SOA avec Dnsmasq ??

Forum traitant de la distribution ClarkConnect. ClarkConnect est une distribution Linux destiné à transformer un simple PC en un routeur/firewall avec certaines fonctions de serveur internet (Web,Mail,FTP....).

Modérateur: modos Ixus

SOA avec Dnsmasq ??

Messagepar Monstropolante » 27 Mai 2005 11:59

Bonjour,

Je vient d'acheter un domaine et j'ai choisi d'etre le soa de mon domaine.
Je ne cherche pas a faire quelquechose de tres compliqué mais simplement, dans un premier temps, je voudrais associer mon_ip à mon_domaine.com de facon a pouvoir me servir de mon nom de domaine pour acdceder a mon site, à l'interface admin, au ssh, aux mails....

DnsMasq est-il capable de remplire ce role ou dois-je installer Bind ?

Désolé si ma demande n'est pas claire mais je ne suis, moi meme, pas tres clair sur ces questions...
Monstropolante
Matelot
Matelot
 
Messages: 6
Inscrit le: 08 Mars 2005 00:48

SOA?

Messagepar jgeist » 27 Mai 2005 20:20

Bonsoir,
Alors c'est quoi SOA?

Bon je comprends quand même ta question. Ce n'est pas toi qui associeras ton nom de domaine
à ton ip, mais un organisme spécialisé.

Si tu as une adresse ip fixe, l'organisme qui gère ton nom de domaine peut s'occuper de cela
en principe (par exemple si c'est gandi cette possibilité est offerte)
Si tu as une adresse ip dynamique, il te faudra passer par un site du type dyndns.org

S'il s'agit uniquement du fonctionnement de ton réseau privé, c'est /etc/hosts qu'il faut configurer.

à+,
jgeist
Second Maître
Second Maître
 
Messages: 45
Inscrit le: 06 Mars 2005 01:13
Localisation: BdR

Messagepar HaM » 28 Mai 2005 00:38

SOA -> Start Of Authority
Avatar de l’utilisateur
HaM
Amiral
Amiral
 
Messages: 1045
Inscrit le: 31 Juil 2002 00:00
Localisation: Boulogne-Billancourt 92

Messagepar Monstropolante » 28 Mai 2005 01:19

Oui, SOA(start of autorité) c'est le serveur dns qui a autorité sur le domaine.

Dans mon cas, mon fournisseur de nom de domaine (ddn.fr) ne se charge que de renseigner les serveurs dns racines pour leur indiquer l'adresse de mon SOA (mon ip fixe). Ceci fait, ils n'ont plus aucune action dans la resolution de mon nom de domaine.
Ensuite c'est a moi de creer un serveur DNS qui a autorité sur mon_domaine.com. Ma question était : DNSMasq peut-il remplire ce role ?
En fait j'ai simplement rajouté dans "etc/hosts" la ligne "mon.ip mon_domaine.com blabla" et ouvert mon port 53 (dns). Maintenan ca fonctionne...
par contre si j'ajoutes la ligne "une.ip.au.hazard test.mon_domaine.com blabla" et que je fait un nslookup sur test.mon_domaine.com, j'obtiens un time out... pourquoi ??

Ece la bonne solution au une combine bancale ??

Si quelqu'un pouvait m'éclaircir les idées...

édit : je fait tous mes tests de l'extereur, via internet car je ne suis pas chez moi cette semaine. Si je prend comme adresse de dns (dans ma config tcp-ip) l'adresse de mon serveur, j'obtiens des "non-authoritative answer" ce qui a mon sens traduit un probleme, non ?
Monstropolante
Matelot
Matelot
 
Messages: 6
Inscrit le: 08 Mars 2005 00:48

Messagepar HaM » 28 Mai 2005 11:40

Tu doit utiliser un serveur DNS pour faire cela je ne sais pas si dnsmasq le fait mais je te conseillerais d'utiliser Bind.
Avatar de l’utilisateur
HaM
Amiral
Amiral
 
Messages: 1045
Inscrit le: 31 Juil 2002 00:00
Localisation: Boulogne-Billancourt 92

Messagepar monstroplante » 01 Juil 2005 00:29

Je me suis contenté, jusqu'a maintena de la solution du fichier host de dnsmask.
Je sui maintenan limité par ses possibilitées. Je ne parviens pas a associer plusieur noms de domaines a mon ip.
par exemple :
site1.mondomaine.com => mon.ip.sur.internet
site2.mondomaine.com => mon.ip.sur.internet
site3.mondomaine.com => mon.ip.sur.internet

Il semble que dnsmasq reffuse d'associer 2 fois la meme ip pour des noms fqdn differents.

Je voudrais donc savoir si je suis, effectivement, arrivé a bout des possibilitées de dnsmask dans ce domaine.

et si oui :
- Comment installer bind9 ("apt-get install bind9" ne trouve aucun pakage)
- La cohabitation Dnsmask, bind ne va-t-elle pas poser probleme ?
monstroplante
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 01 Juil 2005 00:14

Messagepar HaM » 01 Juil 2005 00:48

monstroplante a écrit:- Comment installer bind9 ("apt-get install bind9" ne trouve aucun pakage)
Code: Tout sélectionner
apt-cache search bind

Puis:
Code: Tout sélectionner
apt-get install ....

monstroplante a écrit:- La cohabitation Dnsmask, bind ne va-t-elle pas poser probleme ?

Normalement non :D
Avatar de l’utilisateur
HaM
Amiral
Amiral
 
Messages: 1045
Inscrit le: 31 Juil 2002 00:00
Localisation: Boulogne-Billancourt 92

Messagepar monstroplante » 01 Juil 2005 01:23

Desolé, je n'avait pas réessayé : "apt-get install bind" apres avoir fait un "apt-get update"
Le nom du paquet est donc "bind" (v.9.2.3)

Merci du coup de pouce.
Je vous tiens au courant de l'évolution....
monstroplante
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 01 Juil 2005 00:14

Messagepar jdh » 01 Juil 2005 07:49

Il me semble clair que pour faire un serveur de nom de domaine solide et sérieux, il vaut mieux utiliser bind (v9) que dnsmasq.

Par contre, autant il est facile de créer un serveur de nom de domaine pour le réseau interne d'une société (même dynamique avec dhcp), autant il n'est pas simple de gérer soi-même le nom de domaine pour Internet.

De mémoire, il faut disposer de 2 serveurs (NS1 et NS2) qui doivent fonctionner 24h/24 avec bien évidemment une ip fixe pour chacun (idéalement avec 2 fournisseurs différents). Tout aussi bien évidemment, Bind doit être "béton" en terme de configuration, de même que les machines doivent être bien "firewallées".

Tout ça pour pouvoir bien associer www.xxxx ou ftp.xxxx ! (Associations qui changent tellement souvent !)

Moi j'ai voulu essayer (avec 2 fournisseurs) mais j'ai abandonné (même si cela m'aurait permis de gérer tous les domaines européens du groupe). Parce que ce n'est pas mon métier. Parce que c'est inutile : un nom de domaine Internet ne contient que www, ftp et mail, plus le (ou les) MX. Parce que les tests de mise au point avec l'organisme de certification français sont long et compliqués. Parce que c'est le métier d'un FAI.

En plus, si veux créer autre chose que www, ftp, mail, (par exemple vpn pour un point d'entrée ipsec), moi je le créerai plutot avec un dyndns, no-ip ou autre. Et ceci même avec une ip fixe. Parce que cela ne sera pas apparent : qui d'autre que moi pourrait imaginer qu'un point d'entrée dans mon réseau n'est pas dans le nom de domaine de mon entreprise ?

C'est un peu la même chose que la question de l'hébergement du site web de son entreprise. Quel est l'intéret de l'héberger sur une machine dans son propre réseau ? Sauf si c'est un site d'ecommerce, avec un lien intégré vers le système de gestion commande et production de l'entreprise, il N'y a AUCUN intéret à héberger soi-même. En effet un serveur web doit fonctionner 24h/24 avec une bande passante adaptée, et il doit être suffisamment sécurisé (et à jour). Et ce n'est ni mon métier ni mon expérience. Enfin je dis cela mais je l'ai fait pour ma précédente entreprise parce que c'était justement un site d'ecommerce. Mais je ne suis pas fier de la sécurité mise en place hors firewall. Il aurait fallu que je mette un vrai proxy inverse devant le serveur IIS. Mais mon patron n'a pas voulu m'écouter complètement. Et ceci même si il n'y a pas eu de pb de disponibilité.

Avant de te lancer dans l'aventure (certes extrèmement intéressante), je t'encourage à discuter de la chose avec un ingénieur de ton registrar.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar monstroplante » 01 Juil 2005 08:17

Je suis assez d'accord avec toi et trouve ton intervention interessante. Mais le serveur en question n'est pas un serveur d'entreprise. Il s'agit de mon serveur perso, dont l'utitilité n'est vitale pour personne. Si je me donne tout ce mal, ce n'est pas vraiement que je pense pouvoir remplir ce role mieux qu'un hebergeur pro, c'est surtout pour le "sport". Je pense qu'etre capable d'administrer un serveur apache, dns, mysql... meme si on n'est pas tres pointu, permet d'avoir plus de contenance face a un hebergeur quand on decide de passer par lui.

Le serveur ns2 n'est qu'un serveur de secours. Il n'est pas indispensable, non ?
Pour ma part, c'est la meme machine qui fait dns, http, ftp..... (cc) donc si ns1=down, tous mes services=down aussi. je ne voit donc pas l'interet d'avoir un ns2 fonctionnel.

Pourquoi l'hebergement d'un serveur dns demandrait une securité plus importante que celui d'un serveur apache, proftpd et compagnie ?
Que pensez-vous du niveau de securité de cc3 ?
Comment l'ameliorer sans ajouter un machine supplementaire (sinon je metrait bien un ipcop devant) ?
monstroplante
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 01 Juil 2005 00:14

Messagepar HaM » 01 Juil 2005 08:36

Lserveur ns2 (de secours) est totalement obligatoire, c'est écrit dans les RFCs et ils doivent avoir deux IP differenttes, chez tout les registrar où tu poura acheter un nom de domaines il te faudra entrer 2 serveur DNS :!:
Avatar de l’utilisateur
HaM
Amiral
Amiral
 
Messages: 1045
Inscrit le: 31 Juil 2002 00:00
Localisation: Boulogne-Billancourt 92

Messagepar jdh » 01 Juil 2005 08:54

Un serveur DNS doit être sécurisé comme tout autre serveur Web ou autre. Il me semble plus simple de sécuriser un BIND (en faisant confiance à Debian, d'une part, et en lisant les nombreux how-to sur la sécurisation de BIND sur internet, d'autre part). Un serveur Web (Apache) + Php + MySQL est plus difficile car cela fait 3 produits donc trois possibilités de failles.

Si tu veux faire l'effort de créer un serveur DNS, fais le pour ton réseau interne (avec mise à jour auto des clients DHCP). C'est déjà intéressant et suffisament difficile en partant seulement des docs. (NB : sur Debian, les fichiers de /etc/bind doivent être bind:bind !)

Sinon un serveur perso c'est dyndns, no-ip ou autre.

A titre perso, j'ai mon propre nom de domaine (mon nom.org) chez "unetun" (pub gratuite) avec boiteS mail et site web (sans mysql !). Mais j'utilise aussi dyndns pour accéder à mon firewall voire à mon PC chez moi. C'est déjà interessant à réaliser.

Question valeur comparative d'IPCOP, CC ou autre SME ? Moi j'aime Debian comme serveur avec Shorewall. C'est peut-être moins secure qu'un IPCOP mais j'aimerais bien savoir en quoi. J'ai suivi Shorewall depuis longtemps. Et il me plait car c'est seulement un générateur de règles iptables. Et les règles produites me semblent assez complètes (et facile à lire). Avantage aussi certain à mon avis : je créé mes règles moi-même et je bénéficie de toutes celles standard (IANA, no-spoof, newnotsync, ...). Je ne veux pas d'une interface qui masque le côté basic des choses.

Pour l'usage perso, je pense qu'il ne faut pas multiplier les machines à cause de l'énergie nécessaire (et du bruit). Donc j'ai, comme toi, un PC qui fait firewall, serveur web, serveur mail, ..., serveur bind+dhcp pour l'interne, ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar monstroplante » 02 Juil 2005 10:44

Lserveur ns2 (de secours) est totalement obligatoire, c'est écrit dans les RFCs et ils doivent avoir deux IP differenttes, chez tout les registrar où tu poura acheter un nom de domaines il te faudra entrer 2 serveur DNS Exclamation


Pourtant, chez ddn, il m'ont bien enregistré mon ip pour ns et ns2 et ca fonctionne sans probleme...

Si tu veux faire l'effort de créer un serveur DNS, fais le pour ton réseau interne (avec mise à jour auto des clients DHCP). C'est déjà intéressant et suffisament difficile en partant seulement des docs.


Je te remercie pour tes consiels mais je vais quand meme tenter le coup. De toute facon si je suis victime d'attaques, ce ne cera pas une catastrophe, c'es un serveur perso... Et puis, c'est comme ca qu'on apprend... De plus, ddn ne fournit pas gratuitement les services que je recherche.
monstroplante
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 01 Juil 2005 00:14


Retour vers ClarkConnect

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron