Bonjour,
 
J'ai un serveur DNS sur ma machine qui gére mon domaine. Le port 53 est donc ouvert en TCP et UDP  en 0.0.0.0:53
 
J'ai quelques questions concernant cette configuration :
 
Est il nécessaire de laisser les deux ports ouverts ?
 
Comment empécher tous le monde de venir questioner mon DNS sur le reste du monde (par exemple n'importe qui peut faire une requete sur www.google.com sur mon serveur...) ? (ACL ?)
 
Merci

Tu n'as besoin de TCP que pour les transferts de zone, les "grosses" requetes DNS ou lorsqu'une requête UDP échoue.
 
Maintenant la question est de savoir comment est installé ton serveur et dans quel type d'infrastructure réseau... A priori, un particulier le mettrait dans son LAN derrière un routeur/firewall qui fait du NAT et il redirigerait les ports...  
 
Si c'est ton cas, alors dans la configuration de BIND tu peux lui préciser d'écouter uniquement sur l'interface coté LAN (ca c'est si ton serveur est sur le PC qui te sert de routeur/firewall) sinon la configuration se fait au niveau du firewall. Il doit probablement être stateful, donc tu autorises le trafic sortant vers le port 53 uniquement et tu n'autorises rien en entrant, et pas de redirection NAT du port 53 vers le serveur puisqu'a priori, tu n'as pas l'air de vouloir que les gens de l'extérieur y accède...

Non c'est un serveur avec adresse ip public gérant un nom de domaine pour mon site web (entre autres)
 
j'ai commencé par mettre :
 
        allow-recursion {
                localhost;  
        };
        allow-transfer{
                xx.xx.xx.xx;
        };
 
Mais les machines ont toujours accés au cache dns

 
( http://www.isc.org/sw/bind/arm93/B [...] ml#options )
 
Vide le cache et ça ira mieux

Tiens je profite de ce sujet pour demander a quelqu'un de tester pour moi mon DNS , pour voire s'il ne delivre bien que les info. sur mon domaine et rien d'auter , meme si je pense avoir bien config. Bind9 , en regardant mes logs. , j'ai une impression bizzard .
 
Donc si vous pouviez tester une requete sur ns0.su7.net svp , merci  

Ca résoud par contre tu n'as pas du authoriser les ping. Et j'ai une erreur 403 sur l'accès web.

 
http://www.dnsreport.com fait ce test, plus plein d'autres vraiment utiles.

J'en etais sur , par contre je ne comprends pas pourquoi.

Ca a l'air bien configuré , mais je n'ai aucun outil pour tester depuis l'exterieur si la recursion fonctionne , ou bien si c'est parce que la demande faite par le client etait deja stocké dans le cache de mon DNS .

Pour le ping , je ne l'authorise pas  , et pour l'acces web , essaye www.su7.net ;b

EDIT : apres qlq. test , j'ai bien l'impression que la recursion "exterieur" viens du fait que c'etait deja en cache , mais je n'ai pas d'acces exterieur a mon LAN pour tester ca .

 
 
Merci , je connais deja ce site , je l'ai utilisé pour conf. mon DNS , mais il ne permet pas de faire une requete sur son DNS .

hello, ton site marche bien effectivement sinon tu utilises quoi pour mettre en place ta radio ?
tres bonne selection    
Pour tes dns quelques test depuis chez moi si ca peut taider ...
 
dig -x su7.net
 

 
 
 
nslookup su7.net

 
J'utilise icecast2+ices2 sous debian , tres simple a mettre en place .
.
 
Sinon , si tu peux juste faire un :
 

 
et me renvoyer ce qui en sort ... Je vais restart mon serveur pour vider le cache

hopla

n'hesite pas si tu veut d'autre tests ...

Ok , merci , ca confirme bien que mon serveur ne fait pas de recursion pour des clients exterieurs

oui, mais il teste si les serveurs DNS autorisent les requetes récursives.

 
ok , merci , j'avais un doute sur ce msg. ( mon anglais n'est pas tres bon ) .

Bonjour,  
 
je me permets de remonter ce poste, mon problème est dans la lignée de celui-ci.
 
J'ai un serveur dns, avec une partie interne, et une partie externe.
 
J'ai configuré le serveur de façon à ce que les utilisateurs de mon domaines puissent faire des résolutions récursives sur mon serveur dns, ce qui fonctionne parfaitement.  
 
par contre, je n'arrive à limiter que partiellement les requêtes récursives venant de l'extérieur. Avec les paramètres suivants:
 
recursion no;
        allow-recursion {none;};
        additional-from-auth no;
        additional-from-cache no;
Je dis partiellement, parce que si une personne externe fait une requête sur mon serveur dns, celui-ci le renvoie vers les serveurs ROOT sauf si l'information demandé se trouve dans son cache auquel cas, il fourni l'information.  Je ne trouve pas comment limiter l'accès à mon cache.
 
Pour info, je suis sur une debian sarge avec 9.2.4-1sarge1. Les mêmes directives appliquées sur un autre serveur dns tournant sur Redhat et une version plus ancienne de bind fonctionnent correctement.  
 
Merci d'avance pour toute piste donnée.

tu utilises les views?

bonjour, j'utilise en effet les views. Je mets ici un extrait de ma config
view "internal" {
        match-clients { 10.10.0.0/21; 10.10.10.0/24; 127.0.0.1;};
 
        recursion yes;
 
view "external" {
        match-clients { any; };
 
        recursion no;
        allow-recursion {none;};
        additional-from-auth no;
        additional-from-cache no;
 
Donc, pour les clients internes, pas de problèmes, ils peuvent demander à mon serveur dns de faire des requêtes pour des domaines que je ne gère pas. Les clients externes ne devraient pouvoir faire des requêtes sur mon serveur uniquement pour les domaines qu'il gère. Le hic, c'est que lorsque la réponse se trouve dans son cache, le serveur répond. J'aimerais donc bloquer l'accès au cache de mon serveur dns aux personnes de l'extérieur.

J'ai la meme conf. que toi pere Castor , mais je ne crois pas que ce soit possible. Ou bien l'option pour empecher d'envoyer une reponse a une requete qui se trouve dans le cache de bind est bien caché .

Ok .
Ceci dit j'ai peur que tu ne puisses résoudre ce problème simplement ( il faudrait soit avoir un cache/view et je ne pense pas que bind9 fonctionne ainsi ).
Concernant la configuration , je pense que le recursion no; devrait suffire a mon avis.  
Tu as tenté éventuellement de poser la question sur la mailing de ISC ? ( http://groups.google.fr/group/comp [...] ind/topics )
 
 
Bon ceci dit en lisant ceci :
http://groups.google.fr/group/comp [...] f622463f30
il me semble que je disais des conneries plus haut

Je crois que je vais en effet devoir aller consulter les mailings-listes.  
 
Merci pour votre aide.

Faudrait pas plutôt mettre les allow-* dans la directive options ?
 

 
chez moi ca marche en tout cas (requete depuis une ip en dehors du LAN)
 

il veut avoir un comportement différent selon les views .
et dans son cas notamment interdit l'accès au cache des clients d'une view donnée (ce qui d'après la doc de BIND devrait être le cas hors cela ne fonctionne pas chez lui )

je dois avoir raté quelque chose dans la configuration originelle sur ma débian.    
 
Toujours est-il que j'ai repris le projet depuis le début. Il me semble (en tous cas, je ne vois pas où est la différence), les avoirs configurés de la même façon, mais ma nouvelle installe réagit correctement. Elle ne montre plus le contenu de son cache pour les requêtes externes.
 
Merci à tous ceux qui m'ont aidés.  

fait un diff histoire de voir la différence

la seule différence que j'ai trouvé jusqu'à présent se trouve dans le fichier /etc/bind/named.local, qui contient les zones par défaut du serveur dns. Suite à un message d'erreur qui disait que les views devraient être appliquées à toutes les zones, j'avais créé une zone view "default". Je dois m'être planté dans la partie "clients-match"