Aller au contenu

Serveur DNS

seb773
 Partager

Messages recommandés

Fenrir Newbie

Fenrir

Posté(e)
Posté(e)
il y a 12 minutes, PiwiLAbruti a dit :

Au passage, les serveurs DNS de FDN sont aussi soumis aux censures blocages administratifs ?

Si c'est une décision de justice, je ne pense pas qu'ils puissent y couper, mais vu les principes de l'association, ils feront tout pour résister à mon avis.

0
gaetan.cambier Newbie

gaetan.cambier

Posté(e)
Posté(e)
Si c'est une décision de justice, je ne pense pas qu'ils puissent y couper, mais vu les principes de l'association, ils feront tout pour résister à mon avis.

Faut aussi que la decision leur soit signifier, si je me trompe pas, le blocage se limite aux principaux fai grâce a ça

0
seb773 Explorer

seb773

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Il me reste une question concernant le port 53.

J'ai lu dans d'autres posts qu'il ne fallait pas faire un forward du port.

  • Faut-il donc uniquement l'ouvrir dans le firewall mais sans faire de redirection du port routeur vers nas ?
0
gaetan.cambier Newbie

gaetan.cambier

Posté(e)
Posté(e)

si tu l'ouvre, tu en crée un dns public

si tu as des infrastructure comme google ou opendns, te gène pas

autrement, vaut mieux éviter ...

il y a 52 minutes, seb773 a dit :

Faut-il donc uniquement l'ouvrir dans le firewall mais sans faire de redirection du port routeur vers nas ?

la question est plutot un non sens la

une redirection de port sans ouverture firewall --> passe pas
une ouverture dans le firewall sans redirection de port --> passe pas non plus

sur les box en ipv4, soit on fait les 2, soit aucuns, mais un des 2, ca ne sert à rien dans tous les cas (à part un peu afailblir la securité)

 

0
seb773 Explorer

seb773

Posté(e)
  • Auteur
Posté(e)
il y a 36 minutes, gaetan.cambier a dit :

si tu l'ouvre, tu en crée un dns public

si tu as des infrastructure comme google ou opendns, te gène pas

autrement, vaut mieux éviter ...

la question est plutot un non sens la

une redirection de port sans ouverture firewall --> passe pas
une ouverture dans le firewall sans redirection de port --> passe pas non plus

sur les box en ipv4, soit on fait les 2, soit aucuns, mais un des 2, ca ne sert à rien dans tous les cas (à part un peu afailblir la securité)

 

Donc on doit faire les 2 et devenir un DNS public car si je ne forward pas le port le serveur ne répond plus au "nslookup"...

0
PiwiLAbruti Veteran

PiwiLAbruti

Posté(e)
Posté(e) (modifié)

Il est possible de sécuriser un minimum avec le pare-feu du NAS en limitant la zone géographique (Fr/Be/Ch) autorisée à faire des requêtes sur ton serveur DNS.

Par contre il peut y avoir des effets indésirables sur la propagation. Je ne sais pas si c'est réellement bloquant ou non.

Les NS de mon domaine sont chez OVH, il faudrait que je teste avec DNS Server.

Modifié par PiwiLAbruti
0
Fenrir Newbie

Fenrir

Posté(e)
Posté(e)
il y a une heure, PiwiLAbruti a dit :

Par contre il peut y avoir des effets indésirables sur la propagation. Je ne sais pas si c'est réellement bloquant ou non.

Il peut y en avoir, les serveurs DNS d'un utilisateur ne sont pas forcement dans son pays d'origine, mais de toute manière, les NS d'un domaine doivent être public et répondre en UDP et en TCP sur le port 53, sinon, même si ça peut marcher dans la plupart des cas, ils finiront par être marqués comme invalide.

Par contre, il faut faire très attention à ce qu'ils ne répondent que pour leurs zones et pas pour n'importe qu'elle requête (www.nas-forum.com par exemple), au moins depuis l'extérieur.

=>un bon compromis est de s'appuyer sur les serveurs DNS de son bureau d'enregistrement pour faire serveur NS, mais garder le serveur SOA privé (sauf pour les serveurs NS) :

  • les contenu de la zone est géré par le SOA installé, par exemple, sur un synology
  • les mises à jour de la zone sont poussées vers les serveurs NS du bureau d'enregistrement (ils doivent aussi pouvoir demander la zone au SOA)
  • =>les requêtes DNS des utilisateurs sont traitées par les serveurs DNS du bureau d'enregistrement
0
seb773 Explorer

seb773

Posté(e)
  • Auteur
Posté(e)

Pour éviter que le serveur DNS du syno soit public:

  • est-ce que désactiver les redirecteurs ne serait pas suffisant ?
  • est-ce que le serveur dns sera toujours fonctionnel mais sans rediriger les requêtes vers internet ?
0
Fenrir Newbie

Fenrir

Posté(e)
Posté(e)
Il y a 2 heures, seb773 a dit :

est-ce que désactiver les redirecteurs ne serait pas suffisant ?

aucun rapport

Il y a 2 heures, seb773 a dit :

est-ce que le serveur dns sera toujours fonctionnel mais sans rediriger les requêtes vers internet ?

ça dépend de tes réglages

encore une fois, le SOA n'a pas nécessairement besoin d'être accessible depuis tout internet, il peut n'être accessible que depuis les serveurs NS

0

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.