[Résolu] DNS

[croftman]

Bonjour!

Voila ma situation :

J'ai un firewall IPCOP derrière une box, j'ai redirigé le port 53 (tcp+udp) sur mon ipcop et via l'interface Ipcop j'ai redirigé les requetes sur le port 53 vers mon serveur DNS.

Mon Ipcop a 3 pattes, red, green, orange mon DNS est dans la green.

Quand je fais un test de port avec nmap, il me dit que mon 53 est en filtered

Ma patte du red est en 192.168.1.2
Ma patte du green est en 192.168.10.1
Ma patte du orange est en 192.168.20.1

Mon DNS en 192.168.10.254

Sur la box :
TCP 53 192.168.10.254
UDP 53 192.168.10.254

Sur Ipcop:

Transfert de ports:
DEFAULT IP :53(DOMAIN) => 192.168.10.254 : 53(DOMAIN)

Accès externe
TCP TOUT DEFAULT IP 53

En etant dans le réseau Green (192.168.10.30) si je fais un scan avec nmap sur mon DNS (192.168.10.254) il me dit que le port 53 est close oO

Pourtant mon serveur DNS écoute bien sur le 53 (domain)

Je pense que c'est IpCop qui pose problème, comme il fait office de DNS aussi...

Merci d'avance!

[jdh]

Quand on redirige un port c'est qu'une machine interne (normalement en DMZ) deviendra serveur pour des clients situés sur Internet.

Il est très hautement improbable que vous hébergiez un serveur DNS même pour le domaine de votre entreprise !

Qu'est ce que vous voulez faire ?

NB : vos réglages de box sont impossibles !

NB2 : il faut au minimum tester le serveur avant de le mettre en ligne : et ce n'est pas le cas visiblement !

NB3 :je ne crois pas que vous compreniez à quoi sert une redirection !

[croftman]

Bonjour!

J'aimerais tout simplement gérer en interne un de mes domaine, il me faut donc pour cela un serveur DNS.

Pour la box :
TCP 53 192.168.1.2
UDP 53 192.168.1.2

Si vous préférez

J'ai testé le DNS en interne et il fonctionne, cependant si j'attribue le DNS sur une des machines du réseau green, le DNS ne "répond pas" il ne me résout pas les noms, j'ai l'impression qu'il bloque les requêtes DNS :/

mmm si si je sais ce qu'est une redirection

Donc le mieux serait de mettre mon DNS dans la DMZ?

[fleib]

Effectivement, la DMZ est une zone dédiée pour héberger les machines joignables depuis Internet, si tu veux gérer un domaine internet sur ce serveur DNS, c'est ce qu'il faut faire.

Francois

[jdh]

Gérer en interne mon domaine ?

Il y a des milliers et des milliers d'administrateurs réseaux qui le font SANS POUR AUTANT ouvrir l'accès depuis Internet !!!!

Parce que l'on peut tout à fait définir LOCALEMENT des noms dans le domaine ... qui n'ont AUCUNE utilité sur Internet !
Et l'on peut ajouter AISEMENT, via l'hébergeur du nom de domaine, les quelques noms utiles (qui sont au demeurant très peu nombreux !).

Par exemple, on installe très souvent un windows server 2003 ou 2008 avec le même nom de domaine que celui de la société plutôt que l'infâme "societe.local". Il faut alors définir localement www. pointant vers le vrai serveur sur Internet, etc ...


Et puis, vous n'avez ni le besoin ni les compétences pour faire cela ! (J'écris cela parce que vous faites des erreurs : par exemple, il n'y a nul besoin, hors dnssec, d'ouvrir 53/tcp pour un serveur dns !)
Au pire, si vous avez besoin d'un nom donné (genre ftp. ou mail. ou fw.), vous le configurez sur l'interface de votre hébergeur de nom de domaine. Avez vous même conscience des pré-requis pour gérer vous-même un serveur dns pour Internet ?

Vous ne savez pas ce qu'est une redirection puisque vous réglez dans la box une config IMPOSSIBLE : comment la box peut elle envoyer du trafic à une adresse ip qui lui est INACCESSIBLE ? (Vous l'avez corrigé, c'est donc que vous avez compris !)

Et depuis quand fait on un test de dns avec nmap ? D'ailleurs que dire de "le port 53 est close" ? (NB : le port 53 de quel protocole ?) Bien évidemment, on teste le fonctionnement d'un serveur DNS par host ou dig ou nslookup !

IPCOP est serveur dns ? Si on veut, mais ce n'est pas un problème !

Mettre un serveur DNS hébergé en DMZ, c'est tellement une évidence qu'il faut se pincer pour lire la question ! (J'y avais déjà répondu par anticipation !)

Enfin, il est vraisemblable qu'un serveur dns puisse (pour ses clients locaux obligatoirement) faire appel à un forwarder pour résoudre autre chose que le domaine qu'il sert !


FYI, je gère l'informatique de plusieurs entreprises de taille variée depuis plusieurs années, et je n'ai pas encore hébergé mon propre dns ! (Et je connais pourtant les pré-requis.) Je ne pense pas que sur ce forum, il y a plus de 20 membres qui hébergent leur propre dns.

En général, on a besoin pour un nom de domaine d'ajouter à ns. (fourni) www., mail. et peut-être ftp., rarement plus. Cela coute 10 ou 20e par an chez à peu près n'importe qui.

Croyez-vous vraiment que j'écris par hasard :

Il est très hautement improbable que vous hébergiez un serveur DNS même pour le domaine de votre entreprise !

[croftman]

En effet c'est plus clair.

En fait j'ai un domaine chez OVH qui contient plusieurs sous domaines, j'aimerais redirigé ce domaine sur mon serveur WEB mais sans les redirections transparentes et compagnie, en gros il faudrait que je fasse pointer mon domaine ainsi que tout mes sous-domaine vers mon IP.

Je trouvais plus 'souple' d'avoir mon dns en interne afin de pouvoir gérer mon domaine ainsi que d'autres ultèrieurement

[jdh]

OVH, comme n'importe quel hébergeur de noms de domaine, propose une interface de gestion.

Cela permet de déclarer les noms utiles (www., ftp., pop, ... ) qui doivent pointer sur une adresse ip fixe.

Par exemple, www.xxxx.xxx et photos.xxxx.xxx peuvent pointer sur la même adresse ip fixe correspondante à la box. Il faudra s'intéresser aux hôtes virtuels ...

[croftman]

Oui je vois mais du coté d'OVH le seul moyen de rediriger www. vers une IP c'est via la "Zone DNS", hors si je renseigne "www.mondomaine.com" de type A vers mon @ IP cela ne fonctionne pas!

Oui pour les vhost c'est déjà en place

Edit: en fait si ça fonctionne pour www.

J'ai créé mes virtualhost et c'est impec, par contre le plus embêtant c'est que à chaque création de sous domaine chez OVH il me faut ajouter une directive sur mon serveur WEB.