Je recherche des infos (+/- details) sur le fonctionnement du DNS d'un
reseau interne (LAN) vers l'exterieur (Internet) via le firewall.
Mon probleme est de savoir comment le firewall prend en compte le dns et
comment il doit etre configure, qu'elles sont les solutions les plus
securisees?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Joom
C'est-à-dire qu'il ne faut en aucun cas envoyer les requetes vers le LAN, car j'ai vu des cas ou elles etaient envoyes en interne??
Merci pour la doc :-)
Merci beaucoup @+ jmm
"Logan" wrote in message news:bf39kf$b43$
Joom wrote:
Je recherche des infos (+/- details) sur le fonctionnement du DNS d'un reseau interne (LAN) vers l'exterieur (Internet) via le firewall. Mon probleme est de savoir comment le firewall prend en compte le dns et comment il doit etre configure, qu'elles sont les solutions les plus securisees?
quelqu'un a des idees... des liens web... ?
salutations, -- joom
Ta dns doit être configuré pour fowarder les requetes vers les dns de ton FAI.
Avec netfilter et le conntrack mis en place
.... # accepte les requetes DNS du lan iptables -A INPUT -i $lan -s $address_lan -p udp --sport 1024: --dport 53 -m state --state NEW - j ACCEPT
# envoi des requetes ves dns FAI (ppp0 = bad interface) iptables -A OUTPUT -o ppp0 -m state --state NEW -p udp --dport 53 -j ACCEPT
voila donc résumé très brievement le fonctionnement dans ce cas de figure
Concernant la secu, elle en va de ton firewall mais aussi de la configuration même de ta dns.
Concernant la doc, j'ai beau cherché, j'ai pas trouvé mieux pour ce qui concerne bind : http://www.nominum.com/content/documents/bind9arm.pdf
Salut
C'est-à-dire qu'il ne faut en aucun cas envoyer les requetes vers le LAN,
car j'ai vu des cas ou elles etaient envoyes en interne??
Merci pour la doc :-)
Merci beaucoup
@+ jmm
"Logan" <devnul@voila.fr> wrote in message
news:bf39kf$b43$1@s1.read.news.oleane.net...
Joom wrote:
Je recherche des infos (+/- details) sur le fonctionnement du DNS d'un
reseau interne (LAN) vers l'exterieur (Internet) via le firewall.
Mon probleme est de savoir comment le firewall prend en compte le dns et
comment il doit etre configure, qu'elles sont les solutions les plus
securisees?
quelqu'un a des idees... des liens web... ?
salutations,
--
joom
Ta dns doit être configuré pour fowarder les requetes vers les dns de
ton FAI.
Avec netfilter et le conntrack mis en place
....
# accepte les requetes DNS du lan
iptables -A INPUT -i $lan -s $address_lan -p udp --sport 1024: --dport
53 -m state --state NEW - j ACCEPT
# envoi des requetes ves dns FAI (ppp0 = bad interface)
iptables -A OUTPUT -o ppp0 -m state --state NEW -p udp --dport 53 -j
ACCEPT
voila donc résumé très brievement le fonctionnement dans ce cas de figure
Concernant la secu, elle en va de ton firewall mais aussi de la
configuration même de ta dns.
Concernant la doc, j'ai beau cherché, j'ai pas trouvé mieux pour ce qui
concerne bind :
http://www.nominum.com/content/documents/bind9arm.pdf
C'est-à-dire qu'il ne faut en aucun cas envoyer les requetes vers le LAN, car j'ai vu des cas ou elles etaient envoyes en interne??
Merci pour la doc :-)
Merci beaucoup @+ jmm
"Logan" wrote in message news:bf39kf$b43$
Joom wrote:
Je recherche des infos (+/- details) sur le fonctionnement du DNS d'un reseau interne (LAN) vers l'exterieur (Internet) via le firewall. Mon probleme est de savoir comment le firewall prend en compte le dns et comment il doit etre configure, qu'elles sont les solutions les plus securisees?
quelqu'un a des idees... des liens web... ?
salutations, -- joom
Ta dns doit être configuré pour fowarder les requetes vers les dns de ton FAI.
Avec netfilter et le conntrack mis en place
.... # accepte les requetes DNS du lan iptables -A INPUT -i $lan -s $address_lan -p udp --sport 1024: --dport 53 -m state --state NEW - j ACCEPT
# envoi des requetes ves dns FAI (ppp0 = bad interface) iptables -A OUTPUT -o ppp0 -m state --state NEW -p udp --dport 53 -j ACCEPT
voila donc résumé très brievement le fonctionnement dans ce cas de figure
Concernant la secu, elle en va de ton firewall mais aussi de la configuration même de ta dns.
Concernant la doc, j'ai beau cherché, j'ai pas trouvé mieux pour ce qui concerne bind : http://www.nominum.com/content/documents/bind9arm.pdf
Salut
Eric Belhomme
Logan wrote in news:bf39kf$b43$:
Joom wrote:
Je recherche des infos (+/- details) sur le fonctionnement du DNS d'un reseau interne (LAN) vers l'exterieur (Internet) via le firewall. Mon probleme est de savoir comment le firewall prend en compte le dns et comment il doit etre configure, qu'elles sont les solutions les plus securisees?
quelqu'un a des idees... des liens web... ?
salutations, -- joom
Ta dns doit être configuré pour fowarder les requetes vers les dns de ton FAI.
Avec netfilter et le conntrack mis en place
.... # accepte les requetes DNS du lan iptables -A INPUT -i $lan -s $address_lan -p udp --sport 1024: --dport 53 -m state --state NEW - j ACCEPT
# envoi des requetes ves dns FAI (ppp0 = bad interface) iptables -A OUTPUT -o ppp0 -m state --state NEW -p udp --dport 53 -j ACCEPT
attention... si la requete est trop longue, elle est transmise non plus en
udp mais en tcp... il faut donc autoriser _aussi_ tcp...
-- Rico (RicoSpirit) - http://www.ricospirit.net Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) : http://www.ricospirit.net/inn/
Logan <devnul@voila.fr> wrote in
news:bf39kf$b43$1@s1.read.news.oleane.net:
Joom wrote:
Je recherche des infos (+/- details) sur le fonctionnement du DNS
d'un reseau interne (LAN) vers l'exterieur (Internet) via le
firewall. Mon probleme est de savoir comment le firewall prend en
compte le dns et comment il doit etre configure, qu'elles sont les
solutions les plus securisees?
quelqu'un a des idees... des liens web... ?
salutations,
--
joom
Ta dns doit être configuré pour fowarder les requetes vers les dns de
ton FAI.
Avec netfilter et le conntrack mis en place
....
# accepte les requetes DNS du lan
iptables -A INPUT -i $lan -s $address_lan -p udp --sport 1024: --dport
53 -m state --state NEW - j ACCEPT
# envoi des requetes ves dns FAI (ppp0 = bad interface)
iptables -A OUTPUT -o ppp0 -m state --state NEW -p udp --dport 53 -j
ACCEPT
attention... si la requete est trop longue, elle est transmise non plus en
udp mais en tcp... il faut donc autoriser _aussi_ tcp...
--
Rico (RicoSpirit) - http://www.ricospirit.net
Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) :
http://www.ricospirit.net/inn/
Je recherche des infos (+/- details) sur le fonctionnement du DNS d'un reseau interne (LAN) vers l'exterieur (Internet) via le firewall. Mon probleme est de savoir comment le firewall prend en compte le dns et comment il doit etre configure, qu'elles sont les solutions les plus securisees?
quelqu'un a des idees... des liens web... ?
salutations, -- joom
Ta dns doit être configuré pour fowarder les requetes vers les dns de ton FAI.
Avec netfilter et le conntrack mis en place
.... # accepte les requetes DNS du lan iptables -A INPUT -i $lan -s $address_lan -p udp --sport 1024: --dport 53 -m state --state NEW - j ACCEPT
# envoi des requetes ves dns FAI (ppp0 = bad interface) iptables -A OUTPUT -o ppp0 -m state --state NEW -p udp --dport 53 -j ACCEPT
attention... si la requete est trop longue, elle est transmise non plus en
udp mais en tcp... il faut donc autoriser _aussi_ tcp...
-- Rico (RicoSpirit) - http://www.ricospirit.net Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) : http://www.ricospirit.net/inn/
Eric Razny
Grrr. Merci de poster à l'endroit. Même avec les outlookeries c'est possible, la preuve... Post remis à l'endroit et tronqué quand utile.
"Joom" a écrit
Je recherche des infos (+/- details) sur le fonctionnement du DNS d'un reseau interne (LAN) vers l'exterieur (Internet) via le firewall. Mon probleme est de savoir comment le firewall prend en compte le dns et
comment il doit etre configure, qu'elles sont les solutions les plus securisees?
quelqu'un a des idees... des liens web... ?
salutations,
Ta dns doit être configuré pour fowarder les requetes vers les dns de ton FAI.
C'est-à-dire qu'il ne faut en aucun cas envoyer les requetes vers le LAN, car j'ai vu des cas ou elles etaient envoyes en interne??
Si tes requêtes DNS circulent sur un segment du réseau, en général*, elles ne passent pas par le FW, tu n'as donc pas à t'en préocupper (à condition bien sur qu'il y ait un serveur dns légitime!).
Par contre pour les requètes DNS qui sortent, le fait de les rediriger vers LE serveur DNS (en général celui de ton FAI) tu évite le tunneling sur le 53 (en UDP ou TCP).
Eric
* en général car tu peux avoir un FW pour sécuriser un serveur même si ici c'est plus qu'improbable. J'ai déja vu le cas où le reseau était segmenté par soit disant commodité et non par "fonctionnalité" et trois blocs de serveurs etaient protégés indépendamment par des FW. A mon avis usine à gaz inutile vu le contexte mais bon...
Grrr. Merci de poster à l'endroit. Même avec les outlookeries c'est
possible, la preuve...
Post remis à l'endroit et tronqué quand utile.
"Joom" <jmeyer@pax.ch> a écrit
Je recherche des infos (+/- details) sur le fonctionnement du DNS d'un
reseau interne (LAN) vers l'exterieur (Internet) via le firewall.
Mon probleme est de savoir comment le firewall prend en compte le dns
et
comment il doit etre configure, qu'elles sont les solutions les plus
securisees?
quelqu'un a des idees... des liens web... ?
salutations,
Ta dns doit être configuré pour fowarder les requetes vers les dns de
ton FAI.
C'est-à-dire qu'il ne faut en aucun cas envoyer les requetes vers le LAN,
car j'ai vu des cas ou elles etaient envoyes en interne??
Si tes requêtes DNS circulent sur un segment du réseau, en général*, elles
ne passent pas par le FW, tu n'as donc pas à t'en préocupper (à condition
bien sur qu'il y ait un serveur dns légitime!).
Par contre pour les requètes DNS qui sortent, le fait de les rediriger vers
LE serveur DNS (en général celui de ton FAI) tu évite le tunneling sur le 53
(en UDP ou TCP).
Eric
* en général car tu peux avoir un FW pour sécuriser un serveur même si ici
c'est plus qu'improbable. J'ai déja vu le cas où le reseau était segmenté
par soit disant commodité et non par "fonctionnalité" et trois blocs de
serveurs etaient protégés indépendamment par des FW. A mon avis usine à gaz
inutile vu le contexte mais bon...
Grrr. Merci de poster à l'endroit. Même avec les outlookeries c'est possible, la preuve... Post remis à l'endroit et tronqué quand utile.
"Joom" a écrit
Je recherche des infos (+/- details) sur le fonctionnement du DNS d'un reseau interne (LAN) vers l'exterieur (Internet) via le firewall. Mon probleme est de savoir comment le firewall prend en compte le dns et
comment il doit etre configure, qu'elles sont les solutions les plus securisees?
quelqu'un a des idees... des liens web... ?
salutations,
Ta dns doit être configuré pour fowarder les requetes vers les dns de ton FAI.
C'est-à-dire qu'il ne faut en aucun cas envoyer les requetes vers le LAN, car j'ai vu des cas ou elles etaient envoyes en interne??
Si tes requêtes DNS circulent sur un segment du réseau, en général*, elles ne passent pas par le FW, tu n'as donc pas à t'en préocupper (à condition bien sur qu'il y ait un serveur dns légitime!).
Par contre pour les requètes DNS qui sortent, le fait de les rediriger vers LE serveur DNS (en général celui de ton FAI) tu évite le tunneling sur le 53 (en UDP ou TCP).
Eric
* en général car tu peux avoir un FW pour sécuriser un serveur même si ici c'est plus qu'improbable. J'ai déja vu le cas où le reseau était segmenté par soit disant commodité et non par "fonctionnalité" et trois blocs de serveurs etaient protégés indépendamment par des FW. A mon avis usine à gaz inutile vu le contexte mais bon...
Eric Belhomme
"Joom" wrote in news:3f155233$0$22104$:
C'est-à-dire qu'il ne faut en aucun cas envoyer les requetes vers le LAN, car j'ai vu des cas ou elles etaient envoyes en interne??
si, dans le cas ou tu as un serveur relai dns a l'interieur de ton réseau,
et qu'il puisse etre contacté depuis l'exterieur de ton reseau...
-- Rico (RicoSpirit) - http://www.ricospirit.net Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) : http://www.ricospirit.net/inn/
"Joom" <jmeyer@pax.ch> wrote in
news:3f155233$0$22104$5402220f@news.sunrise.ch:
C'est-à-dire qu'il ne faut en aucun cas envoyer les requetes vers le
LAN, car j'ai vu des cas ou elles etaient envoyes en interne??
si, dans le cas ou tu as un serveur relai dns a l'interieur de ton réseau,
et qu'il puisse etre contacté depuis l'exterieur de ton reseau...
--
Rico (RicoSpirit) - http://www.ricospirit.net
Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) :
http://www.ricospirit.net/inn/
