Bonjour,
Je suis en train de monter une dmz dans mon entreprise (500 personnes) pour "brancher" notre réseau interne vers un autre réseau.
Mon architecture est la suivante:
en interne
serveur dns sur MS server 2003
dans la dmz
une debian avec bind 9
pour firewall ipcop.
le serveur dns interne résoud les noms pour notre domaine interne et forward vers le dns de la dmz pour le domaine correspondant au domaine extérieur.
le serveur dns de la dmz résoud les noms de notre domaine interne vu de l'extérieur.
seul le serveur dns interne a le droit de communiquer avec le serveur dns de la dmz
seul le serveur de la dmz a le droit de communiquer avec l'extérieur.
(oui c'est un peu long ...)
Le problème:
la première fois qu'un utilisateur interne interroge le domaine extérieur pour résoudre toto par exemple , la requête est "forwardé" vers le serveur dns de la dmz qui résoud le nom et renvoie l'adresse au serveur dns interne. Celui-ci donne alors la bonne adresse à l'utilisateur.
Lors de cette opération, le serveur interne met dans son cache le nom (toto) et l'adresse demandés par l'utilisateur ainsi que le nom et l'adresse des serveurs de nom externes pouvant résoudre le nom demandé.
Au bout d'un moment, (le temps que le cache interne de l'utilsateur expire) , ou quand un autre utilisateur demande le même nom (toto) , le serveur dns interne, au lieu de forwarder la requête, essaye de résoudre le nom (toto) directement vers le serveur dns externe
Vu qu'ipcop n'autorise pas cette transaction, le nom n'est pas résolu.
Est ce que je dois revoir complément mon architecture de résolution de nom ou ai-je juste un petit paramètre à changer. Je cherche depuis 2j et j'ai la tête comme un citrouille !!!
C'est pourquoi toute aide serait la bien venue
Merci à l'avance.
pb dns forwording sur serveur dns interne.
Modérateur: modos Ixus
4 messages
• Page 1 sur 1
pb dns forwording sur serveur dns interne.
par dav_cid » 09 Sep 2005 17:19
On en apprend tous le jours !!
- dav_cid
- Matelot
- Messages: 3
- Inscrit le: 04 Juin 2004 22:15
- Localisation: paris
par dav_cid » 12 Sep 2005 18:40
Bonjour,
merci pour ta suggestion.
Je sais que l'architecture est un peu compliquée mais une politique de sécurité m'interdit toute communication directe entre mon réseau local et le réseau extérieur.
Par conséquent, je suis obligé de relayer les requêtes dns mais aussi le mail et le web dans les serveurs de la dmz.
Le serveur dns interne est la seule machine de mon réseau autorisée à communiquer en dns avec le serveur dns de la dmz.
Le problème vient du fait que le serveur dns windows 2003, malgré le fait que je lui demande (poliment) de relayer toute requête dns vers le réseau extérieur vers le serveur dns de la dmz, le fait un certain temps, puis (quand le cache est vide) intérroge directement en dns des serveurs dns extérieurs. Or le firewall lui interdit cette communication directe.
J'ai résolu mon probème provisoirement en mettant un serveur linux bind9 en place.
J'ai créé une zone de type forward vers mon réseau extérieur et ça fontionne parfaitement pour le moment.
Par contre je ne comprends toujours pas pourquoi ça ne marche pas avce windows serveur 2003.
merci pour ta suggestion.
Je sais que l'architecture est un peu compliquée mais une politique de sécurité m'interdit toute communication directe entre mon réseau local et le réseau extérieur.
Par conséquent, je suis obligé de relayer les requêtes dns mais aussi le mail et le web dans les serveurs de la dmz.
Le serveur dns interne est la seule machine de mon réseau autorisée à communiquer en dns avec le serveur dns de la dmz.
Le problème vient du fait que le serveur dns windows 2003, malgré le fait que je lui demande (poliment) de relayer toute requête dns vers le réseau extérieur vers le serveur dns de la dmz, le fait un certain temps, puis (quand le cache est vide) intérroge directement en dns des serveurs dns extérieurs. Or le firewall lui interdit cette communication directe.
J'ai résolu mon probème provisoirement en mettant un serveur linux bind9 en place.
J'ai créé une zone de type forward vers mon réseau extérieur et ça fontionne parfaitement pour le moment.
Par contre je ne comprends toujours pas pourquoi ça ne marche pas avce windows serveur 2003.
On en apprend tous le jours !!
- dav_cid
- Matelot
- Messages: 3
- Inscrit le: 04 Juin 2004 22:15
- Localisation: paris
par Franck78 » 12 Sep 2005 19:00
Salut,
Tu n'es pas assez poli avec ton window server
En fait je dirais que ton serveur utilise encore les root-servers internet (ceux qui s'appellent A-ROOT... B-ROOT ..C ...G-ROOT)
Il doit s'occuper de sa zone d'accord, mais transmettre tous au server en dmz. C'est son seul 'root-server' si tu veux. Tout les resolvers doivent passer par le dns-dmz!
Bye
Tu n'es pas assez poli avec ton window server
En fait je dirais que ton serveur utilise encore les root-servers internet (ceux qui s'appellent A-ROOT... B-ROOT ..C ...G-ROOT)
Il doit s'occuper de sa zone d'accord, mais transmettre tous au server en dmz. C'est son seul 'root-server' si tu veux. Tout les resolvers doivent passer par le dns-dmz!
Bye
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
4 messages
• Page 1 sur 1
Retour vers Sécurité et réseaux
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité