Comment fonctionne le DNS dynamique (dyndns et les routeurs)

Echangez vos avis, assistez-vous durant la configuration de vos matériels réseau. Ce forum vous permettra de faire partager vos expérience en matière de mise en place de matériel réseau, qu'il s'agisse de routeurs, switches, wireless ...

Modérateur: modos Ixus

Comment fonctionne le DNS dynamique (dyndns et les routeurs)

Messagepar pc1024 » 30 Juil 2005 01:15

Bonjour,

J'utilise actuellement IPCop mais celui ci s'avere plus etre un routeur qu'un reel firewall actif, du moins dans sa configuration par defaut (sans add on) j'envisage donc de le remplacer par un vrai routeur (materiel et actif qui ne fait pas QUE logger les attaques) à savoir un Linksys WRV54G qui lui, dispose de fonctions de firewalling tres interessantes. Mon seul souci concerne le DNS Dynamique, avec IPCop je met a jour deux DNS dynamique (dyndns pour un serveur FTP et no-ip pour un site WEB) pour cela j'ai deux entrées mais en consultant la doc du linksys je vois qu'on ne peut renseigner qu'un seul DNS Dynamique (DDNS).
ALORS JE M'INTERROGE !!!

Est ce qu'un seul DNS Dynamique permet de gerer à la fois un serveur FTP, WEB et MAIL ? Est ce que je peux creer un seul nom de domaine TRUC@dyndns.org pour gerer plusieurs protocoles ??? Normalement OUI ! Apres ce n'est qu'une histoire de transfert port pour le protocole et le serveur concerné !

Si quelqu'un a une idée et qu'il veut bien m'eclairer....
JE LE REMERCIE PAR AVANCE.

Pierre.
pc1024
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 04 Avr 2005 10:35

Messagepar jdh » 30 Juil 2005 11:04

Les possibilités d'un IPCOP sont plus importantes qu'un routeur de "base" quel qu'il soit (Linksys ... by Cisco compris). Elles exigent plus de connaissances (d'expertise). Mais on peut faire PLUS.

Cela dit, pour en avoir installé un (celui là ou une autre référence), ce routeur est un bon produit.

Concernant l'adressage DNS, le nom DNS correspond à une adresse ip. Cela permet de ne pas connaitre l'adresse ip par coeur et de ne pas la taper. D'autant plus dans le cas d'une adresse ip dynamique. Ensuite il est clair que la même adresse ou plutot le même nom DNS peut servir pour un serveur Web, un serveur FTP, un serveur de mail, un point d'entrée VPN, .... Inutile, donc, de disposer de 2 noms DNS pour pointer sur la même ip.

Concernant le serveur de mails, normalement un domaine DNS (j'ai dit un domaine) devrait disposer d'1 ou 2 (ou plus) serveur(s) de mail sous la forme d'information MX (=Mail eXchanger) avec un n° d'ordre (le plus petit est prioritaire).

Dans le cas de Dyndns.org, quand on défini un nom de domaine "toto.dyndns.org", ce nom pointe sur l'ip prévue. Mais il n'y a pas de MX associé à "toto.dyndns.org". Or en général les (bons) serveurs mails qui ne trouvent pas un MX envoient le courrier au serveur d'adresse ip associé au nom. CQFD : le même nom peut servir à tout, y compris le mail. (SAUF si c'est un mauvais serveur SMTP !! Et je ne les pas testé tous).

Par contre, à titre perso, je trouve inutile et même dangereux de mettre en place un serveur de mails chez soi avec l'adressage dynamique qui va bien. Il est de loin préférable d'acheter un domaine chez un hébergeur traditionnel avec le nombre de boites mails (ou de renvois qui vont bien), puis localement de faire un fetchmail.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Gandalf » 30 Juil 2005 12:53

D'abord je ne suis pas d'accord avec ta comparaison entre IPCOP et un un petit firewall Linksys, mais je n'entrerai pas dans les détails !

Ensuite il est évidemment possible de gérer tous ces services avec un seul nom DNS vu que ce sont des SERVICES différents qui vont tous aller intérroger la même adresse IP mais sur un port différent ( association IP/port = socket )
Tu peux même héberger plusieurs sites webs différents sur une seule adresse IP grace au virtual hosting d'apache.
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar pc1024 » 30 Juil 2005 16:03

Merci pour vos reponses, ca fait plaisir.

IPCop / Linksys WRV54G

Quand j'ai decouvert IPCop je trouvais ca genial et ne voyais que par lui mais apres plusieurs lectures on se rend compte qu'en matiere de firewall il y a mieux, dans sa configration par defaut IPCop n'a absolument rien d'un firewall, bien sur toutes les autres fonctions qu'il integre sont pratiques mais on les retrouve toutes sur un bon routeur. Le seul avantage d'IPCop c'est qu'on peut pousser la chose avec les add on, là d'accord on peut en faire un Firewall actif, qui va enfin utiliser les log de l'IDS pour agir et bloquer. MAIS une fois qu'on se lance dans l'installation des add on ca devient plus experimental que operationnel, un seul ne suffit pas, faut combiner snort, squidguard, guardian, blockouttraffic etc...
D'ailleurs je n'ai jamais russi a rendre mon IDS actif. Savez vous avec quel add on cela est possible ?
Apres m'etre penché sur la doc du Linksys WRV54G j'ai bien l'impression qu'il reprend toutes les fonctions d'IPCop et qui plus est, un firewall actif, qui decide de bloqué suivant des types d'attaques connues, des scenarios.... (rajoutons a cela VPN, ACL, DMZ...)

Mais selon vous qu'est ce que je ne pourrais pas faire avec le Linksys WRV54G que je pourrais faire avec IPCop ? Votre avis m'interesse, j'omets peut etre unenotion essentielle, faites m'en part. N'hesitez pas a rentrer dans les details;-)

Merci encore pour vos reponses.

@+ Pierre.
pc1024
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 04 Avr 2005 10:35

Messagepar Franck78 » 30 Juil 2005 16:43

Au lieu de raconter n'importe quoi, donnes nous donc ta définition d'un 'firewall actif' :twisted: :twisted:
dans sa configration par defaut IPCop n'a absolument rien d'un firewall,

utiliser les log de l'IDS pour agir et bloquer.



Ah l'IDS bloquant..... vaste sujet ca encore. Plutôt une invention de commercial. Parceque tu fais quoi quand un intrus/$%#&! trouve le moyen d'activer çette protection?
En combien de temp ton IDS bloquant aura isolé ta machine de l'extérieur... Ce genre de 'firewall actif' a besoin aussi d'une 'surveillance active'.


la doc du Linksys WRV54G j'ai bien l'impression qu'il reprend toutes les fonctions d'IPCop

Et bien faut croire que non si tu n'as le choix que d'une entrée dyndns. Et combien de provider possible ?

Et il fait Squid aussi ? Mais ou cache t-il donc ses fichiers mis en cache ?? En eeprom ???
squidGuard: et il t'autorise a choisir plusieurs liste interdites ?
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar jdh » 30 Juil 2005 16:51

Je m'inscris en faux sur ces affirmations.

La plupart des routeurs ainsi que les boites (LiveBox, NeufBox, FreeBox, Triway, ...) ne fonctionnent que comme un simple routeur filtrant SANS la fonction "state-full". Ce sont donc des ersatz d'ipchains et non d'iptables. Il ne suivent donc pas la connexion en tant que telle. Ce qui est évidemment moins bien qu'un suivi de connexion comme l'assure Iptables.

Je veux rappeler qu'avant 2000, un leader dans le domaine du firewall ("controle-point" !) avancait "sa" technologie comme élément fort de son statut de n° 1 du secteur. Or cette technologie était le suivi de connexion, c'est à dire ni plus ni moins qu'iptables. Rendons à César, il disposait déjà de quelques proxy applicatifs, ce qui est l'avenir du firewall : analyser en plus l'intérieur du protocole.

J'ai aussi constaté que le routeur que tu possèdes indique qu'il est firewall "state-full" lui aussi. Il est bien évident qu'il faut disposer de pas mal de mémoire pour suivre la connexion dans sa globalité. Je pense que la taille mémoire est limitée pour un tel hardware. Il doit donc être vu comme un routeur "soho" et il est d'ailleurs, présenté comme tel.

Si on veut comparer ce routeur à IPCOP, il faut noter que l'avantage est bien évidemment à IPCOP. Avec ses possibilités de base qui me paraissent déjà supérieures, il faut noter la possibilité d'ajouter des "add-ons" pour ajouter la fonction Squid ou la fonction IDS ou d'autres encore. Mais à la base on peut déjà "loguer" de choses ce qui est essentiel à un minimum de sécurité. On peut au vol écouter le traffic, ce qui est parfois nécessaire.

Je crois qu'il est nécessaire que personne n'imagine que, sans expérience, il est très difficile (voire impossible) de paramétrer complètement un tel produit. Cela exige de connaitre beaucoup de choses. C'est d'ailleurs l'objet de ce site, non limité à IPCOP. Que tu n'arrives pas à configurer tel add-on, ne signifie en aucun cas qu'IPCOP serait moins performant qu'autre chose.

En ce qui me concerne, je n'ai jamais installé IPCOP, je me construit mes propres machines sur base Debian et avec Shorewall comme élément de base (le "firewall" de MNF et autres ...). J'ai choisi ce "générateur de script" après avoir longtemps fait mes propres scripts iptables. Et je l'ai choisi pour la qualité du code produit (shorewall status).

Remettons les choses à leur place : ce routeur est un bon routeur filtrant (même, sans doute, un peu mieux que les autres) mais ce n'est pas mieux qu'un IPCOP bien configuré par un pilote averti.

Je ne continue pas (plus) ce troll.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar pc1024 » 30 Juil 2005 17:27

Merci pour vos reponses, ca m'eclaire beaucoup.

Il me reste une chose a faire, approfondir linux, IPCop en particulier.

quand je disais que le linksys reprennait les fonctions d'IPCop bien sur ce n'est que par rapport a mes besoins et competences, il est evident, par la conf materiel et l'avantage des add on qu'IPCop est plus souple et plus puissant. Reconnais tout de meme qu'une solution complete et performante à l'aide d'IPCop est tres longue a mettre en place lorsqu'on n'est pas specialiste, c'est le seul defaut (qui n'en est pas vraiment un) que je peux reprocher a cette solution.

autre remarque à franck78, je n'affirme rien, je pose des question (j'ai l'impression que) alors quand tu commence par "au lieu de raconter n'importe quoi" ....................

tu as des competences, tu es callé c'est bien mais ne soit pas arrogant pour autant. c'est nefaste pour les forums.

Pierre.
pc1024
Quartier Maître
Quartier Maître
 
Messages: 15
Inscrit le: 04 Avr 2005 10:35


Retour vers Configuration matériel réseau

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron