Reverse DNS pour l'IPV6

Démarré par Frank, 19 Août 2013 à 18:09:24

« précédent - suivant »

0 Membres et 2 Invités sur ce sujet

En apparte, faire un serveur DNS est vraiment simple, pour celui qui a fait un serveur de mail.
Tu devrais le faire, ça te protégeras des DNS menteurs, qui sont de plus en plus courant.
Mes propos sont le fruit exclusif de mon cerveau, et ne sont pas soumis au maître esprit.

Citation de: jack le 12 Janvier 2014 à 13:16:20
Tu as un serveur DNS ?

Oui. Détails en message privé.


Citation de: jack le 12 Janvier 2014 à 13:16:20
Tu veux une délégation de ta zone, pour faire ce que tu veux chez toi, ou tu souhaites juste un PTR (mauvaise idée) ?

Délégation de mon /56, si possible.

Merci :)

Ha, tu possèdes des IP Ksys ..
Nous avons un problème avec le RIPE, qui ne veut pas (!!) nous donner les droits sur nos IP (question de passwd qui n'est pas autorisé pour ça, ou je sais pas quoi).
Je reviens vers vous lorsque ce problème sera réglé;
Mes propos sont le fruit exclusif de mon cerveau, et ne sont pas soumis au maître esprit.

Bon, ben ça c'est con alors :)
OK, tenez moi au courant quand ça sera réglé.

En attendant, je bloque le SMTP vers gmail et éventuellement d'autres domaines problématiques en v4 only sur mon serveur mail exim :

dnslookup_v4:
  driver = dnslookup
  domains = /etc/exim/v4_only_domains
  transport = remote_smtp
  ignore_target_hosts = <; 0::0/0
  [...]


et je surveille mes logs pour voir s'il y a d'autres domaines qui sont aussi chatouilleux.


En commentaire à la discussion qui s'est tenue en parallèle et pour ceux qui la suivent :

Un serveur DNS a deux usages.

- resolver, qui sert à résoudre un nom de machine (www.quelquechose.fr) en une adresse IPv4 et/ou une adresse IPv6. Généralement, un resolver ne connaît lui-même aucune adresse, à part quelques banalités comme localhost => 127.0.0.1, il répond en interrogeant récursivement d'autres serveurs DNS jusqu'à trouver une réponse (ou pas : "Firefox ne peut trouver le serveur à l'adresse www.cedomainenexistesurementpas.com", ce qui est quand même déjà une réponse).
Comme il y a des providers qui ont encore des DNS qui ne "parlent" pas IPv6 (ou pour d'autres raisons plus obscures : DNS manipulés pour blacklister des destinations, ...), certains utilisent les DNS publics de google, mais il s'agit toujours de resolver.

- "authoritative", qui lui connaît la correspondance nom => adresse pour un certain nombre de domaines qu'il gère. Par exemple, le DNS authoritative pour google.com connaît l'adresse IP (v4 et v6) de www.google.com, et il répondra aux resolvers qui l'interrogent.
C'est aussi lui qui connaît les correspondances reverse adresse => nom dont parle ce sujet.
Pour qu'un DNS authoritative serve à quelque chose, il faut que l'autorité supérieure (AFNIC en France, Switch en Suisse, etc) lui délègue cette autorité (techniquement, par le biais de records NS et de glue records si nécessaire). Idem pour les reverses, où il faut que ces adresses soient déléguées depuis un niveau supérieur, ce que refuse de faire RIPE pour les adresses k-sys d'après ce que je lis.

Si on n'a besoin que d'un resolver, ce n'est généralement pas la peine d'installer un serveur DNS : ceux du provider, ou des resolvers publics comme ceux de google font normalement l'affaire, sauf si on est un peu parano.

Si on gère et/ou héberge son propre domaine, ou pour se faire déléguer le reverse DNS, il faut par contre que les machines du domaine soient enregistrées quelque part sur un DNS authoritative, ça peut être chez son hébergeur, sur des DNS publics gratuits ou payants, ou à la maison.
Et effectivement, installer et configurer un serveur DNS n'est pas une affaire compliquée, bien moins qu'un serveur mail.

Citation
Si on n'a besoin que d'un resolver, ce n'est généralement pas la peine d'installer un serveur DNS : ceux du provider, ou des resolvers publics comme ceux de google font normalement l'affaire, sauf si on est un peu parano.
C'est pas dla paranoïa, c'est la réalité : j'peux te montrer un dig depuis free qui te renvoye vers 127.0.0.1, et le même dig depuis kwaoo qui t'envoye la bonne IP.

Le DNS menteur n'est pas une théorie, c'est la réalité.
Mes propos sont le fruit exclusif de mon cerveau, et ne sont pas soumis au maître esprit.

Citation de: jack le 14 Janvier 2014 à 09:11:40
C'est pas dla paranoïa, c'est la réalité : j'peux te montrer un dig depuis free qui te renvoye vers 127.0.0.1, et le même dig depuis kwaoo qui t'envoye la bonne IP.

Eh ben, c'est du propre. Vers qui, un concurrent ?

J'ai dépatouillé une fois le PC de ma frangine où un virus avait bidouillé son system32\drivers\etc\hosts pour mettre les adresses des serveurs d'update de tous les gros éditeurs d'antivirus sur 127.0.0.1, il m'a fallu un moment pour comprendre ce qui se passait, c'est ce jour là que je lui ai dit que je ne la dépannerait plus tant qu'elle gardait windows, mais c'est une autre histoire).

Par contre, de la part de providers c'est quand même n'importe quoi.

Et les demandes de blacklist DNS de la part des flics ou de la justice, c'est réel ou c'est une légende ? Si ce n'est pas confidentiel, vous avez des demandes de ce style ? Parce que si c'est vrai, c'est quand même sacrément con à contourner ...

Je sais plus vers qui, ça n'a aucune importance;

Y'a un bout de lien qui semble en rapport avec ce que j'ai trouvé : https://lafibre.info/piratage/blocage-des-sites-allostreaming/

Enfin, rien de tel sur les serveurs de Knet, nous n'avons pas eu de demandes de censure (trop petit pour justifier le torchon judiciaire, j'imagine)
Mes propos sont le fruit exclusif de mon cerveau, et ne sont pas soumis au maître esprit.