Salut Patrice,
Patrice Karatchentzeff a écrit :
> [...]
>
>
>> Il y a 3 solutions à ton problème :
>>- si tu es geek un peu joueur :
>> + tu installe un serveur DNS sur ta passerelle. "named" par exemple. Il
>>assurera le "relai DNS" entre les machines de l'exterieur, et tes
>>clients internes. Mais "named" étant un soft assez sensible, il convient
>>de le sécuriser à fond.
>
>
> Tu veux dire depuis le réseau local ?
Entre autre, oui
> Sur un réseau perso, on s'en
> fout un peu...
Tout dépend de la confiance que tu accordes à tes utilisateurs... :)
En fait, le problème vient surtout pour le cas où tu décides de mettre
en place du Wifi chez toi. Dans ce cas là, tu ne peux plus accorder de
confiance au réseau local, et tu est obligé de protéger le routeur vis à
vis de celui-ci.
> sinon, de l'extérieur, il suffit soit de couper l'accès
> au service DNS, soit de coupler cela avec le firewall.
Ou de faire les deux. Personnellement, c'est ce que je fais. Ma
documentation http://olivieraj.free.fr/fr/linux/information/firewall/
est justement basé sur cette technique :
- Partie II (
http://olivieraj.free.fr/fr/linux/information/firewall/fw-02-05.html ) :
Restriction de l'accès aux démons de la machine, et mettant en place un
contrôle au niveau des démons eux-même.
- Partie III (
http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-06.html ) :
Mise en place du firewall (netfilter)
C'est la protection "ceinture ET bretelles" :)
>> + tu le configure pour qu'il connaisse les machines de ton réseau (ca,
>>c'est un "plus" sympa).
>> + tu le fait tourner dans un chroot, afin de le protéger un peu (c'est
>>du "plus-plus" sympa)
>> + tu configures named et dhcpd (le serveur DHCP) pour qu'ils
>>communiquent ensemble. Ainsi, losqu'un client DHCP demande une adresse
>>IP, son nom est rajouté à ceux que connaît déjà "named", et une autre
>>machine de ton LAN peu retrouver le nom du nouveau client. Ca c'est du
>>"plus-plus-plus" fun... ;) (*)
>
> C'est sympa : je vais voir...
Je peux t'envoyer mes fichiers de configuration si tu veux.
>>- si tu est un peu pressé, tu configures le serveur DHCP que tu as
>>installé sur la passerelle, afin qu'il renvoit les IP des DNS de ton
>>FAI. Exemple :
>>
>># Reseau interne 192.168.1.0/24
>>subnet 192.168.1.0 netmask 255.255.255.0 {
>>
>> # Configuration réseau
>> option subnet-mask 255.255.255.0;
>> option broadcast-address 192.168.1.255;
>>
>> # default gateway
>> option routers 192.168.1.50;
>> option domain-name-servers 213.228.0.168 212.27.32.5;
>>
>> range dynamic-bootp 192.168.1.128 192.168.1.254;
>> default-lease-time 21600;
>> max-lease-time 43200;
>>
>> # Le serveur DHCP informe qu'il connaît la topologie du réseau
>> # et que tout autre adresse IP sur ce segment est fausse
>> authoritative;
>>}
>>
>>Le truc important, c'est le "option domain-name-servers 213.228.0.168
>>212.27.32.5;". Il renverra au client DHCP la liste des serveurs DNS de
>>Free. Le client dhcp ("pump", "dhclient", etc..) modifiera le
>>"/etc/resolv.conf" avec ces valeurs-la.
>
>
> oui, c'est ce que j'ai fait pour avancer...
>
> Mais cela est un moindre mal. Cela suppose que les DNS envoyés à la
> passerelle sont toujours fixes... or, si le serveur DNS qui pilote la
> connexion de la passerelle (en l'occurence la Freebox) changer les IP,
> cela merdoie. Bon, c'est un peu pathologique comme cas mais c'est une
> question de propreté :)
C'est effectivement le problème de cette solution. D'un autre coté, tu
peux facilement écrire un script qui met à jour ton /etc/dhcpd.conf en
fonction de ce que ta passerelle a d'écrit dans le /etc/resolv.conf
(fichier étant lui-même mis à jour par le client DHCP de ta passerelle,
ou de sa connexion pppoe).
Il y a quelques années, Free était assez pénible, car il changeait
régulièrement les adresses IP de ses DNS. Mais depuis, cela s'est calmé.
Mais d'une manière générale, un FAI n'a pas trop intérêt à changer
l'adresses IP de ses DNS, afin d'éviter que cela perturbe les
paramétrages réseau des ses clients. J'utilise épisodiquement du Wanadoo
depuis 7 ans, et je n'ai jamais vu un seul changement d'adresse IP de DNS.
>>"man dhcpd.conf" et recherche "domain-name-servers".
>>
>>- dernière solution : Tu cherches vraiment la complexité, et tu fais du
>>port-forwarding entre le port UDP/53 interne de ta passerelle, et le
>>port UDP/53 de l'un des DNS de ton FAI. Mais là, c'est vraiment chercher
>>la complexité...
>
>
> À la limite, cela répond à ma question précédente :)
C'est quand même la pire des solutions :
- Avec cela, tu ne peux configurer que UN seul DNS. Si le DNS principal
de Free tombe en rade, ton réseau local ne pourra plus aller sur
Internet, car il n'aura aucun moyen de contacter le DNS secondaire de Free
- Si Free change les adresses IP de ses DNS, tu devras reconfigurer ton
script iptables (pour le port forwarding). Par rapport à la solution
DHCP ci-dessus, c'est aussi pénible... ;)
En fait, si tu veux une solution qui marche tout le temps il te faut
mettre en place un DNS sur la passerelle. C'est à dire la 1ère solution.
A plus,
Olivier
--
~~~~~~~ _____/\_____ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix / _ \/ _ \ Olivier Allard-Jacquin
/ / \ / \ \ Web: http://olivieraj.free.fr/
/___/ / \ \___\ Mail: olivieraj@???
~~~~ ///// ///\\\ \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!