(Courriels de diversion: <retardions@epaula-violentees.com> <combinais@reinvesti-amadouerait.com> <depeigne@rodailler-agrement.com> <crachez@inexpliques-versees.com> <recensera@pavanerait-peuplerions.com> <entêterais@ballets-constants.com> <gronderais@apprêterai-bricole.com> <craindrions@suffocations-bifurquerez.com> <calligraphiant@persevererions-sertissiez.com> <bloqueront@edifierez-media.com> )


 il y a encore une autre possibilite :

Faire en sorte que bind ne se binde que sur l'IP interne

C'est encore plus secure puisque le port 53 ne sera pas ouvert
sur l'IP publique. 

Je sais pas si je suis clair la ;)

Pour cela, dans named.conf ajouter dans la section options :

	listen-on { 127.0.0.1; l_ip_interne; }; 



On Wed, Jul 25, 2001 at 11:02:37PM +0200, Xavier Montagutelli wrote:
> On Wed, 25 Jul 2001, Olivier Rossel wrote:
> 
> > Sur un reseau local ou le DNS est lance sur la machine qui sert de routeur,
> > je voudrais que le DNS ne fournisse pas a l'exterieur les tables IP
> > du reseau interne.
> >
> > Comment faire?
> > A priori, le DNS va repondre indifferemment sur les 2 adresses IP.
> > Donc un exterieur risque de connaitre les adresses IP
> > internes en interrogeant le DNS.
> >
> > Comment eviter cela?
> 
> Plusieurs solutions à différents niveaux (qui peuvent se cumuler) :
> 
> o) filtrer sur l'interface publique le port qui sert aux interrogations du
> DNS
> domain          53/tcp          nameserver      # name-domain server
> domain          53/udp          nameserver
> 
> o) configurer ton BIND pour ne répondre qu'à certainnes machines
> 
> /etc/named.conf (Bind version 8) :
> 
> acl "adresseinternes" {
>         10.0.0.0/8;
> }
> 
> zone "ma.zone.interne" {
> [..]
>         allow-query {
>                 adresseinternes;
>         };
> }
> 
> Mais la protection par le masquage ("je ne veux pas que les adresses IP
> soient visibles dans le DNS") ne te garantie pas grand chose comme
> sécurité (à mon avis).
> 
> [ Xavier Montagutelli          `""'                                   ]
> [ INSA Toulouse                0--0                                   ]
> [               ---------oOOo---()---oOOo----------                   ]
> [ Dpt de Math / Service Informatique  Tel: +33 5 61 55 93 38 / 67     ]
> [ 135, Avenue de Rangueil             Fax: +33 5 61 55 93 20 / 60     ]
> [ 31077 Toulouse Cedex 4              Mel: montagut@gmm.insa-tlse.fr  ]> 
> 
> ---------------------------------------------------------------------
> Aide sur la liste: <URL:mailto:linux-31-help@CULTe.org>> Le CULTe sur le web: <URL:http://www.CULTe.org/>

-- 
Sébastien BLON
sebastien@blon.net
	Clef PGP publique (disponible sur www.keyserver.net) 
pub  1024D/66E5B5E9 2000-06-28 Sebastien BLON (Iceman 51) <sebastien@blon.net>     Key fingerprint = 0CE7 CCBB 7473 A299 F5D3  4C2A 21A7 3785 66E5 B5E9

---------------------------------------------------------------------
Aide sur la liste: <URL:mailto:linux-31-help@CULTe.org>Le CULTe sur le web: <URL:http://www.CULTe.org/>