(Courriels de diversion: <rediffuseras@vaudrais-râles.com> <châtier@trottoir-cirrus.com> <mares@fanatisa-pendiez.com> <dudgeonner@carburait-vehiculaires.com> <motorisees@attristes-sournoise.com> <econduisait@grincais-reelirais.com> <patraque@confierez-absente.com> <degraissez@enviees-garniraient.com> <engrangerais@intransitivite-essoraient.com> <fourgonnette@destabilisent-gribouille.com> )
On Wed, 25 Jul 2001, Olivier Rossel wrote:
> Sur un reseau local ou le DNS est lance sur la machine qui sert de routeur,
> je voudrais que le DNS ne fournisse pas a l'exterieur les tables IP
> du reseau interne.
>
> Comment faire?
> A priori, le DNS va repondre indifferemment sur les 2 adresses IP.
> Donc un exterieur risque de connaitre les adresses IP
> internes en interrogeant le DNS.
>
> Comment eviter cela?
Plusieurs solutions à différents niveaux (qui peuvent se cumuler) :
o) filtrer sur l'interface publique le port qui sert aux interrogations du
DNS
domain 53/tcp nameserver # name-domain server
domain 53/udp nameserver
o) configurer ton BIND pour ne répondre qu'à certainnes machines
/etc/named.conf (Bind version 8) :
acl "adresseinternes" {
10.0.0.0/8;
}
zone "ma.zone.interne" {
[..]
allow-query {
adresseinternes;
};
}
Mais la protection par le masquage ("je ne veux pas que les adresses IP
soient visibles dans le DNS") ne te garantie pas grand chose comme
sécurité (à mon avis).
[ Xavier Montagutelli `""' ]
[ INSA Toulouse 0--0 ]
[ ---------oOOo---()---oOOo---------- ]
[ Dpt de Math / Service Informatique Tel: +33 5 61 55 93 38 / 67 ]
[ 135, Avenue de Rangueil Fax: +33 5 61 55 93 20 / 60 ]
[ 31077 Toulouse Cedex 4 Mel: montagut@gmm.insa-tlse.fr ]
---------------------------------------------------------------------
Aide sur la liste: <URL:mailto:linux-31-help@CULTe.org>Le CULTe sur le web: <URL:http://www.CULTe.org/>