/passwd et dire que l'attaquant a besoin du mot de passe.
Je ne dis pas qu'il faut tout faire pour cacher les IPs internes (elles sont generalement dans les entêtes mail, et la, c'est pas simple de les cacher sans casser de la vaisselle), mais faire savoir à tout un chacun que 192.168.1.2 est un serveur web, que le .3 est un serveur media, le .4 un serveur ftp, le .5 un samba, ... etc, c'est pas très prudent.
si on est sûr de son firewall et de ses règles de filtrage, soit. mais il faut bien revoir le fonctionnement de la NAT (les règles d'accès s'appliquent-elles avant ou après NAT?, ... etc) et de la gestion de sessions sur son firewall avant (Il ne faut pas oublier qu'il y a encore des implémentations qui ne sont pas si "stateful" que ça. beaucoup de solutions commerciales sacrifient l'inspection TCP "approfondie" au profit des performances. Il reste alors posssible, même si c'est difficile, de rentrer par la où on voulait que ça sorte...).
Bien sûr, il faut tout faire pour que son réseau soit robuste, même avec des informations divulguées, mais bon, comme on dit chez les martiaux, "la meilleure défense, c'est de courir"... (sauf si on aime la bagarre, et dans le cas qui nous concerne, si on aime les logs à la crème).
... j'allais oublier: Bonne année à tout le monde...
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Yves Rutschle wrote:
On Mon, Dec 31, 2007 at 12:24:29PM +0100, Pascal Hambourg wrote:
l'autre façon, un peu risquée, et d'ajouter les entrées privées sur le
dns officiel, mais bon, "tout le monde" saura quelles IPs internes
correspondent à tes serveurs, ce qui n'est pas super top
Quel problème ça pose?
C'est contraire aux Ecritures. Il est dit dans RFC 1918 - Address
Allocation for Private Internets, verset 5 :
Je comprend qu'il ne faut pas le faire, je ne comprend pas
pourquoi c'est un problème de sécurité ("risqué").
disons que s'il n'y a pas un vrai besoin de donner une information, il
n'y a aucune raison de la donner. sinon, on peut aussi publier son
/etc/passwd et dire que l'attaquant a besoin du mot de passe.
Je ne dis pas qu'il faut tout faire pour cacher les IPs internes (elles
sont generalement dans les entêtes mail, et la, c'est pas simple de les
cacher sans casser de la vaisselle), mais faire savoir à tout un chacun
que 192.168.1.2 est un serveur web, que le .3 est un serveur media, le
.4 un serveur ftp, le .5 un samba, ... etc, c'est pas très prudent.
si on est sûr de son firewall et de ses règles de filtrage, soit. mais
il faut bien revoir le fonctionnement de la NAT (les règles d'accès
s'appliquent-elles avant ou après NAT?, ... etc) et de la gestion de
sessions sur son firewall avant (Il ne faut pas oublier qu'il y a encore
des implémentations qui ne sont pas si "stateful" que ça. beaucoup de
solutions commerciales sacrifient l'inspection TCP "approfondie" au
profit des performances. Il reste alors posssible, même si c'est
difficile, de rentrer par la où on voulait que ça sorte...).
Bien sûr, il faut tout faire pour que son réseau soit robuste, même avec
des informations divulguées, mais bon, comme on dit chez les martiaux,
"la meilleure défense, c'est de courir"... (sauf si on aime la bagarre,
et dans le cas qui nous concerne, si on aime les logs à la crème).
... j'allais oublier: Bonne année à tout le monde...
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Mon, Dec 31, 2007 at 12:24:29PM +0100, Pascal Hambourg wrote:
l'autre façon, un peu risquée, et d'ajouter les entrées privées sur le dns officiel, mais bon, "tout le monde" saura quelles IPs internes correspondent à tes serveurs, ce qui n'est pas super top
Quel problème ça pose?
C'est contraire aux Ecritures. Il est dit dans RFC 1918 - Address Allocation for Private Internets, verset 5 :
Je comprend qu'il ne faut pas le faire, je ne comprend pas pourquoi c'est un problème de sécurité ("risqué").
disons que s'il n'y a pas un vrai besoin de donner une information, il n'y a aucune raison de la donner. sinon, on peut aussi publier son /etc/passwd et dire que l'attaquant a besoin du mot de passe.
Je ne dis pas qu'il faut tout faire pour cacher les IPs internes (elles sont generalement dans les entêtes mail, et la, c'est pas simple de les cacher sans casser de la vaisselle), mais faire savoir à tout un chacun que 192.168.1.2 est un serveur web, que le .3 est un serveur media, le .4 un serveur ftp, le .5 un samba, ... etc, c'est pas très prudent.
si on est sûr de son firewall et de ses règles de filtrage, soit. mais il faut bien revoir le fonctionnement de la NAT (les règles d'accès s'appliquent-elles avant ou après NAT?, ... etc) et de la gestion de sessions sur son firewall avant (Il ne faut pas oublier qu'il y a encore des implémentations qui ne sont pas si "stateful" que ça. beaucoup de solutions commerciales sacrifient l'inspection TCP "approfondie" au profit des performances. Il reste alors posssible, même si c'est difficile, de rentrer par la où on voulait que ça sorte...).
Bien sûr, il faut tout faire pour que son réseau soit robuste, même avec des informations divulguées, mais bon, comme on dit chez les martiaux, "la meilleure défense, c'est de courir"... (sauf si on aime la bagarre, et dans le cas qui nous concerne, si on aime les logs à la crème).
... j'allais oublier: Bonne année à tout le monde...
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Thierry Leurent
Je suis aussi d'avis qu'il est inutile de divulger la structure de son réseau. Il se trouve tjs des personnes qui profiteront de ces informations pour t'attaquer. Il y a quelques semaines, je mes suis amusé à recolter des infos sur un type qui avait proposé un job à l'un de mes copains. Ce type ne semblait pas très honnête, on a voulu en connaitre un peu plus sur sa boîte. En moins d'une heure, nous avons découvert son adresse, le boulot de sa femme et le nom de la boite qui a réalisé son site. En allant voir 2 sites uniquement,dns.be et google.
L'obscurantisme n'est pas une protection mais la discrêtion en une.
E-mail : Website (en developpement) : http://www.asgardian.be
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Je suis aussi d'avis qu'il est inutile de divulger la structure de son
réseau. Il se trouve tjs des personnes qui profiteront de ces informations
pour t'attaquer.
Il y a quelques semaines, je mes suis amusé à recolter des infos sur un
type qui avait proposé un job à l'un de mes copains. Ce type ne semblait
pas très honnête, on a voulu en connaitre un peu plus sur sa boîte.
En moins d'une heure, nous avons découvert son adresse, le boulot de sa
femme et le nom de la boite qui a réalisé son site. En allant voir 2 sites
uniquement,dns.be et google.
L'obscurantisme n'est pas une protection mais la discrêtion en une.
E-mail : thierry.leurent@asgardian.be
Website (en developpement) : http://www.asgardian.be
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Je suis aussi d'avis qu'il est inutile de divulger la structure de son réseau. Il se trouve tjs des personnes qui profiteront de ces informations pour t'attaquer. Il y a quelques semaines, je mes suis amusé à recolter des infos sur un type qui avait proposé un job à l'un de mes copains. Ce type ne semblait pas très honnête, on a voulu en connaitre un peu plus sur sa boîte. En moins d'une heure, nous avons découvert son adresse, le boulot de sa femme et le nom de la boite qui a réalisé son site. En allant voir 2 sites uniquement,dns.be et google.
L'obscurantisme n'est pas une protection mais la discrêtion en une.
E-mail : Website (en developpement) : http://www.asgardian.be
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Stephane Bortzmeyer
On Sat, Dec 29, 2007 at 10:52:18PM +0100, Thierry Leurent wrote a message of 41 lines which said:
j'ai du ajouter ces lignes dans le fichier de config de mon dns pour la zone asgardian.be.
60gp.ovh.net IN A 213.186.33.19
Il manque le point à la fin de 609gp.ovh.net donc si le serveur de noms est BIND, il a complété avec le nom de la zone, ce qui ne doit pas donner le résultat attendu.
Mais, surtout, pourquoi diable indiquer l'adresse IP de la machine d'OVH ? Elle est déjà dans le DNS d'OVH.
Un simple :
www IN CNAME 60gp.ovh.net.
devrait suffire (notez le point à la fin).
Cela veut dire que je dois "recréer" la structure de DNS de ovh pour que cela fonctionne.
Non.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Sat, Dec 29, 2007 at 10:52:18PM +0100,
Thierry Leurent <thierry.leurent@asgardian.be> wrote
a message of 41 lines which said:
j'ai du ajouter ces lignes dans le fichier de config de mon dns
pour la zone asgardian.be.
60gp.ovh.net IN A 213.186.33.19
Il manque le point à la fin de 609gp.ovh.net donc si le serveur de
noms est BIND, il a complété avec le nom de la zone, ce qui ne doit
pas donner le résultat attendu.
Mais, surtout, pourquoi diable indiquer l'adresse IP de la machine
d'OVH ? Elle est déjà dans le DNS d'OVH.
Un simple :
www IN CNAME 60gp.ovh.net.
devrait suffire (notez le point à la fin).
Cela veut dire que je dois "recréer" la structure de DNS de ovh pour
que cela fonctionne.
Non.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Sat, Dec 29, 2007 at 10:52:18PM +0100, Thierry Leurent wrote a message of 41 lines which said:
j'ai du ajouter ces lignes dans le fichier de config de mon dns pour la zone asgardian.be.
60gp.ovh.net IN A 213.186.33.19
Il manque le point à la fin de 609gp.ovh.net donc si le serveur de noms est BIND, il a complété avec le nom de la zone, ce qui ne doit pas donner le résultat attendu.
Mais, surtout, pourquoi diable indiquer l'adresse IP de la machine d'OVH ? Elle est déjà dans le DNS d'OVH.
Un simple :
www IN CNAME 60gp.ovh.net.
devrait suffire (notez le point à la fin).
Cela veut dire que je dois "recréer" la structure de DNS de ovh pour que cela fonctionne.
Non.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
mouss
Stephane Bortzmeyer wrote:
On Sat, Dec 29, 2007 at 10:52:18PM +0100, Thierry Leurent wrote a message of 41 lines which said:
j'ai du ajouter ces lignes dans le fichier de config de mon dns pour la zone asgardian.be.
60gp.ovh.net IN A 213.186.33.19
Il manque le point à la fin de 609gp.ovh.net donc si le serveur de noms est BIND, il a complété avec le nom de la zone, ce qui ne doit pas donner le résultat attendu.
D'après son 2d mail, et si j'ai bien compris, c'est exactement ce qu'il veut. il veut reproduire sa structure ovh en interne (avoir 60gp.ovh.net.asgardian.be...).
Mais, surtout, pourquoi diable indiquer l'adresse IP de la machine d'OVH ? Elle est déjà dans le DNS d'OVH.
Un simple :
www IN CNAME 60gp.ovh.net.
devrait suffire (notez le point à la fin).
Cela veut dire que je dois "recréer" la structure de DNS de ovh pour que cela fonctionne.
Non.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Stephane Bortzmeyer wrote:
On Sat, Dec 29, 2007 at 10:52:18PM +0100,
Thierry Leurent <thierry.leurent@asgardian.be> wrote
a message of 41 lines which said:
j'ai du ajouter ces lignes dans le fichier de config de mon dns
pour la zone asgardian.be.
60gp.ovh.net IN A 213.186.33.19
Il manque le point à la fin de 609gp.ovh.net donc si le serveur de
noms est BIND, il a complété avec le nom de la zone, ce qui ne doit
pas donner le résultat attendu.
D'après son 2d mail, et si j'ai bien compris, c'est exactement ce qu'il
veut. il veut reproduire sa structure ovh en interne (avoir
60gp.ovh.net.asgardian.be...).
Mais, surtout, pourquoi diable indiquer l'adresse IP de la machine
d'OVH ? Elle est déjà dans le DNS d'OVH.
Un simple :
www IN CNAME 60gp.ovh.net.
devrait suffire (notez le point à la fin).
Cela veut dire que je dois "recréer" la structure de DNS de ovh pour
que cela fonctionne.
Non.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Sat, Dec 29, 2007 at 10:52:18PM +0100, Thierry Leurent wrote a message of 41 lines which said:
j'ai du ajouter ces lignes dans le fichier de config de mon dns pour la zone asgardian.be.
60gp.ovh.net IN A 213.186.33.19
Il manque le point à la fin de 609gp.ovh.net donc si le serveur de noms est BIND, il a complété avec le nom de la zone, ce qui ne doit pas donner le résultat attendu.
D'après son 2d mail, et si j'ai bien compris, c'est exactement ce qu'il veut. il veut reproduire sa structure ovh en interne (avoir 60gp.ovh.net.asgardian.be...).
Mais, surtout, pourquoi diable indiquer l'adresse IP de la machine d'OVH ? Elle est déjà dans le DNS d'OVH.
Un simple :
www IN CNAME 60gp.ovh.net.
devrait suffire (notez le point à la fin).
Cela veut dire que je dois "recréer" la structure de DNS de ovh pour que cela fonctionne.
Non.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Stephane Bortzmeyer
On Sat, Jan 05, 2008 at 01:29:39AM +0100, mouss wrote a message of 46 lines which said:
D'après son 2d mail, et si j'ai bien compris, c'est exactement ce qu'il veut. il veut reproduire sa structure ovh en interne (avoir 60gp.ovh.net.asgardian.be...).
Ah, OK. Mais c'est une mauvaise idée car cela duplique une information (l'adresse IP de la machine) qui est déjà chez OVH. Si OVH change ses adresses IP, ça ne marche plus. (Les gens des bases de données diraient que la solution originale n'était pas en deuxième forme normale.)
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Sat, Jan 05, 2008 at 01:29:39AM +0100,
mouss <mlist.only@free.fr> wrote
a message of 46 lines which said:
D'après son 2d mail, et si j'ai bien compris, c'est exactement ce
qu'il veut. il veut reproduire sa structure ovh en interne (avoir
60gp.ovh.net.asgardian.be...).
Ah, OK. Mais c'est une mauvaise idée car cela duplique une information
(l'adresse IP de la machine) qui est déjà chez OVH. Si OVH change ses
adresses IP, ça ne marche plus. (Les gens des bases de données
diraient que la solution originale n'était pas en deuxième forme
normale.)
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Sat, Jan 05, 2008 at 01:29:39AM +0100, mouss wrote a message of 46 lines which said:
D'après son 2d mail, et si j'ai bien compris, c'est exactement ce qu'il veut. il veut reproduire sa structure ovh en interne (avoir 60gp.ovh.net.asgardian.be...).
Ah, OK. Mais c'est une mauvaise idée car cela duplique une information (l'adresse IP de la machine) qui est déjà chez OVH. Si OVH change ses adresses IP, ça ne marche plus. (Les gens des bases de données diraient que la solution originale n'était pas en deuxième forme normale.)
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
