(Courriels de diversion: <reniflerais@lierent-vivoterait.com> <insaisissable@jeunais-engouffrons.com> <metres@fourreurs-retardions.com> <epaula@violentees-combinais.com> <reinvesti@amadouerait-depeigne.com> <rodailler@agrement-crachez.com> <inexpliques@versees-recensera.com> <pavanerait@peuplerions-entêterais.com> <ballets@constants-gronderais.com> <apprêterai@bricole-craindrions.com> )
On Wed, 25 Jul 2001, Olivier Rossel wrote:
> Sur un reseau local ou le DNS est lance sur la machine qui sert de routeur,
> je voudrais que le DNS ne fournisse pas a l'exterieur les tables IP
> du reseau interne.
>
> Comment faire?
> A priori, le DNS va repondre indifferemment sur les 2 adresses IP.
> Donc un exterieur risque de connaitre les adresses IP
> internes en interrogeant le DNS.
>
> Comment eviter cela?
Plusieurs solutions à différents niveaux (qui peuvent se cumuler) :
o) filtrer sur l'interface publique le port qui sert aux interrogations du
DNS
domain 53/tcp nameserver # name-domain server
domain 53/udp nameserver
o) configurer ton BIND pour ne répondre qu'à certainnes machines
/etc/named.conf (Bind version 8) :
acl "adresseinternes" {
10.0.0.0/8;
}
zone "ma.zone.interne" {
[..]
allow-query {
adresseinternes;
};
}
Mais la protection par le masquage ("je ne veux pas que les adresses IP
soient visibles dans le DNS") ne te garantie pas grand chose comme
sécurité (à mon avis).
[ Xavier Montagutelli `""' ]
[ INSA Toulouse 0--0 ]
[ ---------oOOo---()---oOOo---------- ]
[ Dpt de Math / Service Informatique Tel: +33 5 61 55 93 38 / 67 ]
[ 135, Avenue de Rangueil Fax: +33 5 61 55 93 20 / 60 ]
[ 31077 Toulouse Cedex 4 Mel: montagut@gmm.insa-tlse.fr ]
---------------------------------------------------------------------
Aide sur la liste: <URL:mailto:linux-31-help@CULTe.org>Le CULTe sur le web: <URL:http://www.CULTe.org/>