La Fibre
Télécom => Réseau => TCP/IP / Fonctionnement des réseaux => Discussion démarrée par: evr le 01 novembre 2017 à 20:06:59
-
Bonjour,
J'ai un soucis avec mon serveur DNS Bind : ce que je veux c'est qu'il résolve toutes mes requêtes SAUF celles d'un domaine "toto". Celles-là il doit les transmettre à 10.0.0.1 (le serveur DNS faisant autorité du .toto (NB : oui il s'agit d'un domaine "non conforme" car par en .fr ou .com)).
Je pensais régler le problème simplement en forwardant la zone :
zone "toto" {
type forward;
forward only;
forwarders { 10.0.0.1; };
};
Mais ça ne fonctionne pas comme prévu : "dig machine.toto" ne me répond rien ; il va interroger les DNS root, ce qui ne retourne évidemment rien (vu avec l'option "+trace")
Il y a sûrement quelque chose qui m'échappe car il me semblait que les zones de type "forward" étaient exactement conçues pour ce genre d'utilisation.
-
Il te manque un point derrière "toto" ?
-
Il te manque un point derrière "toto" ?
Bonjour Optix,
Je ne crois pas, la zone en question contient les enregistrements *.toto
Dans le doute j'ai essayé de la déclarer en 'zone "toto." {' , mais ça ne répond pas plus.
(essayé aussi 'zone "toto" IN {' mais sans surprise ce mot-clé ne change rien)
-
Mais du coup, tu utilises Bind comme résolveur ?
Pour ce genre d'utilisations, il est recommandé de passer sous Unbound.
Voilà un exemple de conf Unbound pour un forward de zone.
local-zone: "10.in-addr.arpa." transparent
forward-zone:
name: "10.in-addr.arpa."
forward-host: ns-lyn.milkywan.space
forward-host: ns-dc3.milkywan.space
forward-host: ns-sbg.milkywan.space
forward-host: ns-css.milkywan.space
-
Mais du coup, tu utilises Bind comme résolveur ?
Oui tout à fait : résolveur de tous les domaines excepté le .toto qu'il doit^W devrait forward.
J'ai vu qu'Unbound était recommandé un peu partout sur les forums/blogs, mais dans la mesure du possible j'aimerai réussir à faire marcher mon bousin sous bind.
-
Well, chez moi ça marche:
zone "thepiratebay.org" {
type forward;
forwarders {8.8.8.8;8.8.4.4;};
forward first;
};
:P ;D
-
Pour en avoir le cœur net, j'ai testé en spoofant le domaine toto.fr ; sur mon forwarder :
zone "toto.fr" {
type forward;
forward only;
forwarders { 10.0.0.1; };
};
... et sur le DNS pseudo-authoritative (10.0.0.1), j'ai passé mon domaine "toto" en "toto.fr". Les requêtes de toto.fr sont bien résolues depuis mon DNS forwarder maintenant.
Est-ce bind qui ne considère pas les NDD non conformes (comme "toto", sans TLD) ? Est-ce qu'un érudit du DNS aurait une explication permettant de mettre le résultat de ce test au crédit d'autre chose que du doigt mouillé ? :)
-
NB : pourtant si je force la résolution via mon DNS cible depuis mon DNS forwarder, ça résoud :
dig @10.0.0.1 whatever.toto
[..]
;; ANSWER SECTION:
whatever.toto. 3600 IN A 10.0.0.100