Dnsmasq: interdire /etc/hosts aux requètes provenant d'un VLAN particulier
Le
Olivier

--000000000000b538c505926fed84
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
Bonjour,
Une question toute simple:
j'ai une machine sous Debian Stretch avec deux interfaces eth0 et eth0.123
Comment faire pour qu'
1. aux requètes reçues via eth0, Dnsmasq réponde en consulta=
nt un fichier
/etc/hosts puis le serveur 1.1.1.1
2. aux requètes reçues via eth0.123, Dnsmasq réponde en cons=
ultant un
fichier /etc/hosts123 puis le serveur 8.8.8.8.
En d'autres termes, je ne veux pas que les utilisateurs du VLAN123 puisse
indirectement accéder au contenu du fichier /etc/hosts.
J'imagine qu'il est possible d'atteindre ce résultat avec deux instanc=
es de
Dnsmasq tournant sur la même machine.
J'ai lu que l'option local-queries pouvait peut-être (pas testé) =
avoir
l'effet de bord souhaité mais elle ne me plait pas car pas prévue=
pour ça
mais pour un hôte à plusieurs interfaces reste plus facilement at=
teignable)
Est-ce possible de faire autrement et plus simple ?
Slts
--000000000000b538c505926fed84
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
<div dir="ltr"><div>Bonjour,</div><div><br></div><div>Une question toute =
simple:</div><div>j'ai une machine sous Debian Stretch avec deux interf=
aces eth0 et eth0.123</div><div>Comment faire pour qu'</div><div>1. aux=
requètes reçues via eth0, Dnsmasq réponde en consultant un =
fichier /etc/hosts puis le serveur 1.1.1.1<br></div><div>2. aux requèt=
es reçues via eth0.123, Dnsmasq réponde en consultant un fichier =
/etc/hosts123 puis le serveur 8.8.8.8.<br></div><div><br></div><div>En d=
9;autres termes, je ne veux pas que les utilisateurs du VLAN123 puisse indi=
rectement accéder au contenu du fichier /etc/hosts.</div><div><br></di=
v><div>J'imagine qu'il est possible d'atteindre ce résulta=
t avec deux instances de Dnsmasq tournant sur la même machine.</div><d=
iv>J'ai lu que l'option local-queries pouvait peut-être (pas t=
esté) avoir l'effet de bord souhaité mais elle ne me plait pa=
s car pas prévue pour ça mais pour un hôte à plusieurs =
interfaces reste plus facilement atteignable)<br></div><div>Est-ce possible=
de faire autrement et plus simple ?</div><div><br></div><div>Slts<br></div=
></div>
--000000000000b538c505926fed84--
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
Bonjour,
Une question toute simple:
j'ai une machine sous Debian Stretch avec deux interfaces eth0 et eth0.123
Comment faire pour qu'
1. aux requètes reçues via eth0, Dnsmasq réponde en consulta=
nt un fichier
/etc/hosts puis le serveur 1.1.1.1
2. aux requètes reçues via eth0.123, Dnsmasq réponde en cons=
ultant un
fichier /etc/hosts123 puis le serveur 8.8.8.8.
En d'autres termes, je ne veux pas que les utilisateurs du VLAN123 puisse
indirectement accéder au contenu du fichier /etc/hosts.
J'imagine qu'il est possible d'atteindre ce résultat avec deux instanc=
es de
Dnsmasq tournant sur la même machine.
J'ai lu que l'option local-queries pouvait peut-être (pas testé) =
avoir
l'effet de bord souhaité mais elle ne me plait pas car pas prévue=
pour ça
mais pour un hôte à plusieurs interfaces reste plus facilement at=
teignable)
Est-ce possible de faire autrement et plus simple ?
Slts
--000000000000b538c505926fed84
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
<div dir="ltr"><div>Bonjour,</div><div><br></div><div>Une question toute =
simple:</div><div>j'ai une machine sous Debian Stretch avec deux interf=
aces eth0 et eth0.123</div><div>Comment faire pour qu'</div><div>1. aux=
requètes reçues via eth0, Dnsmasq réponde en consultant un =
fichier /etc/hosts puis le serveur 1.1.1.1<br></div><div>2. aux requèt=
es reçues via eth0.123, Dnsmasq réponde en consultant un fichier =
/etc/hosts123 puis le serveur 8.8.8.8.<br></div><div><br></div><div>En d=
9;autres termes, je ne veux pas que les utilisateurs du VLAN123 puisse indi=
rectement accéder au contenu du fichier /etc/hosts.</div><div><br></di=
v><div>J'imagine qu'il est possible d'atteindre ce résulta=
t avec deux instances de Dnsmasq tournant sur la même machine.</div><d=
iv>J'ai lu que l'option local-queries pouvait peut-être (pas t=
esté) avoir l'effet de bord souhaité mais elle ne me plait pa=
s car pas prévue pour ça mais pour un hôte à plusieurs =
interfaces reste plus facilement atteignable)<br></div><div>Est-ce possible=
de faire autrement et plus simple ?</div><div><br></div><div>Slts<br></div=
></div>
--000000000000b538c505926fed84--
Utilise les TAG puis les options router et dns
Ex:
# Telephones - Plage 10.10.12.190 à 10.10.12.191
dhcp-range = tag:voice,10.10.12.190,10.10.12.191,255.255.255.0,2m
dhcp-option = tag:voice, option:router, 10.10.12.254
dhcp-option = tag:voice, option:dns-server, 10.10.12.254
Si, c'était très clair (excepté le titre qui n'est pas terrible). Ce que
tu veux faire s'appelle du "split DNS". Dans BIND 9, cela correspondrait
à des "vues" (views). Malheureusement je ne connais pas bien dnsmasq et
ignore s'il possède une fonctionnalité équivalente.
L'OP devrait pouvoir s'en sortir en utilisant addn-hosts pour les
différents fichiers hosts et les noms de domaine locaux gérés par
dnsmasq (auth-server, auth-zone, localise-queries).
Pas testé.
--
Daniel