Je vous expose mon probleme de DNS. Mon Bind actuel sert de DNS interne à mon entreprise, et fait des forwards sur Internet pour les zones qu'il ne gère pas.
Voila à quoi ressemble la configuration:
Fichier 1.db
- Code: Tout sélectionner
TTL 86400
@ IN SOA 1er.sous.domaine.com. root.1er.sous.domaine.com. (
1 ; serial,
8H ; refresh, seconds
2H ; retry, seconds
1W ; expire, seconds
1D ) ; minimum, seconds
;
NS ns.1er.sous.domaine.com.
A 192.168.1.1
server1 A 192.168.1.1
server2 A 192.168.1.2
ns A 192.168.10.1
Fichier 2.db
- Code: Tout sélectionner
TTL 86400
@ IN SOA 2eme.sous.domaine.com. root.2eme.sous.domaine.com. (
1 ; serial
8H ; refresh, seconds
2H ; retry, seconds
1W ; expire, seconds
1D ) ; minimum, seconds
;
NS ns.2eme.sous.domaine.com.
A 192.168.1.1
server1 A 192.168.2.1
server2 A 192.168.2.2
ns A 192.168.10.1
dans mon named.conf, les 2 zones sont définies a part:
Fichier named.conf
- Code: Tout sélectionner
zone "1er.sous.domaine.com" {
type master;
file "1.db"
};
zone "2eme.sous.domaine.com" {
type master;
file "1.db"
};
zone "."{
file "root.cache";
};
Ainsi mon bind ne gere pas la zone "domaine.com", du coup dès qu'une requete pour xxx.domaine.com est faite, qui ne correspond pas à quelquechose.1er.sous.domaine.com ou quelquechose.2eme.sous.domaine.com, la requete est forwadée via internet.
Je sais, je sais ce n'est pas très propre, ce n'est pas comme ca qu'on doit architecturer les DNS internes, mais néanmoins c'était comme ca quand je suis arrivé dans la boite ou je bosse actuellement. Et justement je compte bien arranger un petit peu cela, d'autant plus qu'un malin a acheté recement "domaine.com", donc si un de me serveurs internes fait une requete vers un nom en domaine.com qui ne correspond pas à l'une des 2 zones de mes DNS, il va obtenir une adresse I.P Internet, c'est pas génial niveau sécurité.
Je ne peux pas changer tout le nommage DNS interne de mon entreprise, il y a trop d'impacts au niveau de la configuration des serveurs et des applications. Une solution propre aurait été de changer "domaine.com" en "domaine.interne", comme ca pas de lien possible avec Internet. Je concois que c est ce qu'il y a de mieux, mais hélas pas réalisable pour l'instant. Mon but pour l'instant est de faire en sorte qu'il ne soit pas possible d'obtenir une adresse I.P Internet en requetant "quelquechose.domaine.com"
Solution 1
Il me semble qu'une solution consiste à fusionner toutes les zones en 1 seule zone "domaine.com", ce qui donnerait:
Fichier new.db
- Code: Tout sélectionner
TTL 86400
@ IN SOA domaine.com. root.domaine.com. (
1 ; serial,
8H ; refresh, seconds
2H ; retry, seconds
1W ; expire, seconds
1D ) ; minimum, seconds
;
NS ns.domaine.com.
A 192.168.1.1
ns A 192.168.10.1
$ORIGIN 1er.sous.domaine.com
server1 A 192.168.1.1
server2 A 192.168.1.2
ns A 192.168.10.1
$ORIGIN 2eme.sous.domaine.com
server1 A 192.168.2.1
server2 A 192.168.2.2
ns A 192.168.10.1
en changeant mon named.conf en:
named.conf.sol1
- Code: Tout sélectionner
zone "domaine.com" {
type master;
file "new.db"
};
zone "."{
file "root.cache";
};
Le problème est que j'ai beaucoup de sous-domaines, et que j'aimerais éviter de tout redefinir, surtout étant donné que je suis sur un réseau de prod et qu'il ne faut pas faire de $%#&!
J'ai pensé, pour faire + simple, RAJOUTER la zone "domaine.com", en + des 2 zones existantes actuellement:
Fichier named.conf.solution2
- Code: Tout sélectionner
zone "1er.sous.domaine.com" {
type master;
file "1.db"
};
zone "2eme.sous.domaine.com" {
type master;
file "1.db"
};
zone "domaine.com" {
type master;
file "dom.db"
};
zone "."{
file "root.cache";
};
Fichier dom.db
- Code: Tout sélectionner
TTL 86400
@ IN SOA domaine.com. domaine.com. (
1 ; serial
8H ; refresh, seconds
2H ; retry, seconds
1W ; expire, seconds
1D ) ; minimum, seconds
;
NS ns.domaine.com.
A 192.168.10.1
ns A 192.168.10.1
Mais, dans la solution 2, cette nouvelle zone ne risque elle pas d'inhiber totalement la définition des 2 zones précedentes ?
Voila ma question en fait .
Des idées ? d'autres solutions ? Des remarques ? N'hesitez pas ! et merci d'avance pour vos éventuelles réponses.
