activer le dns pour la DMZ

[manu59]

Bonjour,
j'ai basculé mon serveur mail (Postfix en MX) dans ma DMZ (il était auparavant en green), le problème c'est qu'il n'y a pas de résolution de noms en DMZ. Comment palier le problème d'après vous ?
Merci

[TAC_Forum]

Bonjour

Ipcop ne diffuse pas les DNS dans la zone orange et bleu... il suffit de renseigner les DNS directement sur les machines...situé dans ces zones là

[manu59]

Oui, autrement dit pas de solution pour mon problème...
Merci

[jdh]

On reprend :

- IPCOP fournit un service DNS pour la zone Green mais pas la zone Orange (et la Blue ?)
- IPCOP a nécessairement lui-même un serveur DNS (soit en statique soit par PPPoE ou DHCP)

Donc, les serveurs en Orange doivent être configurés avec les mêmes DNS qu'IPCOP. Point.

[ccnet]

Oui, autrement dit pas de solution pour mon problème...
Merci

D's lors que l'on rentre les dns je ne vois pas quel est le problème ? D'autant qu'il ne devrait se trouver dans cette zone que des serveurs, donc des machines avec des configurations statiques.

[jdh]

Bonsoir ccnet.

Oui, bien évidemment, la config des serveurs en Dmz est ET doit être purement statique (notamment parce qu'il y aura des règles de transferts de trafic au niveau du fw, bien sur).

Donc on configurera (comme cela semble très naturel)
- une adresse ip,
- un masque,
- une gateway (=l'IPCOP côté Orange),
- un dns : les mêmes que ceux de l'IPCOP.



J'aimerais bien, un jour, que l'on m'explique pourquoi l'IPCOP ne fournirait pas un service de relais dns qu'il offre par ailleurs à la zone Green ?

Ah oui, parce que, un petit malin en Green pourrait empoisonner le cache dudit relais dns de l'IPCOP et que cela enfumerait les serveurs en Dmz par effet de bord ? Quelle confiance dans dnsmasq ! c'est être très très pointilleux ... alors que les politiques par défaut (notamment de Green) sont totalement laxistes !

Bref il faut vivre avec ça. (Ouf j'ai pas d'IPCOP !)

[Gesp]

J'aimerais bien, un jour, que l'on m'explique pourquoi l'IPCOP ne fournirait pas un service de relais dns qu'il offre par ailleurs à la zone Green ?

Ah oui, parce que, un petit malin en Green pourrait empoisonner le cache dudit relais dns de l'IPCOP et que cela enfumerait les serveurs en Dmz par effet de bord ? Quelle confiance dans dnsmasq ! c'est être très très pointilleux ... alors que les politiques par défaut (notamment de Green) sont totalement laxistes !

Non
C'est plus le soucis de ne pas fournir un service qui peut être vulnérable et plus ou moins déclenché depuis l'extérieur.
En ne fournissant pas le service, le firewall n'est pas sensible aux vunérabilités de résolution de nom envoyées des machines présentes en DMZ.

Je suis d'accord qu'il l'est quand même aux vulnérabilités de résolution de nom envoyées par les machines présentes en green, ou même blue, mais sinon il n'y aurait pas de cache dns.

[jdh]

Mon cher Gesp,

Ta réponse, évidemment logique, ne me satisfait guère.

Décider de 2 façons d'accéder à des DNS est fonction de la différence que l'on attribue aux zones. OK

Nous sommes bien d'accord, empoisonner dnsmasq (relais et cache) est possible pour les zones qu'il dessert : Green ou Blue. En ajoutant Orange, cela revient à empoisonner les serveurs en DMZ.

Certes, mais, à partir du moment où tu mets les mêmes DNS à l'IPCOP et aux serveurs en Orange, hors cet empoisonnement interne, que risques tu ? On en peut empoisonner que le cache dns que l'on utilise. On peut à la rigueur se tromper de dns, mais si ce sont les mêmes pour l'IPCOP et les serveurs, il n'y a aucune différence. Et alors, il n'y a pas de raison de se priver du cache effectué par le service dnsmasq de l'IPCOP.

J'accorde une certaine confiance à dnsmasq (notamment car il a "plus que" résisté aux failles DNS de l'année dernière). Donc AMHA, le risque d'empoisonnement interne est faible.

En fait, je trouve que l'on ne profite pas du cache fourni par dnsmasq alors qu'il ne présente PAS ou TRES PEU de risques.

[Franck78]

Hi,

Si on cherche bien dans les RFE de IPcop (request for extension), il doit bien y avoir une pelletée de suggestion aussi simple qu'une checkbox 'enable DNS/NTP/... on ORANGE'

En attendant, Gilles, tu as un bug de config dnsmasq au chaud.

Bye