Autoriser proxy dns depuis DMZ

[antarex]

Bonjour à tous... <BR> <BR>Je constate un petit problème avec MNF et son proxy DNS... <BR> <BR>Mes machines sur le lan peuvent bien utiliser le proxy DNS de mon firewall (MNF), mais par contre mes machines dans la DMZ n'y ont pas accès... <BR> <BR>Ce n'est pas un problème de shorewall (l'accès DMZ -> FW pour le DNS est bien ouvert et je parviens bien à effectuer un telnet vers le port 53 du FW). <BR> <BR>Lorsque je fais un nslookup, je constate en réalité que le Bind de la MNF me renvoye un refus de traiter ma requète... et en effet je constate dans le named.conf que seul le /24 de mon LAN se trouve dans la config allow-query et pas le /24 de ma DNZ... J'ai essayé de l'ajouter manuellement puis de redémarrer bind, mais cela n'a malheureusement pas amélioré mon problème... et en outre, à chaque modif depuis l'interface web, le fichier named.conf peut être regénéré, et donc je devrais refaire la modif à la main à chaque fois... <BR> <BR>Pour le moment, je fais utiliser à mes serveurs en DMZ un dns externe, et là pas de problème, mais j'aimerais profiter du cache du firewall. <BR> <BR>Qqun aurait une idée d'où cela peut venir ?

[Jacques-]

Autant que je me souvienne, named est chrooté dans la mnf. <BR>Vérifie que le fichier de configuration que tu as modifié est bien le bon. <BR>Pour trouver la valeur du répertoire racine de named, regarde l'option ROOTDIR dans /etc/sysconfig/named <BR> <BR>Sinon, je ne vois pas ce qui bloquerait. Autrement, tu dois avoir la possibilité de modifié l'exception DNS en provenance de la DMZ pour qu'elle soit vue de la MNF comme venant soit de localhost, soit du LAN en redirigeant la requête. <BR> <BR>Jacques

[antarex]

Bien vu... <BR> <BR>Pour résumer que ça puisse servir à d'autres : le fichier named.conf se trouve dans /var/lib/named-chroot/etc , et pour que la dmz puisse utiliser le proxy-dns, il faut ajouter la classe de la dmz dans la section allow-query <BR> <BR>En réalité, il semble que MNF ait ajouté juste l'adresse IP de l'interface DMZ, et pas la classe complete (ma DMZ est une /26, MNF a ajouté dans le named.conf l'ip 62.233.63.129 qui est l'ip de l'interface DMZ au lieu d'ajouter 62.233.63.128/26) <BR> <BR>Now, cela ressemble à un bug, qu'il vaudrait mieux corriger à la source, car à chaque modification via l'interface je risque de voir ce fichier modifié... j'ai essayé de regarder les templates utilisés par l'interface, mais je ne comprends pas bien tout... <BR> <BR>Le template named.conf semble se trouver dans /usr/share/naat/templates/etc <BR> <BR>Selon ce template, il me semble que l'IP est trouvée par cette fonction : <BR> <BR>my ($Network) = backend::util::computeLocalNetworkShortSpec ($Ip, $Mask); <BR> <BR>Comment fonctionne cette fonction, d'où pourrait venir la mauvaise conversion en network ?