Olivier Allard-Jacquin writes:
> Patrice Karatchentzeff a écrit :
[...]
> > Nov 5 15:44:08 belledonne named[6170]: listening on [81.56.168.155].53 (eth0)
> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> Oula ! Quelle horreur ! Ton serveur DNS écoute sur ton adresse IP
> externe !!!
>
> Que tu ais déjà netfilter d'activé sur ta passerelle ne te dispense pas
> de restreindre "named" à ta seule interface réseau local :
>
> Dans "/etc/bind/named.conf.options", rajoute :
>
> options {
> listen-on {
> 127.0.0.0/8;
> 192.168.0.1/24;
> };
> ;
oui, bien vu, merci...
[...]
> Oui : Pas la peine de te prendre la tête avec "forwarders", son
> utilisation est quelque plus complexe que ce dont tu as besoin. Voir à
> ce sujet la doc "BIND 9 Administrator Reference Manual" (ches moi:
> "/usr/share/doc/bind-9.3.1/html/Bv9ARM.ch01.html", chapitre "1.4.5.1.
> Forwarding").
>
> La seul chose que tu ais besoin, pour faire le "cache simple" que tu
> cherches, c'est ceci :
>
> options {
> 212.27.54.252;
> 213.228.0.23;
> };
>
> > Pourquoi les adresses des DNS sont
> > prises en compte avec une mauvaise syntaxe ?
>
> En fait, dans ton premier test, ce que le serveur named à compris,
> c'est ceci:
>
> options {
> 192.168.0.1/24;
> };
Non, il prend bien les adresses du DNS de Free... donc il fait alors
bien du cache sans soucis...
En fait, c'est ce que je voulais faire... et en faisant l'erreur de
syntaxe, c'est ce que j'ai fait :-) trop fort : faire justement bien
en pensant mal et en réalisant mal !
[...]
> > Pourquoi les root par
> > défaut sont mauvais ?
>
> Il te manque le fichier "named.ca", à mettre dans "/var/named" (voir
> attachement). Je n'en n'ai pas fait référence lors de mon précédent
> envoi sur la Guilde, car ce n'est normalement pas nécessaire. Ce fichier
> permet de faire que ta passerelle devienne un serveur DNS "complet", qui
> ne fait référence QUE aux "root servers", et non plus à ton FAI.
non, ils sont bien présents :
# cat /etc/bind/db.root
; <<>> DiG 9.2.3 <<>> ns . @a.root-servers.net.
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18944
;; flags: qr aa rd; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 13
;; QUESTION SECTION:
;. IN NS
;; ANSWER SECTION:
. 518400 IN NS A.ROOT-SERVERS.NET.
. 518400 IN NS B.ROOT-SERVERS.NET.
. 518400 IN NS C.ROOT-SERVERS.NET.
. 518400 IN NS D.ROOT-SERVERS.NET.
. 518400 IN NS E.ROOT-SERVERS.NET.
. 518400 IN NS F.ROOT-SERVERS.NET.
. 518400 IN NS G.ROOT-SERVERS.NET.
. 518400 IN NS H.ROOT-SERVERS.NET.
. 518400 IN NS I.ROOT-SERVERS.NET.
. 518400 IN NS J.ROOT-SERVERS.NET.
. 518400 IN NS K.ROOT-SERVERS.NET.
. 518400 IN NS L.ROOT-SERVERS.NET.
. 518400 IN NS M.ROOT-SERVERS.NET.
;; ADDITIONAL SECTION:
A.ROOT-SERVERS.NET. 3600000 IN A 198.41.0.4
B.ROOT-SERVERS.NET. 3600000 IN A 192.228.79.201
C.ROOT-SERVERS.NET. 3600000 IN A 192.33.4.12
D.ROOT-SERVERS.NET. 3600000 IN A 128.8.10.90
E.ROOT-SERVERS.NET. 3600000 IN A 192.203.230.10
F.ROOT-SERVERS.NET. 3600000 IN A 192.5.5.241
G.ROOT-SERVERS.NET. 3600000 IN A 192.112.36.4
H.ROOT-SERVERS.NET. 3600000 IN A 128.63.2.53
I.ROOT-SERVERS.NET. 3600000 IN A 192.36.148.17
J.ROOT-SERVERS.NET. 3600000 IN A 192.58.128.30
K.ROOT-SERVERS.NET. 3600000 IN A 193.0.14.129
L.ROOT-SERVERS.NET. 3600000 IN A 198.32.64.12
M.ROOT-SERVERS.NET. 3600000 IN A 202.12.27.33
;; Query time: 81 msec
;; SERVER: 198.41.0.4#53(a.root-servers.net.)
;; WHEN: Sun Feb 1 11:27:14 2004
;; MSG SIZE rcvd: 436
C'est justement ce qui est bizarre..
> Pour une configuration comme la tienne, il n'est pas nécessaire de
> dialoguer directement avec les "root servers" (il n'est pas la peine de
> les surcharger).
Tu as raison... mais ceci dit, si ma config fait ce que je veux, je
n'accèderai jamais au root... tout ce qui n'est pas mon réseau local
me sera répondu par les DNS de free...
En tout cas, merci Olivier, comme d'hab, t'es une vraie mine d'or :)
PK
--
|\ _,,,---,,_ Patrice KARATCHENTZEFF
ZZZzz /,`.-'`' -. ;-;;,_
mailto:p.karatchentzeff@free.fr
|,4- ) )-,_. ,\ ( `'-'
http://p.karatchentzeff.free.fr
'---''(_/--' `-'\_)