petit probleme reseau (iptables et DNS)

par **grosbedos** » 29 Juil 2003 23:42

bonsoir, donc voila mon prob : j'ai ipcop en firewall, j'ai une DMZ, et j'ai egalement un nom de domaine publique. dans ma DMZ j'ai un serveur dns (nouveau), et un serveur web. donc quand de l'exterieur je voulais joindre mon serveur web, avant lorsque je n'avais pas de serveur dns, je le joignais par <a href="http://mon_nom_de_domaine.fr.." target="_blank">http://mon_nom_de_domaine.fr..</a> un paquets en destination du port 80 arrivait sur ipcop, et j'avais fai un transfert de port donc ca passait sans prob.. a present je voudrais joindre mon serveur par <a href="http://WWW.mon_nom_de_domaine.fr" target="_blank">http://WWW.mon_nom_de_domaine.fr</a>, ce que je peux faire.. malheureusement je peux toujours le joindre aussi par <a href="http://mon_nom_de_domaine.fr.." target="_blank">http://mon_nom_de_domaine.fr..</a> et c'est ca que je voudrait regler.. car ipcop voi un paquets en destination du 80..donc automatiquement ca arrive sur mon serveur web.. comment passer outre ca?? <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif">

par **YoK** » 29 Juil 2003 23:54

Slt, Ca ce passe dans le fichier de zone de ton domaine. Tu dois y avoir un ligne du genre (Bind 8 & 9): tondomaine.ext. A <Ip de ta machine> c'est celle si qu'il faut supprimer pour retirer l'accès via tondomaine.ext et garder uniquement <a href="http://www.tondomaine.ext" target="_blank">www.tondomaine.ext</a> En esperant que cela peut t'aider <IMG SRC="images/smiles/icon_wink.gif"> Yoann

par **grosbedos** » 30 Juil 2003 00:19

merci pour ta reponse, mais je n'ai aucune ligne comme ca, je pense vraiment que ca vien d'ipcop, qui redirige le paquet de suite sur le serveur web.. enfin je peux me tromper d'ailleurs en local <a href="http://mon_nom_de_domaine.fr" target="_blank">http://mon_nom_de_domaine.fr</a> ne passe pas. _________________ Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber

par **grosbedos** » 30 Juil 2003 00:36

en fait je peux reformuler ma question : qu'elle regle iptables a la place de : /sbin/iptables -t nat -A PREROUTING -p tcp-d 0.0.0.0 -j DNAT --to x.x.x.x ??

par **tomtom** » 30 Juil 2003 02:05

Pas compris tout grosbedos... ton dns il est public, et c'est lui qui fait autorité sur ta zone, c'est ça ? En clair si je tape www.mon_nom_domaine.fr c'est ton serveur dns qui doit me retourner la reponse ? ou bien celui de ton registrar ? t.

par **grosbedos** » 30 Juil 2003 02:28

non c'est mon serveur dns qui devrait repondre

par **tomtom** » 30 Juil 2003 02:38

Bah oui mais ton serv dns il est bien obligé de repondre par ton ip publiqu epour toutes les requetes non ?

par **grosbedos** » 30 Juil 2003 03:23

euh oui j'ai qu'une IP publique.. je m'embrouille moi meme..c'est pas clair du tout pour moi lol...

par **tomtom** » 30 Juil 2003 09:52

Decortiquons un peu. SUpposons que je tape dans monbrowser : <a href="http://www.grosbedos.fr" target="_blank">http://www.grosbedos.fr</a> (hum ca doit etre unpeu dur à deposer ça <IMG SRC="images/smiles/icon_wink.gif"> ) Etape 1 : verification du cache de mon pc. Hote inconnu Etape 2 : requete à mon dns : 172.16.2.1 : "quel est l'adresse de <a href="http://www.grosbedos.fr" target="_blank">www.grosbedos.fr</a> ??" Etape 3 : hote inconnu. envoi d'une requete au dns de mon provider : "quel est l'adresse de <a href="http://www.grosbedos.fr" target="_blank">www.grosbedos.fr</a> ??" Etape 4 : ... cas 1 : Ce dns connait l'adresse (cache) et il me la renvoit) ... cas 2 : Ce dns ne connait pas l'adresse, mais il a en cache l'adresse du dns autorité de la zone "grosbedos.fr ." Suivant sa config, soit il retourne à mon dns l'adresse de ton NS, soit il fait lui-même la requete vers ton NS : "ns1.grosbedos.fr" et l'adresse de ton NS, qui est FORCEMMENT ton ip publique. etape 5 (si cas 2) : Mon DNS a reçu l'adress de "NS1.grosbedos.fr", il emmet une requete DNS vers NS1.dns.fr (ton ip publique) : "quel est l'adresse de <a href="http://www.grosbedos.fr" target="_blank">www.grosbedos.fr</a> ??" (si le dns de mon provider etait en recursif, c'est lui qui ferait cette requette mais c'est peu probable) etape 6 Un paquet de requete DNS (udp port 53 a priori) arrive sur l'interface RED de ton IPCop, contenant la requete. En toute logique, tu as du configurer un transfert de ports vers l'adresse de ton serveur DNS en DMZ, disons 192.168.0.5. Ce paquet est transféré vers lui. etape 7 Ton DNS est autorité sur la zone grosbedos.fr. et il va repondre à cette requete. Il va lire le fichier de zone que tu as ecrit, et chercher une entrée "www". S'il la trouve, il la renvoie à mon DNS. Sinon, il renvoie une erreur "hote inexistant <a href="http://www.grosbedos.fr" target="_blank">www.grosbedos.fr</a>". Dans notre cas, tu as configuré une entrée "www". Et selon toute logique, tu as mis l'adresse publique de IPCop comme correspondance ! etape 8 : Mon DNS me retourne (enfin) ton adresse. Mon browser peut envoyer un paquet de connexion sur le port 80 de l'adresse qu'il a reçue : ton IP publique. Evidemment, par le transfert de ports, ce paquet est envoyé à ton serveur web. La connexion est etablie.... Ou est le problème que tu cites ??? etape 1 : je tape grosbedos.fr au lieu de <a href="http://www.grosbedos.fr" target="_blank">www.grosbedos.fr</a> toutes les autres atapes sont identiques jusqu'à l'atape 7. Là, que se passe-t-il ? Tout depend s'il y a un enregistrement canonique de zone. C'est quasiment tout le temps le cas. un exemple : IN A 10.0.1.3 sans nom d'hote. Si le serveur trouve cet enregistrement il va repondre. Sinon, il ne devrait pas repondre.7Si le serveur repond ce doit bien sur etre avec ton ip publique. Je te fais remarquer au passage que quasiment tous les sites repondent sans les www. ex : yahoo.com, ixus.net, free.fr, wanadoo.fr ...... Voila, un autre bon moyen est de créer dans ton serveur web des serveurs virtueles pour qu'il ne reponde que sur <a href="http://www.grosbedos.fr" target="_blank">www.grosbedos.fr</a> et affiche une page d'erreur sinon, voire rien du tout.... Voila, j'espère que ça a un peu eclairé... T.

par **grosbedos** » 30 Juil 2003 11:49

lol, la logique de tomtom...on aimerait tous l'avoir <IMG SRC="images/smiles/icon_wink.gif"> euh oui ca doit etre un peu pres ca..sauf que c'est un domaine dyndns, donc il ne renvoie pas vers ns1.grosbedos.fr..il ne connait pas cette adresse, il doit simplement le renvoyer vers mon IP publique, et apres le transfert de port fait le necessaire (?). euh l'etape 7, j'aurais du renseigner www avec mon adresse externe?? lol c'est pas ce que j'ai fait! (c'est vrai que si mon dns repond 10.0.X.X pour le serveur web, ca craint le paté) euh mais mon adresse est dynamique?? je vais pas changer l'adresse de www a chaque changement d'ip..(?) euh pour ce qui est des virtual serveur je prends note, merci de me consacrer un peu de temps!

par **tomtom** » 30 Juil 2003 12:25

Ton domaine est un dyndns ? ben ca sert à quoi d'avoir un serveur dns chez toi alors ? Aucun client du net ne l'utilisera de toute façon <IMG SRC="images/smiles/icon_wink.gif"> Donc ton problème ne peut pas etre resolu par le serv dns. En plus, si tu as autorisé les widcards chez dyndns, nimportekoi.grosbedos.fr fonctionnera aussi bien que <a href="http://www.grosbedos.fr." target="_blank">www.grosbedos.fr.</a> Le seul moyen est d'utiliser les serveurs virtuels d'apache. <A HREF="http://www.linux-sottises.net/serveurs_virtuels.php" TARGET="_blank">Suis le guide !</A> T.

par **grosbedos** » 30 Juil 2003 12:59

ok merci bcp tomtom... c'est vrai que n'importekoi.grosbedos.fr fonctionne...je savais pas! bon ben tu m'as bien eclairci la chose, thks cio ps : je suis le guide <IMG SRC="images/smiles/icon_wink.gif">

petit probleme reseau (iptables et DNS)

Qui est en ligne ?