Bonjour,
Voila le problème j'ain monté un IPCOP qui joue le role de proxy,FW,passerelle.
Il possède 2 eth une RED et UNE Green.
Le proxy fonctionne nickel ainsi que le FW sauf que j'ai des problèmes de résolution de nom ce qui me pose des souci pour mes clients messagerie mais ca j'ai trouvé comment contourner (vu que OE OUtlook classique..) par contre une appli se connecte à des sites FTP et les noms ne se resolvent pas j'ai pourtant ouvert le port 53 mais ca ne passe pas??
merci si vous voulez des renseignements supplémentaires
DNS +IPCOP
Modérateur: modos Ixus
10 messages
• Page 1 sur 1
DNS +IPCOP
par poulounche65 » 09 Jan 2008 10:44
- poulounche65
- Matelot
- Messages: 9
- Inscrit le: 24 Oct 2007 14:52
par jdh » 09 Jan 2008 11:57
Bonjour.
Le DNS d'IPCOP fonctionne tout à fait correctement par défaut.
Ce qui est prévu, c'est
- l'ipcop est la passerelle par défaut,
- l'ipcop est serveur DHCP (et fournit DONC l'adresse ip, le masque, la passerelle=ipcop, le serveur dns=ipcop).
Tout cela fonctionne tout à fait bien.
Maintenant quel est le problème ?
Le DNS d'IPCOP fonctionne tout à fait correctement par défaut.
Ce qui est prévu, c'est
- l'ipcop est la passerelle par défaut,
- l'ipcop est serveur DHCP (et fournit DONC l'adresse ip, le masque, la passerelle=ipcop, le serveur dns=ipcop).
Tout cela fonctionne tout à fait bien.
Maintenant quel est le problème ?
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par ccnet » 09 Jan 2008 12:36
En premier lieu, si vos problèmes sont bien des problèmes de résolution de noms, je vérifierai les dns utilisés. Il n'est pas utile d'intervenir sur le port 53, les règles nécessaires sont déjà en place par le biais du fichier /etc/rc.d/rc.firewall si je me souviens bien.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
merci
par poulounche65 » 09 Jan 2008 13:16
Bonjour, messieurs
tout d'abord merci pour vos réponses..
mais j'ai trouvé la solution il fallait en fait autoriser le serveur DNS dans le firewal (BOT) a emettre des requetes DNS
Voila je pense que ca marche à présent je finalise les test sur la journée
Merci a vous
tout d'abord merci pour vos réponses..
mais j'ai trouvé la solution il fallait en fait autoriser le serveur DNS dans le firewal (BOT) a emettre des requetes DNS
Voila je pense que ca marche à présent je finalise les test sur la journée
Merci a vous
- poulounche65
- Matelot
- Messages: 9
- Inscrit le: 24 Oct 2007 14:52
par ccnet » 09 Jan 2008 13:19
Encore un problème mal posé. Où l'on découvre que BOT est installé, mais ce n'est pas dit et qu'il est mal configuré. Vous regardez les logs de temps à autres pour traiter ce genre de problème ?
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par jdh » 09 Jan 2008 13:46
Je confirme le point de vue de ccnet : vraiment la situation a été mal exposée.
* 1er cas : pas de serveur dns interne :
IPCOP fait parfaitement l'affaire pour fournir DHCP et DNS aux clients locaux.
* 2me cas : un serveur dns interne existe (p.e. avec un domaine windows et son usuel Windows 2003 Server) :
Le serveur DNS utilise comme "forward" l'IPCOP ("redirecteurs" dans la terminologie Windows). Donc aucune règle à définir.
NB : un client dns doit utiliser udp/53 et tcp/53 vers un serveur dns de FAI. (arrêtez de parler de port mais préciser protocole et port !)
* 1er cas : pas de serveur dns interne :
IPCOP fait parfaitement l'affaire pour fournir DHCP et DNS aux clients locaux.
* 2me cas : un serveur dns interne existe (p.e. avec un domaine windows et son usuel Windows 2003 Server) :
Le serveur DNS utilise comme "forward" l'IPCOP ("redirecteurs" dans la terminologie Windows). Donc aucune règle à définir.
NB : un client dns doit utiliser udp/53 et tcp/53 vers un serveur dns de FAI. (arrêtez de parler de port mais préciser protocole et port !)
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par poulounche65 » 09 Jan 2008 14:21
il est vrai que le problème est pas très clair cependant, je vous ai dis que vous pouvez posez des questions si mes explications manqué de clarté,alors quand on sait pas on fait comme moi on demande...
premièrement :
qui a dis que j'utilisé DHCP ???? personne ? ais je dis qu'IPCOP etait mon DNS??? j'ai dis qu'il ne laisser pas passer les requetes DNS
"* 2me cas : un serveur dns interne existe (p.e. avec un domaine windows et son usuel Windows 2003 Server) :
Le serveur DNS utilise comme "forward" l'IPCOP ("redirecteurs" dans la terminologie Windows). Donc aucune règle à définir. "
apparenment pas ......le serveur DNS envoie lui meme une requete sur le port 53 avec son IP à lui donc si tu ne creer pas de regles bye.
de Plus mon IPCOP fontionne deriere un routeur/modem déja natté
Merci quand meme mais c'est pas la peine de faire de grand discours et de plus tu peux ourvrir un port sans preciser de protocole......alors si je parle du port 53 sur le quel fonctionne le protocole DNS c en connaissance de cause a+
je vous remercie messieurs mais apparenment cela fonctionne..
bye
premièrement :
qui a dis que j'utilisé DHCP ???? personne ? ais je dis qu'IPCOP etait mon DNS??? j'ai dis qu'il ne laisser pas passer les requetes DNS
"* 2me cas : un serveur dns interne existe (p.e. avec un domaine windows et son usuel Windows 2003 Server) :
Le serveur DNS utilise comme "forward" l'IPCOP ("redirecteurs" dans la terminologie Windows). Donc aucune règle à définir. "
apparenment pas ......le serveur DNS envoie lui meme une requete sur le port 53 avec son IP à lui donc si tu ne creer pas de regles bye.
de Plus mon IPCOP fontionne deriere un routeur/modem déja natté
Merci quand meme mais c'est pas la peine de faire de grand discours et de plus tu peux ourvrir un port sans preciser de protocole......alors si je parle du port 53 sur le quel fonctionne le protocole DNS c en connaissance de cause a+
je vous remercie messieurs mais apparenment cela fonctionne..
bye
- poulounche65
- Matelot
- Messages: 9
- Inscrit le: 24 Oct 2007 14:52
par jdh » 09 Jan 2008 15:22
Merci de ne pas monter sur vos grand chevaux, cela sera plus agréable pour tout le monde !
Je pense que le problème aurait été mieux présenté avec les infos suivantes :
situation :
- un IPCOP version V et addons A, A, A, A
- un serveur DNS interne (sous Windows Serveur 200?)
problème :
- le serveur DNS (interne) a du mal à résoudre les noms
Il est clair que BOT impose de déclarer TOUS les flux réseaux (qu'il est mieux de repérer en tcp/xx et udp/xx). (Et je suis un fervent partisan de BOT)
Immédiatement, la conjonction "un serveur dns interne" et "BOT" nous aurait éclairé.
Mais LA façon normale de traiter cette situation serait de configurer le serveur DNS interne comme ... client DNS de l'IPCOP (il est fait pour) et non du FAI ... puisque c'est déjà le cas d'IPCOP. Et là, je répète, il n'y a besoin d'aucune règle (BOT) !!
NB: si je parle de DHCP, c'est qu'un serveur DHCP donne le serveur DNS. Il est alors logique que serveur DHCP et serveur DNS ne fasse qu'un ... pour disposer d'un DNS "dynamique". (ce qui est le cas du service dnsmasq, me semble-t-il).
NB2 : par sécurité, il est SOUHAITABLE qu'un seul client soit autorisé à accéder à un serveur DNS. Enfin c'est mon avis ! Or c'est le cas de l'IPCOP. DONC, pour MOI, le serveur DNS aura comme redirecteur l'IPCOP (et donc pas de règles BOT ?)
Je pense que le problème aurait été mieux présenté avec les infos suivantes :
situation :
- un IPCOP version V et addons A, A, A, A
- un serveur DNS interne (sous Windows Serveur 200?)
problème :
- le serveur DNS (interne) a du mal à résoudre les noms
Il est clair que BOT impose de déclarer TOUS les flux réseaux (qu'il est mieux de repérer en tcp/xx et udp/xx). (Et je suis un fervent partisan de BOT)
Immédiatement, la conjonction "un serveur dns interne" et "BOT" nous aurait éclairé.
Mais LA façon normale de traiter cette situation serait de configurer le serveur DNS interne comme ... client DNS de l'IPCOP (il est fait pour) et non du FAI ... puisque c'est déjà le cas d'IPCOP. Et là, je répète, il n'y a besoin d'aucune règle (BOT) !!
NB: si je parle de DHCP, c'est qu'un serveur DHCP donne le serveur DNS. Il est alors logique que serveur DHCP et serveur DNS ne fasse qu'un ... pour disposer d'un DNS "dynamique". (ce qui est le cas du service dnsmasq, me semble-t-il).
NB2 : par sécurité, il est SOUHAITABLE qu'un seul client soit autorisé à accéder à un serveur DNS. Enfin c'est mon avis ! Or c'est le cas de l'IPCOP. DONC, pour MOI, le serveur DNS aura comme redirecteur l'IPCOP (et donc pas de règles BOT ?)
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par poulounche65 » 09 Jan 2008 15:37
je ne pense pas qu'il y UNE FACON NORMALE de traiter le problème et tu n'as bessoin que ton DHCP et ton DNS soit une seule machine pour que ton DNS soit dynamique.....il suffit de configurer convenablement les services
En plus quand on monte un IPCOP c'est pour qu'il fasse DHCP ou serveur DNS interne
de toute facon j'ai résolu mon problème je te remercie quand meme
merci
a+
En plus quand on monte un IPCOP c'est pour qu'il fasse DHCP ou serveur DNS interne
de toute facon j'ai résolu mon problème je te remercie quand meme
merci
a+
- poulounche65
- Matelot
- Messages: 9
- Inscrit le: 24 Oct 2007 14:52
par Gaston » 09 Jan 2008 19:58
Bonsoir,
effectivement il y a plusieurs façons d'envisager une architecture.
Celle décrite par Jdh me semble simple et efficace : un seul point d'accès au NET à gérer et contrôler. Ce que j'aimerai comprendre c'est pourquoi, si tu indiquais le serveur IPCop comme forwarder principal
(aucune configuration vers les Root server) ta config ne fonctionnait pas.
Concernant le contournement que tu as pris (je ne connait pas BOT, donc excuses si je suppose l'inopposable) le point qui me semble génant est que l'accès au root serveur étant possible de ton LAN, un imbecile pourrait faire une requête directe et avoir des erreurs de résolution (résolution externe alors que le serveur à utiliser est un serveur interne) et tu n'as bessoin que ton DHCP et ton DNS soit une seule
je suis pas d'accord, ou alors on ne définit pas le terme DNS de la même façon. IPCop ne gère qu'un ensemble de "hôte statique", cela me semble un peu court pour faire un DNS.
G.
poulounche65 a écrit:je ne pense pas qu'il y UNE FACON NORMALE de traiter le problème
effectivement il y a plusieurs façons d'envisager une architecture.
Celle décrite par Jdh me semble simple et efficace : un seul point d'accès au NET à gérer et contrôler. Ce que j'aimerai comprendre c'est pourquoi, si tu indiquais le serveur IPCop comme forwarder principal
(aucune configuration vers les Root server) ta config ne fonctionnait pas.Concernant le contournement que tu as pris (je ne connait pas BOT, donc excuses si je suppose l'inopposable) le point qui me semble génant est que l'accès au root serveur étant possible de ton LAN, un imbecile pourrait faire une requête directe et avoir des erreurs de résolution (résolution externe alors que le serveur à utiliser est un serveur interne) et tu n'as bessoin que ton DHCP et ton DNS soit une seule
En plus quand on monte un IPCOP c'est pour qu'il fasse DHCP ou serveur DNS interne
je suis pas d'accord, ou alors on ne définit pas le terme DNS de la même façon. IPCop ne gère qu'un ensemble de "hôte statique", cela me semble un peu court pour faire un DNS.
G.
-
Gaston - Amiral
- Messages: 1367
- Inscrit le: 06 Oct 2003 00:00
- Localisation: Saint Maur, 94 FR
10 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité