Reverse DNS avec Network Solutions

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Reverse DNS avec Network Solutions

Messagepar australia » 28 Mars 2007 22:37

Bonjour,

Dabord merci à tout ceux qui laissent un message sur le forum d'ixus. ça m'a aidé à installer IPCOP.
Mais là je bloque sur un problème.

J'ai
- un DNS "monnom.com" acheté chez Network Solutions
- un IPCOP 1.1.10 (Filesystem full: /dev/root !)
- la zone rouge est racordé à l' IP : 82.x.x.x de la freebox
- la zone orange est raccordée à un serveur web (fedora 5) en zone orange IP: 192.168.1.81
- la zone verte est raccordée à un PC Winxp IP:192.168.0.251

J'utilise IPCOP directement à l'aide de l'interface web
- concernant la zone verte j'ai mis en place le proxy : Tout est OK
- concernant la zone orange j'ai fait les transferts de port web entrant (80) vers (192.168.1.81:30080) pour acceder au serveur web
Pour le DNS au niveau du serveur fedora (zone orange) J'ai activé en plus le service named sur le serveur avec "monnom.com"... host -a www.monom.com : tout est OK
- pour la zone rouge j'ai fait pointé le DNS de Network Solutions vers l'IP fixe de free, j'ai ensuite fait un reverse DNS chez free. A l'aide de l'interface web d'IPCOP j'ai fait un transfert de port UDP:53 vers 192.168.1.81:53


Lorsque j'utilise nslookup "www.monnom.com" à partir de ma zone verte j'ai comme résultat dans la fenêtre DOS :
"-serveur : ipcop
- adress : 192.168.0.1
Réponse ne faisant pas autorité :
- Nom :www.monnom.com
-adress: 82.x.x.x"

Lorsque j'utilise tracert avec Visualroute et que je rentre www.monnom.com, le chemin arrive bien à 82.x.x.x


Voilà le problème rencontré :
En utilisant le navigateur firefox et l'URL http://82.x.x.x/ : mon serveur web répond OK
En utilisant l'URL http://www.monom.com/ : KO

Que se passe t-il ? Comment puis-je résoudre ce problème ?

Merci pour votre aide
australia
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 28 Mars 2007 21:45

Messagepar australia » 29 Mars 2007 11:45

J'ai trouvé la réponse à mon problème. Il s'agissait juste d'un oubli dans la configuration des paramétres de mon proxy dans firefox.
- Ne pas utiliser de proxy pour "82.x.x.x" (RED) et "192.168.0.251" (GREEN) -
il falait aussi que je rajoute aussi "monnom.com"
Cela n'a rien à voir avec IPCOP. Souvent les choses les plus simples sont celles que l'on oubli et qui nous font perdre le plus de temps.

Par contre comment ce fait-il que la commande "nslookup www.monom.com" à partir de ma zone GREEN m'affiche l'adresse IP 192.168.0.1 et pas 82.x.x.x ?
australia
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 28 Mars 2007 21:45

Messagepar Gaston » 29 Mars 2007 13:13

Il faut que tu reprennes ton architecture sur un papier avec un crayon,
que tu te poses les questions suivantes :
- qui sait/doit correctement répondre pour la correspondance @IP interne / nom et @IP extern / nom ?
- qui fournit quelle information à qui ? les root dns server à IPCcop , à la zone orange, à ton PC ? est-ce judicieux ?
- est-il normal de sortir de son réseau local et accéder à son serveur web local via une adresse externe ?

avec un peu de réflexion tu devrais trouver les réponses tout seul, d'ailleurs tu as remarqué que le fait d'exposer ton problème t'avais déjà permis de trouver une solution ;)

G.
Avatar de l’utilisateur
Gaston
Amiral
Amiral
 
Messages: 1367
Inscrit le: 06 Oct 2003 00:00
Localisation: Saint Maur, 94 FR

Messagepar australia » 29 Mars 2007 15:21

Merci Gaston,

J'ai fais ce que tu m'as dit ç'est en effet plus clair, mais je n'ai pas compris toutes les questions ?


A/ LES DONNEES DU PROBLEME

Architecture

- ZONE GREEN : côté IPCOP IP: 192.168.0.1 / côté monPC IP :192.168.0.251
- ZONE ORANGE : côté IPCOP 192.168.1.80 /côté monserveurWeb:192.168.1.81
- ZONE RED : côté IPCOP 82.w.x.y / côté monmodem:82.w.x.z

Mes transferts de port
(TCP 80)->monserveurweb(30080)
(UDP53)->monserveurweb(53)

Pas de proxy web lorsque je vais vers monmodem et monserveurweb
Sinon Proxy

B/ MON ANALYSE DE "NON SPECIALISTE"
Donc avec la commande "nslookup monserveurweb"

je vais de 19.168.0.251->192.168.0.1->82.w.x.y->//82.w.x.z-> INTERNET->root DNS Server
Puis le root DNS Server fait la correspondance monserveurweb = 82.w.x.z
root DNS Server->INTERNET->82.w.x.z->82.w.x.y->//-> 192.168.1.80->192.168.1.81


C/ MES REPONSES AUX QUESTIONS

Sincérement voilà ce que je répondrais avec mes connaissances limitées
1/Qui doit répondre ?
les root DNS Server (fichier NAMED.ROOT) doit me répondre en faisant la corespondance "monnom.com"/"82.w.x.z" si je fais nslookup "monom.com"
et vice-versa si je fais nslookup 82.w.x.z
2/qui fournit quelles informations?
nslookup passe par 192.168.0.1 pour acceder au rootDNS server et le root DNS Server renvoit sur mon modem 82.w.x.z les informations
3/Est-il normal de sortir de son réseau local et acceder à son serveur web local via une adresse externe ?
Je n'ai pas compris, si le serveur web est visible globalement, je dois aussi pouvoir à la fois y acceder au niveau local en tapant 192.168.1.81:30080 (transfert de port), mais aussi pour le tester en accès global, y acceder
sans passer par le proxy et pour cela je sors vers le web pour revenir vers mon serveur web



1/ Pourquoi m'affiche t-il comme serveur faisant autorité ipcop 192.168.0.1 ?

2/ Suis-je sécurisé ou s'agit-il d'un trou de sécurité ?
3/Ce que je ne comprend pas ç'est quand je fais nslookup 82.w.x.z il me fait la correspondance avec le nom "xxxx.proxad.net" est-ce normal ?


Australia
australia
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 28 Mars 2007 21:45

Messagepar Gaston » 29 Mars 2007 22:24

Bonsoir,
je vais te donner les réponses qui correspondent à ma vision des choses, après tu adaptes, tu jettes ou tu adoptes.

Avant de partager de l'information avec le grand monde, ta responsabilité est de réussir à la partager sur ton réseau.

Il est constitué de machines sur ton green, en 192.168.0.xx et sur ton orange, en 192.168.1.xx . Sur ce réseau tu dois être à même d'accéder à tes ressources selon certaines règles (firewall, transfert de port, ...).

Pour ces accès, il est d'usage d'utiliser un nommage de tes systèmes : chaque serveur et workstation a un petit nom, le hostname - monserveur par exemple - et est lié à un domaine - mondomaine.tld par exemple - ce qui donne des nom pleinement qualifiés (FQDN) - monserveur.mondomaine.tld par exemple

Mais pour accéder à ces ressources via leur nom, tu as besoin d'un outil : le DNS. Tu dois donc avoir sur ton réseau un système qui puisse résoudre les adresses pour ton réseau local. Celui ci resoudra par exemple monserveur.mondomaine.tld dans une adresse en 192.168.xx.xx (ce qui est pour moi la bonne solution, car à aucun moment tu ne te trouveras confronté à certaines règles de protection que tu pourrais être amené à mettre en place).

Mais tu comprends bien, j'espère que les root DNS ne peuvent en aucun cas remplir cette tâche : il ne font pas parti de ton monde et non donc pas à savoir comment tu arranges tes affaires chez toi.

Dans un deuxième temps tu veux communiiquer avec le monde extérieur - reception de mail - et partager certaines ressources - Web. Comme toi ces "étrangers" devront être à même de résoudre les noms en adresse IP. La différence
sera que les même noms seront associés à des adresses IP dites public. Et çà c'est le rôle des root DNS.

Pour assurer la compatibilité de ces adresses publiques avec ton réseau privé, tu vas les natter, filter et forwarder les requètes vers les bons systèmes (DMZ, ...)

Chacun résolvant l'adresse qui lui convient, accédera à la ressource de la bonne façon : en local tu resteras avec une communication locale - pas besoin de sortir du réseau pour y re-rentrer :(
et de l'extérieur on ne verra que ce que tu as décidé que l'on pourrait voir.

Tu as en ta possession tous les élèments nécessaires pour réaliser ce que je viens d'exposer, avec un peu de réflexion.
3/Est-il normal de sortir de son réseau local et acceder à son serveur web local via une adresse externe ?
Non
je dois aussi pouvoir à la fois y acceder au niveau local en tapant 192.168.1.81
oui, je comprends pas ton histoire de transfert de port :? , le port 80 est le même que tu sois en local ou de l'extérieur.

1/ Pourquoi m'affiche t-il comme serveur faisant autorité ipcop 192.168.0.1 ?
par ce que c'est ton serveur DNS interne. Par contre un IPCopien pratiquant pourra nous expliquer pourquoi il préfère forwarder ta requète pour un nom local plutôt que la résoudre tout seul :shock: , j'espère que ce n'est qu'une erreur dans ta config.

3/Ce que je ne comprend pas ç'est quand je fais nslookup 82.w.x.z il me fait la correspondance avec le nom "xxxx.proxad.net" est-ce normal ?
Parce que tu n'as pas renseigné ton reverse DNS via le web de free ;)

cette bafouille n'est pas très technique, et peux comporter des erreurs, mais le principe est là. Sur le forum tu trouveras des explications complémentaires très bien argumentées.

Gaston
Avatar de l’utilisateur
Gaston
Amiral
Amiral
 
Messages: 1367
Inscrit le: 06 Oct 2003 00:00
Localisation: Saint Maur, 94 FR

Reverse DNS avec Network Solutions

Messagepar australia » 02 Avr 2007 23:31

Bonsoir Gaston,

Merci pour ta réponse. Pour l'instant il faut bien dire que j'apprends...ensuite j'adopterai.

- le reverse DNS dans free met 24 h à se mettre en place. Voilà la raison pour laquelle la correspondance ne se faisait pas.
- En ce qui concerne le port forwarding sur le port 30080, il s'agit d'un conseil d'un webmaster pour faire écouter apache (httpd.conf) sur ce port afin d'éviter toute attaque en directe sur le port 80. Est-ce fiable ? je n'en sais rien
- En ce qui concerne les FQN pour mon poste GREEN. Je rencontre un probléme car lorsque je configure ma connexion XP en mettant 192.168.0.251 (GREEN) et le DNS 192.168.1.81 (ORANGE),mon PC identifie le DNS mais par contre je ne peux pas acceder à Internet, je suis alors obligé de remettre le DNS d'ipcop 192.168.0.1. Dois-je renseigner mon poste 192.168.0.251 dans le fichier named ? Comment faire ?

Autre problème avec Postfix cette fois: après le port forwarding sur le port 25 du DNS (ORANGE), mon PC(en GREEN configuré avec le DNS ipcop) identifie le serveur mail (pop et smtp), par contre il n'arrive ni à envoyer ni à receptioner de message. J'ai lu dans un post sur ce même forum que quelqu'un avait rencontré le problème en upgradant ipcop de la 1.6 à la 1.10. Moi j'ai upgradé en partant de la 1.4 jusqu'à la 1.10 . Est-ce que ça vient de là ?
(aujourd'hui mon disque root est "full" et je ne peux plus rien upgradé. Il s'agit d'un PC que j'avais récupéré dans la rue à l'époque)
Merci pour votre aide

Australia
australia
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 28 Mars 2007 21:45

Messagepar ccnet » 03 Avr 2007 11:58

après le port forwarding sur le port 25 du DNS


Port 25 du dns ?? là on ne va pas s'en sortir :
25 en TCP c'est SMTP.
53 en UDP (parfois en TCP si udp défaillant, chez ibm notament) c'est DNS.

Une machine avec un disque plein pour espérer faire fonctionner quelque chose c'est quand même un problème. Si vous commenciez par mette en place un matériel adapté, sur lequel on puisse compter, nous aurions des chances de faire fonctionner votre config.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: Reverse DNS avec Network Solutions

Messagepar Gaston » 05 Avr 2007 23:05

Bonsoir,
australia a écrit:- En ce qui concerne le port forwarding sur le port 30080, il s'agit d'un conseil d'un webmaster pour faire écouter apache (httpd.conf) sur ce port afin d'éviter toute attaque en directe sur le port 80. Est-ce fiable ? je n'en sais rien

ben je comprends peut-etre rien au réseau, et en se posant la question suivante : sur quelle machine se retrouve un attaquant du port 80 que l'on a forwardé sur le port 30080 , pourrais-je faire avancer le shmilblick ?

- En ce qui concerne les FQN pour mon poste GREEN. Je rencontre un probléme car lorsque je configure ma connexion XP en mettant 192.168.0.251 (GREEN) et le DNS 192.168.1.81 (ORANGE),mon PC identifie le DNS mais par contre je ne peux pas acceder à Internet, je suis alors obligé de remettre le DNS d'ipcop 192.168.0.1. Dois-je renseigner mon poste 192.168.0.251 dans le fichier named ? Comment faire ?

soit plus précis : "accéder à Internet" ne me semble pas une information pertinente dans le contexte.
quelle est la résolution DNS d'un domaine donné (ixus.fr par exempleà sur le PC dans une conf DNS et dans une autre ?

(et encore une fois, pour ce qui est de ta config DNS, recherche sur le forum certains principes tel que celui-là, cela devrait t'aider )

G.
Avatar de l’utilisateur
Gaston
Amiral
Amiral
 
Messages: 1367
Inscrit le: 06 Oct 2003 00:00
Localisation: Saint Maur, 94 FR

Reverse DNS

Messagepar australia » 20 Avr 2007 17:53

Code: Tout sélectionner
sur quelle machine se retrouve un attaquant du port 80 que l'on a forwardé sur le port 30080


:arrow:Il se retrouve sur le port 30080 sur 192.168.1.81 (ORANGE) normalement (httpd.conf - listen sur 30080 )

Code: Tout sélectionner
soit plus précis : "accéder à Internet" ne me semble pas une information pertinente dans le contexte.


Pour plus de précision, en configurant mon poste (GREEN) , en renseignant dans les paramétres de ma connexion locale Windows XP (192.168.0.251/255.255.255.0 Passerelle :192.168.0.1) avec
- DNS primaire 192.168.1.81 (ORANGE)
- DNS secondaire 192.168.0.1 (GREEN)
Tout fonctionne normalement

Code: Tout sélectionner
quelle est la résolution DNS d'un domaine donné (ixus.fr par exempleà sur le PC dans une conf DNS et dans une autre ?


:arrow: ç'est toujour la même résolution DNS ixus.fr <-> IP fixe <->ixus.fr, mais je n'ai pas bien compris le sens de la question !

J'en profite pour revenir sur ma configuration relatif au port forwarding. Finallement j'ai effectué un transfert seulement
- du port TCP 25 vers 192.168.1.81:25
- du port HTTP 80 vers 192.168.1.81:30080


L' étonnant est lorsque j'ai supprimé le transfert du port DNS 53 vers 192.168.1.81:53 : tout ç'est mis à fonctionner.

Ce que je ne comprends pas ç'est que logiquement en partant d'une configuration DNS en locale 192.168.1.81 , en achetant un nom de domaine monnom.com, en effectuant le reverse DNS au niveau de free cela suffit pour que le NS soit reconnu. Je pensais qu'un transfert du port 53 était nécessaire pour identifier physiquement la machine. Hors visiblement non !!!
Comment se fait-il qu'il n'y ait pas une correspondance IP/MAC/DNS, ça serait quand même plus sure ?
Pour une autorité exterieure le NS s'arrête logiquement et physiquement au routeur/firewall IPCOP

J'en profite pour continuer la progression et en faire profiter d'autres néophytes comme moi.
Après des recherches sur Postfix grace à Ixus http://postfix.traduc.org/index.php
J'ai configuré un serveur mail MX "mail.monnom.com"
Après un DNS report http://www.dnsreport.com/
Tout est parfait sauf le SPF . J'ai procédé exactement comme indiqué en renseignant mon fichier de zone, mais rien n'a changé sur le WARNING

Ensuite j'ai configuré sur Outlook (GREEN) le compte mail monnom@monnom.com avec smtp: mail.monnom.com et pop3: mail.monnom.com

Ci-joint une copie de mon main.cf (ORANGE)

Code: Tout sélectionner
mydomain = monnom.com
mymx= MAIL.monnom.com

smtpd_banner= $mymx ESMTPD
myorigin = $mydomain
myhostname = monserveur.$mydomain
mydestination = $myhostname localhost.$mydomain localhost www.$mydomain ftp.$mydomain

biff = no

alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
transport_maps =hash:/etc/postfix/transport_maps
relay_recipient_maps =hash:/etc/postfix/recipient

header_checks =regexp:/etc/postfix/header_checks
body_checks =regexp:/etc/postfix/body_checks

smtpd_helo_required = yes
smtpd_client_restrictions=permit_sasl_authenticated permit_mynetworks reject_unauth_destination check_relay_domains


relay_domains=$mydomain

smtpd_helo_restrictions =permit_mynetworks reject_unknown_hostname

queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/libexec/postfix
mail_owner = postfix


unknown_local_recipient_reject_code = 450

relayhost=

mynetworks = 192.168.1.0/24 192.168.0.0/24 127.0.0.1

mailbox_size_limit = 51200000
home_mailbox =Maildir/
recipient_delimiter =+
inet_interfaces =all

2bounce_notice_recipient = postmaster
address_verify_sender = postmaster
bounce_notice_recipient = postmaster
delay_notice_recipient = postmaster
error_notice_recipient = postmaster


mail_spool_directory = /var/spool/mail
debug_peer_level = 2
debugger_command =
    PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
    xxgdb $daemon_directory/$process_name $process_id & sleep 5
sendmail_path = /usr/sbin/sendmail.postfix
newaliases_path = /usr/bin/newaliases.postfix
mailq_path = /usr/bin/mailq.postfix
setgid_group = postdrop
html_directory = no
manpage_directory = /usr/share/man
sample_directory = /usr/share/doc/postfix-2.2.8/samples
readme_directory = /usr/share/doc/postfix-2.2.8/README_FILES


Le fichier recipient contient
Code: Tout sélectionner
monnom@moncompte.com  root


Le fichier transport_maps contient
Code: Tout sélectionner
monnom@monnom.com smtp:[mail.monom.com]
* smtp:[smtp.free.fr]



aliases a été modifié avec
Code: Tout sélectionner
[b]root: monnom[/b]



    Si j'arrive à envoyer des mails, je n'arrive pas à en recevoir avec POP3. Comment cela se fait-il ?
    Comment éviter lorsque pop3 marchera de me retrouver avec des virus sur le serveur web/mail/DNS (ORANGE) ?


    Comment faire marcher le SPF ?



Merci

Australia :oops:
australia
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 28 Mars 2007 21:45

Messagepar australia » 20 Avr 2007 18:15

Ha j'oubliais après nettoyage l'ordinateur IPCOP dispose encore de 1M de free
Les process qui tournent sont CRON server,DNS proxy server, Intrusion Detection System (RED),Kernel logging server,Logging server,Web server

Merci
australia
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 28 Mars 2007 21:45

Reverse DNS avec Network solution, serveur de mel

Messagepar australia » 30 Avr 2007 15:35

J'ai finallement réussi à creer des adresses e-mel style root.australia@monnom.com
Il suffit juste de creer un compte "root.australia" sur linux ç'est tout :D

Pour le reste, visiblement je ne m'en sort plus. :oops:

Côté ORANGE (serveur Web/serveur de mel/DNS)

- Un enregistrement spf1 a été installé dans le fichier de zone DNS
Code: Tout sélectionner
monom.com. IN TXT "v=spf1 ip4:192.168.1.81 ip4:82.x.x.x.x a ptr a:monserveur mx:MAIL.monom.com include:smtp.free.fr ~all"

- Postfix est installé/configuré sans chiffrement SSL
- Dovecot est installé/configuré sans chiffrement SSL

Côté IPCOP (interface web)
- un transfert du port TCP 110 vers 192.168.1.81:110 a été effectué
- un transfert du port TCP 25 vers 192.168.1.81:25 existait déja

Côté GREEN (poste client)
- Le compte mel "Outlook" avec pop.monnom.com et smtp.monom.com + login/psswd a été testé
Tout est OK "établissement de connexion réseau/Recherche de serveur du courrier sortant SMTP/Recherche de serveur de courrier entrant POP3/Connexion au serveur de courrier entrant POP3/envoi du message de test de messagerie...(pourtant je ne recois pas le message de test)"
- Lorsque j'envoie un mel à "expediteur.de mel@fai.fr" ça marche
- Par contre lorsque "expediteur.de mel@fai.fr" veut me répondre voilà le message qu'il reçoit
Code: Tout sélectionner
"Reporting-MTA: dns; monserveur.monom.com
X-Postfix-Queue-ID: 3C4AA1734E6
X-Postfix-Sender: rfc822; expediteur.de mel@fai.fr
Arrival-Date: Fri, 27 Apr 2007 17:10:29 +0200 (CEST)

Final-Recipient: rfc822; root.australia@monnom.com
Action: failed
Status: 5.0.0
Diagnostic-Code: X-Postfix; mail for MAIL.monom.com loops back to myself"


Quelqu'un a t-il une réponse...? J'ai cherché sur internet mais je n'ai rien trouvé de probant.

A cela s'ajoute le fait que l'enregistrement spf1 n'est toujours pas reconnu sur DNSREPORT malgré la modification.


:cry:
australia
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 28 Mars 2007 21:45


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron