Auteur Sujet: Serveurs DNS alternatifs  (Lu 45325 fois)

0 Membres et 1 Invité sur ce sujet

corrector

  • Invité
Serveurs DNS alternatifs
« Réponse #72 le: 24 septembre 2015 à 05:17:05 »
Effectivement ça fait peur, sinon tu as Stéphane BORTZMEYER qui explique en détails le fonctionnement du protocole DNS

Très bonne observation "le DNS est un détail technique pour utiliser les noms de domaines"

Je connais quelqu'un qui avait configuré une zone DNS pour son réseau local mais qui ne comprenait même pas la nature hiérarchique du DNS : il croyait que free.fr était un nom défini et dont l'existence provenait d'un serveur aux USA.

Je pense que beaucoup de profs commencent par parler du format des paquets ou du port UDP avant d'expliquer ce qu'est un domaine!

badmaniak

  • Abonné SFR fibre FttH
  • *
  • Messages: 76
  • Fibre FTTH 1Gb/s sur Montgeron (91)
Serveurs DNS alternatifs
« Réponse #73 le: 24 septembre 2015 à 10:02:39 »
Le schéma n'est pas très bon, il ne montre aucune adresse IP d'un DNS.

Le DNS sert avant tout à trouver les adresses IP des DNS!

Effectivement le schéma semble incomplet sur les réponses 3 et 5, il manque l'Ip.

turold

  • Profil non complété
  • ******
  • Messages: 1 683
  • mp fermée (sauf admin et exceptions temporaires)
Serveurs DNS alternatifs
« Réponse #74 le: 24 septembre 2015 à 16:41:54 »
Effectivement le schéma semble incomplet sur les réponses 3 et 5, il manque l'Ip.
De plus, selon la vidéo (que j'ai regardé la nuit dernière), pour une requête vers un .org, il n'y a pas de passage sur le NS des .info. Ce qui me parait plus logique dans la vidéo.

Bon, sinon, après le combat des utilisateurs de OpenDNS vs Google (vs d'autres).
En IP dynamique, OpenDNS est une vraie merde dans sa façon de nous faire gérer dans l'espace utilisateur du site. Il y a quelques années, j'avais déjà détesté alors qu'il n'y avait aucune redirection à l'époque vers de la pub, mais déjà des blocages signés OpenDNS. Pour du OpenDNS, c'était déjà éliminatoire pour moi. En effet, quand on va dans son espace utilisateur OpenDNS (dans le site officiel donc), si on est sur une IP publique pas encore "administrée pour autoriser/bloquer des catégories entières de sites" par un autre utilisateur, on peut donc s'approprier cette IP dans OpenDNS à vie. J'ai accumulé comme ça des dizaines d'IP... avec une seule connexion en IP dynamique 3G. Et en général, la moitié du temps, impossible de l'ajouter dans mon espace OpenDNS... et j'étais alors bloqué vers une partie de l'internet (il n'y pas que le sexe dans les catégories d'OpenDNS, mais aussi les sites de jeux d'argent, ou encore les sites de jeux en général, sic, et etc).

Maintenant, c'est BIND vs Unbound (vs d'autres)....

Stéphane Bortzmeyer à l'air de trouver qu'Unbound est une alternative sérieuse à BIND, et la plus utilisée des alternatives (2ème après BIND):
Citer
Le résolveur DNS le plus courant, dans le monde du logiciel libre, est BIND. Mais il est toujours bon qu'il existe des alternatives sérieuses, pour faire face à toute éventualité. Le deuxième résolveur DNS le plus utilisé est sans doute Unbound.
http://www.bortzmeyer.org/unbound.html

La seule comparaison que j'a trouvé est dans le Wikipedia anglophone (mais un peu incomplet, voir les cases en gris, et il manque de source, surtout pour des "Partial"):
https://en.wikipedia.org/wiki/Comparison_of_DNS_server_software#Feature_matrix

Pour le moment, entre ces 2 là, j'ai installé Unbound. Mais pas encore utilisé, juste le peu de configuration dont j'ai besoin pour un éventuel usage.

badmaniak

  • Abonné SFR fibre FttH
  • *
  • Messages: 76
  • Fibre FTTH 1Gb/s sur Montgeron (91)
Serveurs DNS alternatifs
« Réponse #75 le: 24 septembre 2015 à 16:57:40 »
le serveur faisant autorité pour .org dans le schéma  est un .info comme il aurait pu être un .toto mais en fait on s'en fou, l'importance c'est l'adresse Ip donnée par le serveur racine pour contacter le serveur faisant autorité pour .org (et qui n'apparait pas dans le schéma).
Donc on ne consulte pas les serveurs faisant autorité de .info pour pour avoir du .org, ça c'est sur cela n'aurait aucun sens.

 Je ne sais pas si j'ai été claire  ;D


Perso j'utilise Bind (par habitude), après il y a encore plus simple au niveau de la configuration "dnsmasq" par exemple.

turold

  • Profil non complété
  • ******
  • Messages: 1 683
  • mp fermée (sauf admin et exceptions temporaires)
Serveurs DNS alternatifs
« Réponse #76 le: 24 septembre 2015 à 17:17:33 »
le serveur faisant autorité pour .org dans le schéma  est un .info comme il aurait pu être un .toto mais en fait on s'en fou, l'importance c'est l'adresse Ip donnée par le serveur racine pour contacter le serveur faisant autorité pour .org (et qui n'apparait pas dans le schéma).
Donc on ne consulte pas les serveurs faisant autorité de .info pour pour avoir du .org, ça c'est sur cela n'aurait aucun sens.

 Je ne sais pas si j'ai été claire  ;D
En gros, je me suis attaché à un détail fictif, juste pour ajouter une requête pour donner un exemple au hasard, pas forcèment réelle dans les étapes. Juste la démarche générale qui est importante dans ton image.

Perso j'utilise Bind (par habitude), après il y a encore plus simple au niveau de la configuration "dnsmasq" par exemple.
D'après la légende, il n'est même pas récursif. :o Ou alors les noms de fonctions sont trop résumés en anglais...
Et il n'est pas sous Windows, donc pas pour moi.^^
Par contre, que ce soit BIND, Unbound, dnsmasq, et certainement d'autres logiciels DNS, il y a quelque chose que je ne comprends pas (un peu de HS désolé):
Ils se disent compatible Mac OS X (via le Wikipedia "en", un tableau plus bas dans mon lien) mais pas de .dmg sur leurs sites officiels.
Les anglophones auraient un logiciel qui compile ou convertit facilement de .tar.gz vers .dmg? Ou simple excès de zèle d'une communauté Wikipédia, comme il y en a dans d'autres langues?

vivien

  • Administrateur
  • *
  • Messages: 46 993
    • Twitter LaFibre.info
Serveurs DNS alternatifs
« Réponse #77 le: 24 septembre 2015 à 18:29:03 »
Du moment qu'il est possible de compiler, le logiciel est dit compatible.

De nombreux logiciels sont compatibles MacOS X mais il faut les compiler soit-même.

C'est pour cela que j'ai mis un site web pour proposer des versions compilées de iperf : https://iperf.fr/iperf-download.php

badmaniak

  • Abonné SFR fibre FttH
  • *
  • Messages: 76
  • Fibre FTTH 1Gb/s sur Montgeron (91)
Serveurs DNS alternatifs
« Réponse #78 le: 24 septembre 2015 à 19:02:45 »
D'après la légende, il n'est même pas récursif. :o Ou alors les noms de fonctions sont trop résumés en anglais...
Et il n'est pas sous Windows, donc pas pour moi.^^
Par contre, que ce soit BIND, Unbound, dnsmasq, et certainement d'autres logiciels DNS, il y a quelque chose que je ne comprends pas (un peu de HS désolé):
Ils se disent compatible Mac OS X (via le Wikipedia "en", un tableau plus bas dans mon lien) mais pas de .dmg sur leurs sites officiels.
Les anglophones auraient un logiciel qui compile ou convertit facilement de .tar.gz vers .dmg? Ou simple excès de zèle d'une communauté Wikipédia, comme il y en a dans d'autres langues?
Effectivement il n'est pas recursif, j'avoue aussi ne l'avoir jamais utilisé en tant que tel.
Sinon  je tourne sur Linux sur tous mes pc et  serveurs, je ne me suis jamais posé la question pour la compatibilité ...après peut être qu'ils parlent de compatible en tant que client.


thenico

  • Expert.
  • Abonné OVH
  • *
  • Messages: 1 009
  • FTTH >500 Mb/s (13)
Serveurs DNS alternatifs
« Réponse #79 le: 24 septembre 2015 à 21:02:02 »
Par contre, que ce soit BIND, Unbound, dnsmasq, et certainement d'autres logiciels DNS, il y a quelque chose que je ne comprends pas (un peu de HS désolé):
Ils se disent compatible Mac OS X (via le Wikipedia "en", un tableau plus bas dans mon lien) mais pas de .dmg sur leurs sites officiels.
Les anglophones auraient un logiciel qui compile ou convertit facilement de .tar.gz vers .dmg? Ou simple excès de zèle d'une communauté Wikipédia, comme il y en a dans d'autres langues?
Non, il faut juste compiler le logiciel des sources :)
Si tu n'as pas envie, Homebrew automatise les choses ...

corrector

  • Invité
Serveurs DNS alternatifs
« Réponse #80 le: 25 septembre 2015 à 04:11:09 »
Serveur DNS de tiers 1/2/3 ça veut rien dire, il n'y a pas de hiérarchie des résolvers. C'est pas du NTP. Et même en ntp, on dit strate.
Bien sur que si!

Il y a une hiérarchie :

- le résolveur du navigateur (qui a son propre cache)
interroge
- le résolveur de l'OS (qui a son propre cache)
interroge
- le résolveur de type "dnsmasq" du routeur (qui a son propre cache)
interroge
- les "serveurs DNS" (DNS récurseurs) du FAI font cache
qui vont chercher les infos à la sources :
- sur des serveurs n'autorisant pas la récursion

corrector

  • Invité
Serveurs DNS alternatifs
« Réponse #81 le: 25 septembre 2015 à 04:34:29 »
Alors tous les BAC+2 français en informatique sont dans le faux.
Si ce que tu racontes correspond à ce qu'on t'a enseigné, alors oui, carrèment, et assez sérieusement faux.

Et il n'y a qu'à faire une rapide recherche sur internet pour voir plein de "DNS tiers" et un chiffre.
C'est juste pour info.
Peut être, et en partant du principe que ça a un sens de parler en ces termes, ce que tu as cru comprendre est quand même faux.

Ensuite, pas été plus loin dans le DNS, mais on m'a dit qu'il y avait (et ce dans 2 formations différentes tout de même):
- des serveurs DNS uniquement pour dire quels sont les IP des serveurs DNS de chaque TLD (tiers 0)
Déjà il n'y a rien de particulier avec les TLD, ce sont juste des domaines très gros, les règles sont les mêmes à tous les niveaux.

- des serveurs DNS uniquement pour dire quels sont les IP de chaque domaine de leur TLD, sinon ça renvoie au-dessus (tiers 1, et si c'est bon comme définition, cela ressemble fortement à une hiérarchie)
Non, pas du tout. Il n'y a pas de hiérarchie là où tu en vois une.

Un serveur DNS "autoritatif" sur un domaine ne renvoie jamais au dessus. Personne ne renvoie au dessus.

Test avec un serveur de nom pour free.fr (en utilisant nslookup)

D'abord je choisis un NS :

> set type=NS
> free.fr
Serveur :   dns1.proxad.net
Address:  212.27.40.240

Réponse ne faisant pas autorité :
free.fr nameserver = freens2-g20.free.fr
free.fr nameserver = freens1-g20.free.fr

freens2-g20.free.fr     AAAA IPv6 address = 2a01:e0c:1:1599::23
freens1-g20.free.fr     AAAA IPv6 address = 2a01:e0c:1:1599::22
freens2-g20.free.fr     internet address = 212.27.60.20
freens1-g20.free.fr     internet address = 212.27.60.19
> server 2a01:e0c:1:1599::22
Serveur par défaut :   freens1-g12.free.fr
Address:  2a01:e0c:1:1599::22

Incidemment on remarque que nslookup a affiché le nom "freens1-g12.free.fr", parce qu'il a pu résoudre "2a01:e0c:1:1599::22"; en activant le débug (avant d'entrer la commande!) j'ai :

Got answer:
    HEADER:
        opcode = QUERY, id = 8, rcode = NOERROR
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 1,  authority records = 2,  additional = 0

    QUESTIONS:
        2.2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.9.9.5.1.1.0.0.0.c.0.e.0.1.0.a.2.ip6.arpa, type = PTR, class = IN
    ANSWERS:
    ->  2.2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.9.9.5.1.1.0.0.0.c.0.e.0.1.0.a.2.ip6.arpa
        name = freens1-g12.free.fr
        ttl = 85835 (23 hours 50 mins 35 secs)
    AUTHORITY RECORDS:
    ->  9.9.5.1.1.0.0.0.c.0.e.0.1.0.a.2.ip6.arpa
        nameserver = ns1.proxad.net
        ttl = 73804 (20 hours 30 mins 4 secs)
    ->  9.9.5.1.1.0.0.0.c.0.e.0.1.0.a.2.ip6.arpa
        nameserver = ns0.proxad.net
        ttl = 73804 (20 hours 30 mins 4 secs)
Si maintenant je répète cette commande server je vois :

> server 2a01:e0c:1:1599::22
------------
Got answer:
    HEADER:
        opcode = QUERY, id = 10, rcode = NOERROR
        header flags:  response, want recursion
        questions = 1,  answers = 0,  authority records = 0,  additional = 0

    QUESTIONS:
        2.2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.9.9.5.1.1.0.0.0.c.0.e.0.1.0.a.2.ip6.arpa, type = PTR, class = IN

------------
Serveur par défaut :   [2a01:e0c:1:1599::22]
Address:  2a01:e0c:1:1599::22
puisque maintenant nslookup interroge 2a01:e0c:1:1599::22 et que ce serveur ne connait pas son propre nom, puisque le domaine 2.2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.9.9.5.1.1.0.0.0.c.0.e.0.1.0.a.2.ip6.arpa est géré par les NS de type "ns*.proxad.net".

En là on voit que 2a01:e0c:1:1599::22 n'a pas dit allez voir ailleurs, allez voir plus haut. Il dit juste :
- j'accepte de répondre à cette question : rcode = NOERROR
- je ne connais aucun enregistrement de ce type : answers = 0

On peut lui demander google.com ça sera pareil :

------------
Got answer:
    HEADER:
        opcode = QUERY, id = 11, rcode = NOERROR
        header flags:  response, want recursion
        questions = 1,  answers = 0,  authority records = 0,  additional = 0

    QUESTIONS:
        google.com, type = A, class = IN

------------
------------
Got answer:
    HEADER:
        opcode = QUERY, id = 12, rcode = NOERROR
        header flags:  response, want recursion
        questions = 1,  answers = 0,  authority records = 0,  additional = 0

    QUESTIONS:
        google.com, type = AAAA, class = IN

------------

C'est demander une information à un soviétique. Il ne te donne que l'informatique qu'il doit te donner d'après le règlement. Et si tu lui demandes où est le bureau d'information, il te répond qu'il n'est pas un bureau d'information.

corrector

  • Invité
Serveurs DNS alternatifs
« Réponse #82 le: 25 septembre 2015 à 05:29:33 »
Autre test avec un serveur de noms de Google :

> free.fr
Serveur :   ns1.google.com
Address:  216.239.32.10

------------
Got answer:
    HEADER:
        opcode = QUERY, id = 15, rcode = REFUSED
        header flags:  response, want recursion
        questions = 1,  answers = 0,  authority records = 0,  additional = 0

    QUESTIONS:
        free.fr, type = A, class = IN

------------
------------
Got answer:
    HEADER:
        opcode = QUERY, id = 16, rcode = REFUSED
        header flags:  response, want recursion
        questions = 1,  answers = 0,  authority records = 0,  additional = 0

    QUESTIONS:
        free.fr, type = AAAA, class = IN

------------
Le serveur de Google n'ayant pas autorité, il refuse de répondre concernant free.fr : rcode = REFUSED

Il ne "renvoie" pas ailleurs, c'est au résolveur de rechercher au bon endroit.

corrector

  • Invité
Serveurs DNS alternatifs
« Réponse #83 le: 25 septembre 2015 à 05:36:34 »
En gros, je me suis attaché à un détail fictif, juste pour ajouter une requête pour donner un exemple au hasard, pas forcèment réelle dans les étapes. Juste la démarche générale qui est importante dans ton image.
D'après la légende, il n'est même pas récursif. :o Ou alors les noms de fonctions sont trop résumés en anglais...
D'après la doc :
Citer
The DNS subsystem provides a local DNS server for the network, with forwarding of all query types to upstream recursive DNS servers and cacheing of common record types (A, AAAA, CNAME and PTR, also DNSKEY and DS when DNSSEC is enabled).
ce n'est pas du tout un vrai serveur DNS récursif, c'est un simple proxy qui se présente comme un serveur récursif mais qui a besoin d'un vrai serveur récursif en amont pour faire la résolution.