Auteur Sujet: [DNS bind] forward d'un domaine privé  (Lu 9401 fois)

0 Membres et 1 Invité sur ce sujet

evr

  • Abonné Free fibre
  • *
  • Messages: 7
[DNS bind] forward d'un domaine privé
« le: 01 novembre 2017 à 20:06:59 »
Bonjour,

J'ai un soucis avec mon serveur DNS Bind : ce que je veux c'est qu'il résolve toutes mes requêtes SAUF celles d'un domaine "toto". Celles-là il doit les transmettre à 10.0.0.1 (le serveur DNS faisant autorité du .toto (NB : oui il s'agit d'un domaine "non conforme" car par en .fr ou .com)).

Je pensais régler le problème simplement en forwardant la zone :
zone "toto" {
        type forward;
        forward only;
        forwarders { 10.0.0.1; };
};

Mais ça ne fonctionne pas comme prévu : "dig machine.toto" ne me répond rien ; il va interroger les DNS root, ce qui ne retourne évidemment rien (vu avec l'option "+trace")

Il y a sûrement quelque chose qui m'échappe car il me semblait que les zones de type "forward" étaient exactement conçues pour ce genre d'utilisation.

Optix

  • AS41114 - Expert OrneTHD
  • Abonné Orne THD
  • *
  • Messages: 4 644
  • WOOHOO !
    • OrneTHD
[DNS bind] forward d'un domaine privé
« Réponse #1 le: 01 novembre 2017 à 20:26:32 »
Il te manque un point derrière "toto" ?

evr

  • Abonné Free fibre
  • *
  • Messages: 7
[DNS bind] forward d'un domaine privé
« Réponse #2 le: 01 novembre 2017 à 23:14:02 »
Il te manque un point derrière "toto" ?

Bonjour Optix,

Je ne crois pas, la zone en question contient les enregistrements *.toto
Dans le doute j'ai essayé de la déclarer en 'zone "toto." {' , mais ça ne répond pas plus.
(essayé aussi 'zone "toto" IN {' mais sans surprise ce mot-clé ne change rien)
« Modifié: 24 avril 2018 à 19:01:59 par evr »

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 423
  • Lyon (69) / St-Bernard (01)
    • Twitter
[DNS bind] forward d'un domaine privé
« Réponse #3 le: 01 novembre 2017 à 23:16:01 »
Mais du coup, tu utilises Bind comme résolveur ?

Pour ce genre d'utilisations, il est recommandé de passer sous Unbound.

Voilà un exemple de conf Unbound pour un forward de zone.

local-zone: "10.in-addr.arpa." transparent

forward-zone:
        name: "10.in-addr.arpa."
        forward-host: ns-lyn.milkywan.space
        forward-host: ns-dc3.milkywan.space
        forward-host: ns-sbg.milkywan.space
        forward-host: ns-css.milkywan.space

evr

  • Abonné Free fibre
  • *
  • Messages: 7
[DNS bind] forward d'un domaine privé
« Réponse #4 le: 02 novembre 2017 à 06:39:47 »
Mais du coup, tu utilises Bind comme résolveur ?

Oui tout à fait : résolveur de tous les domaines excepté le .toto qu'il doit^W devrait forward.

J'ai vu qu'Unbound était recommandé un peu partout sur les forums/blogs, mais dans la mesure du possible j'aimerai réussir à faire marcher mon bousin sous bind.

zoc

  • Abonné Orange Fibre
  • *
  • Messages: 4 256
  • Antibes (06) / Mercury (73)
[DNS bind] forward d'un domaine privé
« Réponse #5 le: 02 novembre 2017 à 16:50:26 »
Well, chez moi ça marche:
zone "thepiratebay.org" {
        type forward;
        forwarders {8.8.8.8;8.8.4.4;};
        forward first;
};
:P ;D


evr

  • Abonné Free fibre
  • *
  • Messages: 7
[DNS bind] forward d'un domaine privé
« Réponse #6 le: 03 novembre 2017 à 23:22:35 »
Pour en avoir le cœur net, j'ai testé en spoofant le domaine toto.fr ; sur mon forwarder :
zone "toto.fr" {
        type forward;
        forward only;
        forwarders { 10.0.0.1; };
};
... et sur le DNS pseudo-authoritative (10.0.0.1), j'ai passé mon domaine "toto" en "toto.fr". Les requêtes de toto.fr sont bien résolues depuis mon DNS forwarder maintenant.

Est-ce bind qui ne considère pas les NDD non conformes (comme "toto", sans TLD) ? Est-ce qu'un érudit du DNS aurait une explication permettant de mettre le résultat de ce test au crédit d'autre chose que du doigt mouillé ? :)

evr

  • Abonné Free fibre
  • *
  • Messages: 7
[DNS bind] forward d'un domaine privé
« Réponse #7 le: 03 novembre 2017 à 23:33:49 »
NB : pourtant si je force la résolution via mon DNS cible depuis mon DNS forwarder, ça résoud :
dig @10.0.0.1 whatever.toto
[..]
;; ANSWER SECTION:
whatever.toto.                3600    IN      A       10.0.0.100