configuration dns

[jmripert]

Bonjour,

Merveilleuse petite découverte que je fait par le biais de ce site, un petit ipcop pour remplacer un volumineux isa, je sens déjà vos yeux pleurer de joie à l'idée de pouvoir m'aider dans cette dératisation...

Ipcop est installé, il n'y a que moi de configuré pour passer par lui direction internet, j'ai vraiment eu beaucoup de mal pour l'installation d'ailleurs, trop simple peut-être...

Problème, j'ai deux dns en interne (résolution de nos serveurs internes et internet) et j'ai cru comprendre en testant que ipcop utilise les dns de son interface red... moi je souhaite utiliser mes dns interne... au moins pour la résolution de mes serveurs...

Alors oui je peux les rentrer en statique dans l'interface web, mais est-il possible de configurer sur une interface mes dns interne... ?

J'ai cherché un peu dans les docs mais aucune n'est vraiment "technique", alors en fouillant j'ai trouvé quelques fichiers de configurations, mais seul l'interface red à 2 lignes informant les dns, rien sur le green...

[ninuxien]

Je connais pas IPCOP
Mais il doit bien y avoir un fichier resolv.conf qui traine

[jmripert]

voui voui voui...

Dans /var/ipcop/red

J'en conclus qu'il s'agit de la résolution de la partie red...

Es-ce qu'en copiant ce fichier dans green, en le modifiant... cela va arranger mon "problème" ? sécurité anéanti ?

Allez, soyons fous, les actions valent plus que des mots, je me lance !
Retour dans 15min ! temps approximatif de la plongée !

ps: ma question tient toujours malgré cette boutade fort mauvaise...

Merki !


Plongée terminé, il n'y a pas de répertoire /var/ipcop/green...
La moi na y'a pas savoir où copié mon fichier resolv.conf...

[ninuxien]

tu n as pas à le copier
ajoute seulement l'adresse de ton serveur DNS à la premiere ligne
Comme ca il devrait consulter ton serveur dns avant d'aller chercher ailleur

[jmripert]

J'ai rentré les 2 adresses de mes dns dans /var/ipcop/red/resolv.conf, pô de résolution...

Je redémarre et le resolv.conf est redevenu comme avant... donc ce n'est pas le bon endroit où les mettres pour un ipcop, mais où donc dans ce cas ?

Le bon endroit permettrait peut-être de faire la résolution correctement...

Et je n'ai pas trouvé l'ouils pour tester la configuration dns dans la console, quel est-il ? pas de dig...

[romangeur]

J'ai rentré les 2 adresses de mes dns dans /var/ipcop/red/resolv.conf, pô de résolution...

Je redémarre et le resolv.conf est redevenu comme avant... donc ce n'est pas le bon endroit où les mettres pour un ipcop, mais où donc dans ce cas ?

Le bon endroit permettrait peut-être de faire la résolution correctement...

Et je n'ai pas trouvé l'ouils pour tester la configuration dns dans la console, quel est-il ? pas de dig...

Essaies dans /etc ... il y a un /etc/resolv.conf qui normalement sous UNIX sert de base.

[jmripert]

Pareil...
J'ai redémarré le serveur (carrément), ne sachant pas vraiment quel 'service' je devais redémarrer...

Si quelqu'un le schéma de la résolution dns sous ipcop... merki!

[Harpo]

si tu as besoin du dns c'est peut etre que tu as une dmz non? as tu fait l'installation red orange green?

[jmripert]

Il est vrai que je n'ai pas fait de dessin, c'est mon premier donc no comment...

Code: Tout sélectionner


@ip 192.168.x.x/16  10.0.0.x/24     @ip publique fourni par fai
-------------------|---------------|--------------------------
                   |               |
dns1 -.
dns2 -|
      | -------- ipcop ---- passerelle ---- internet .- dns4
svr1 -|                 |                            '- dns3
svr2 -'                msg



Explication:

dns1 & dns2 sont mes dns internes, tous mes clients sont configurés sur eux, leurs redirecteurs sont dns3 & dns4.
svr1 & svr2 sont 2 serveurs web internes, dns1 & dns2 permettent de les résolver.
msg est mon serveur de messagerie, dns1 & dns2 le résolve car il n'est pas sur le même réseau interne, il se trouve dans un réseau intrermédiaire...
la passerelle nous donne accès à internet, où se trouvent dns3 & dns4.
ipcop est configurés avec un green & red, rien de plus.

Je configure mes clients pour qu'il passe par le proxy, pas de passerelle, cela évite les programmes type messagerie, msn, irc... enfin cela évitait mais bon... petite protection...
Donc mon client a dns1 & dns2 dans la config réseau, dans ie/mozilla/... l'adresse du proxy (ipcop:800), et c'est tout ce dont il a besoin pour aller sur internet.

Je pensais jusqu'à maintenant que cela se passer ainsi :
- ouverture du navigateur x
- le client demande une adresse http://xxx
- l'adresse xxx est résolue par dns1 (ou dns2 mais rarement)
- le client ayant toutes les informations, attaque le proxy (violemment en général)
- le proxy récupère du côté green la demande et envoi côté red
- réception des données côté red et transmission côté green
- le client il est content

Mais dans mon problème, j'ai l'impression que le fait d'avoir dans les paramètres du navigateur un proxy, c'est le proxy qui fait la résolution dns.
Dans mon cas ipcop ne cherchant que sur dns3 & dns4, je suis marron.

The End !

J'espère avoir été clair, pas trop long quand même, c'est juste que cela perturbe mon aura...
Merci pour les réponses.
jm

[jmripert]

[CeRberus_Lyon]

Ca ne marche pas si dans ton fichier /etc/resolv.conf de ton IPCOP tu rajoute:

Code: Tout sélectionner


nameserver ip_de_ton_dns1
nameserver ip_de_ton_dns2



?

[jmripert]

non...

Voilà la page que je reçois dans mon navigateur (firefox).

Code: Tout sélectionner

The requested URL could not be retrieved

While trying to retrieve the URL: http://intranet

The following error was encountered:

    Unable to determine IP address from host name for mairie-de-cluses

The dnsserver returned:

    Name Error: The domain name does not exist.

This means that:

The cache was not able to resolve the hostname presented in the URL.
Check if the address is correct.

Your cache administrator is webmaster.
Generated Fri, 18 Mar 2005 09:41:47 GMT by ipcop.localhost (squid/2.5.STABLE7)


Es-ce que ma logique de la résolution dns est bonne au fait ? que je ne partes pas dans des tests bizarres tirés par les cheveux...

[CeRberus_Lyon]

J'aurais une idée mais alors je ne sais vraiment pas si elle marche.

Sur tes autres machines de tes réseaux, tu as mis les DNS 1 & 2, en théorie. Essaye aussi dans ce cas la de coché la case dans firefox qui dit ne pas utiliser le proxy pour ton réseau local. Ainsi c'est forcement tes DNS locaux qui vont résoudre les noms d’hôtes (enfin je pense )



Si ça ne marche pas tu peux toujours essayer de rediriger les requêtes DNS de ton interface green vers tes DNS locaux. Mais j'ai peur que ça te fasse sauter le net ça

[jmripert]

De nouveau moi...


Quand je lance le setup dans une console, je paramètre ipcop en green + red.
Je configure le nom (ipcop) et le nom de domaine (domaine de mes dns internes).
Pour la configuration des dns je mets en 1 mon dns interne et en 2 un dns externe.

Effet : je ping mes serveurs internes et externes !


Problème :


1/ Cela pose t-il un problème de sécurite pour ipcop ? et pour un firewall en général ? car je viens de configurer ma patte externe avec un dns interne...


2/ Autre problème, voilà ma console, je testes la résolution dns, allez comprendre pourquoi cela fonctionne bizarrement...

Code: Tout sélectionner

root@ipcop:/ # hostname

ipcop.domaine


root@ipcop:/ # ping dns1

PING dns1.domaine (172.16.1.2): 56 data bytes
64 bytes from 172.16.1.2: icmp_seq=0 ttl=128 time=1.454 ms
64 bytes from 172.16.1.2: icmp_seq=1 ttl=128 time=1.340 ms
--- dns1.domaine ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 1.340/1.397/1.454/0.057 ms

          RESOLUTION DNS1 OK


root@ipcop:/ # ping msg

PING msg.domaine (10.4.47.4): 56 data bytes
64 bytes from 10.4.47.4: icmp_seq=0 ttl=64 time=1.139 ms
64 bytes from 10.4.47.4: icmp_seq=1 ttl=64 time=0.808 ms
--- msg.domaine ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.808/0.974/1.139/0.166 ms

          RESOLUTION MSG OK


root@ipcop:/ # host msg dns1

Using domain server:
Name: dns1
Address: 172.16.1.2#53
Aliases:

Host msg not found: 2(SERVFAIL)

          RESOLUTION MSG SANS DOMAINE EN SUFFIXE PAS OK


root@ipcop:/ # host msg.domaine dns1

Using domain server:
Name: dns1
Address: 172.16.1.2#53
Aliases:

msg.domaine has address 10.4.47.4

          RESOLUTION MSG AVEC DOMAINE EN SUFFIXE OK


root@ipcop:/ #

3/ Mes serveurs internes répondent, sur l'un j'ai un mini intranet et j'arrive à accéder à la page d'accueil, mais je n'arrive pas à accéder au sous répertoires...
http://xxx -> ok
http://xxx/yyy ->


Voilà, presque la fin de mes questions.

Merci

[jmripert]

Je ne veux pas faire le $%#&!... mais je suis terriblement dans le doute...

ps: lol il y a une correction automatique des gros mots...