La Fibre
Télécom => Réseau => TCP/IP / Fonctionnement des réseaux => Discussion démarrée par: corrector le 20 avril 2012 à 21:09:56
-
Bonsoir,
Est-ce que les serveurs DNS récursifs de
- Orange
- SFR
- Free
- Bouygues Telecom
- Numericable
- Adeli
- K-Net
permettent les enregistrements spécifiant des IP privées (RFC 1918) ?
Pour le savoir, allez sur http://corrector.lafibre.info/ (http://corrector.lafibre.info/)
-
Là, j'ai un peu de mal a comprendre ta demande.
Si je configure test.lafibre.info qui pointe vers l'IP 192.168.1.2 tu souhaites savoir si le DNS d'Adeli permettra de le voir ?
-
Voilà.
-
Je t'ai crée le sous nom de domaine "corrector.lafibre.info" qui pointe vers 192.168.0.254, l'adresse par défaut de la Freebox il me semble.
Avec une Bbox fibre :
$ ping corrector.lafibre.info
PING corrector.lafibre.info (192.168.0.254) 56(84) bytes of data.
^C
--- corrector.lafibre.info ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3024ms
-
Merci. Chez Free :
La requête Ping n'a pas pu trouver l'hôte corrector.lafibre.info. Vérifiez le nom et essayez à
nouveau.
-
Je pense que cette question avait plus de chances d'attirer l'attention des adelistes sur la section Adeli!
-
Voici la réponse pour le DNS Adeli : (sans passer par une box)
$ ping corrector.lafibre.info
PING corrector.lafibre.info (192.168.0.254) 56(84) bytes of data.
From portevlan.adeli.biz (46.227.16.1) icmp_seq=1 Destination Host Unreachable
From portevlan.adeli.biz (46.227.16.1) icmp_seq=2 Destination Host Unreachable
From portevlan.adeli.biz (46.227.16.1) icmp_seq=3 Destination Host Unreachable
From portevlan.adeli.biz (46.227.16.1) icmp_seq=4 Destination Host Unreachable
^C
--- corrector.lafibre.info ping statistics ---
4 packets transmitted, 0 received, +4 errors, 100% packet loss, time 2999ms
Pour K-Net, les DNS répondent de l'extérieur, tu peux faire toi même le test :
DNS primaire : 178.250.208.37
DNS secondaire : 178.250.209.8
-
Puis-je avoir la naïveté de demander à quoi cela pourrait bien servir ?
-
Si tu as une box qui ne permet pas d'héberger des noms DNS perso (comme les Freebox, même Révolution), cela permet si on dispose d'un domaine, de mettre ses noms de machines dans un serveur DNS externe.
-
Corector, tu as fait de la pub pour ce post où ?
il y a en ce moment même 44 personnes qui lisent ce post !
-
C'est à causes de la proximité des élections.
C'est un sujet politique très chaud.
-
Pour K-Net, les DNS répondent de l'extérieur, tu peux faire toi même le test :
DNS primaire : 178.250.208.37
DNS secondaire : 178.250.209.8
Ouin :
> ns1.kwaoo.net
Serveur : ns1.kwaoo.net
Address: 178.250.208.37:53
------------
Got answer:
HEADER:
opcode = QUERY, id = 13, rcode = NOERROR
header flags: response, auth. answer, recursion avail.
questions = 1, answers = 1, authority records = 2, additional = 1
QUESTIONS:
ns1.kwaoo.net, type = A, class = IN
ANSWERS:
-> ns1.kwaoo.net
internet address = 178.250.208.37
ttl = 3600 (1 hour)
AUTHORITY RECORDS:
-> kwaoo.net
nameserver = ns1.kwaoo.net
ttl = 3600 (1 hour)
-> kwaoo.net
nameserver = ns2.kwaoo.net
ttl = 3600 (1 hour)
ADDITIONAL RECORDS:
-> ns2.kwaoo.net
internet address = 178.250.209.8
ttl = 3600 (1 hour)
ce serveur est autoritaire pour "ns1.kwaoo.net" et récursif!
Panpan culcul K-Net!
-
Vu le nombre de client, une seule machine est bien capable d'absorber la charge (et elle peut faire plein d’autre choses aussi)
J'ai monté un serveur DNS il y a un an : Pentium III et 256 Mo de ram et cela fonctionnait très bien pour quelques centaines de clients.
-
Bien sûr, et les quelques IP des DNS Proxad (dns1.proxad.fr...) ne sont pas autant d'ordinateurs mais des répartiteurs de charge vers beaucoup plus de serveurs (parfois configuré différemment!).
La pratique d'avoir un DNS proposant la récursion et la non-récursion est extrêmement déconseillée depuis très longtemps, pour des raisons de sécurité.
De plus, les serveurs DNS ouverts (genre Google DNS) ne sont pas recommandés :
RFC5358 (BCP0140) Preventing Use of Recursive Nameservers in Reflector Attacks
4. Recommended Configuration
In this section we describe the Best Current Practice for operating
recursive nameservers. Following these recommendations would reduce
the chances of any given recursive nameserver being used for the
generation of an amplification attack.
The generic recommendation to nameserver operators is to use the
means provided by the implementation of choice to provide recursive
name lookup service to only the intended clients. Client
authorization can usually be done in several ways:
o IP address based authorization.
-
Free ADSL :
Amiens_NAS> ping corrector.lafibre.info
ping: bad address 'corrector.lafibre.info'
SFR FTTH :
PARIS_NAS> ping corrector.lafibre.info
PING corrector.lafibre.info (192.168.0.254): 56 data bytes
Bon à savoir en tout cas, j'y avais pas spécialement pensé mais ça pourrait me servir !
(ceci dit pour la défense de Free, la Révolution [à minima] gérant le loopback, je pouvais chopper mon NAS en LAN via son adresse "externe")
-
Je te confirme que la v5 ne gère par le loopback (ou c'est une évolution firmware)
-
Avec SFR et une NeufBox v4 :
$ ping corrector.lafibre.info
PING corrector.lafibre.info (192.168.0.254) 56(84) bytes of data.
^C
--- corrector.lafibre.info ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 3999ms
Le serveur DNS configuré est le relay de la NeufBox v4 :
nameserver 192.168.1.1
-
Serveur : google-public-dns-a.google.com
Address: 8.8.8.8:53
Réponse ne faisant pas autorité :
Nom : corrector.lafibre.info
Address: 192.168.0.254
Il n'y a que chez Free que ça bloque!
-
Il donne l'IP, cela me semble correct.
Free répond sans l'IP il me semble.
-
Free considère qu'une telle adresse ne devrait pas apparaitre sur un DNS public, ce qui est défendable mais qui n'est pas mon avis.