Serveur DNS

[Fenrir]

il y a 12 minutes, PiwiLAbruti a dit :

Au passage, les serveurs DNS de FDN sont aussi soumis aux censures blocages administratifs ?

Si c'est une décision de justice, je ne pense pas qu'ils puissent y couper, mais vu les principes de l'association, ils feront tout pour résister à mon avis.

[gaetan.cambier]

Si c'est une décision de justice, je ne pense pas qu'ils puissent y couper, mais vu les principes de l'association, ils feront tout pour résister à mon avis.

Faut aussi que la decision leur soit signifier, si je me trompe pas, le blocage se limite aux principaux fai grâce a ça

[seb773]

Bonjour,

 

Il me reste une question concernant le port 53.

J'ai lu dans d'autres posts qu'il ne fallait pas faire un forward du port.

• Faut-il donc uniquement l'ouvrir dans le firewall mais sans faire de redirection du port routeur vers nas ?

[gaetan.cambier]

si tu l'ouvre, tu en crée un dns public

si tu as des infrastructure comme google ou opendns, te gène pas

autrement, vaut mieux éviter ...

il y a 52 minutes, seb773 a dit :

Faut-il donc uniquement l'ouvrir dans le firewall mais sans faire de redirection du port routeur vers nas ?

la question est plutot un non sens la

une redirection de port sans ouverture firewall --> passe pas
une ouverture dans le firewall sans redirection de port --> passe pas non plus

sur les box en ipv4, soit on fait les 2, soit aucuns, mais un des 2, ca ne sert à rien dans tous les cas (à part un peu afailblir la securité)

 

[seb773]

il y a 36 minutes, gaetan.cambier a dit :

si tu l'ouvre, tu en crée un dns public

si tu as des infrastructure comme google ou opendns, te gène pas

autrement, vaut mieux éviter ...

la question est plutot un non sens la

une redirection de port sans ouverture firewall --> passe pas
une ouverture dans le firewall sans redirection de port --> passe pas non plus

sur les box en ipv4, soit on fait les 2, soit aucuns, mais un des 2, ca ne sert à rien dans tous les cas (à part un peu afailblir la securité)

 

Donc on doit faire les 2 et devenir un DNS public car si je ne forward pas le port le serveur ne répond plus au "nslookup"...

[PiwiLAbruti]

Il est possible de sécuriser un minimum avec le pare-feu du NAS en limitant la zone géographique (Fr/Be/Ch) autorisée à faire des requêtes sur ton serveur DNS.

Par contre il peut y avoir des effets indésirables sur la propagation. Je ne sais pas si c'est réellement bloquant ou non.

Les NS de mon domaine sont chez OVH, il faudrait que je teste avec DNS Server.

Modifié le 14 février 2016 par PiwiLAbruti

[Fenrir]

il y a une heure, PiwiLAbruti a dit :

Par contre il peut y avoir des effets indésirables sur la propagation. Je ne sais pas si c'est réellement bloquant ou non.

Il peut y en avoir, les serveurs DNS d'un utilisateur ne sont pas forcement dans son pays d'origine, mais de toute manière, les NS d'un domaine doivent être public et répondre en UDP et en TCP sur le port 53, sinon, même si ça peut marcher dans la plupart des cas, ils finiront par être marqués comme invalide.

Par contre, il faut faire très attention à ce qu'ils ne répondent que pour leurs zones et pas pour n'importe qu'elle requête (www.nas-forum.com par exemple), au moins depuis l'extérieur.

=>un bon compromis est de s'appuyer sur les serveurs DNS de son bureau d'enregistrement pour faire serveur NS, mais garder le serveur SOA privé (sauf pour les serveurs NS) :

• les contenu de la zone est géré par le SOA installé, par exemple, sur un synology
• les mises à jour de la zone sont poussées vers les serveurs NS du bureau d'enregistrement (ils doivent aussi pouvoir demander la zone au SOA)
• =>les requêtes DNS des utilisateurs sont traitées par les serveurs DNS du bureau d'enregistrement

[seb773]

Pour éviter que le serveur DNS du syno soit public:

• est-ce que désactiver les redirecteurs ne serait pas suffisant ?
• est-ce que le serveur dns sera toujours fonctionnel mais sans rediriger les requêtes vers internet ?

[PiwiLAbruti]

SI tu veux pouvoir résoudre les requêtes DNS de ton domaine à l'extérieur de ton réseau, il faut nécessairement que le serveur DNS soit public.

[Fenrir]

Il y a 2 heures, seb773 a dit :

est-ce que désactiver les redirecteurs ne serait pas suffisant ?

aucun rapport

Il y a 2 heures, seb773 a dit :

est-ce que le serveur dns sera toujours fonctionnel mais sans rediriger les requêtes vers internet ?

ça dépend de tes réglages

encore une fois, le SOA n'a pas nécessairement besoin d'être accessible depuis tout internet, il peut n'être accessible que depuis les serveurs NS