Re: Conseils sur la configuration DNS d'un serveur
On Fri, Sep 22, 2023 at 05:19:08PM +0200, Stephane Bortzmeyer wrote a message of 13 lines which said: > Oui. Cloudflare 1.1.1.1 ne fait pas autrement, il n'a pas de > privilège particulier, il parle aux serveurs faisant autorité, comme > le fait le résolveur public de FDN, ou comme le fait le petit > résolveur Knot qui est chez moi. La preuve avec dig. Voici la requête qu'un résolveur enverrait à un des serveurs faisant autorité pour .fr, le d.nic.fr. La réponse arrive bien, alors qu'elle est partie d'une petite machine Debian ordinaire, bêtement connectée à un FAI grand public (Free) : % dig +dnssec +norecurse @d.nic.fr www.paypal.fr ; <<>> DiG 9.18.16-1-Debian <<>> +dnssec +norecurse @d.nic.fr www.paypal.fr ; (2 servers found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44594 ;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 6, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 1232 ; COOKIE: 55a74fbb3177a8130100650db3019fb5c6c75bc88734 (good) ;; QUESTION SECTION: ;www.paypal.fr. IN ;; AUTHORITY SECTION: paypal.fr. 3600 IN NS ns1.p57.dynect.net. paypal.fr. 3600 IN NS pdns100.ultradns.net. paypal.fr. 3600 IN NS pdns100.ultradns.com. paypal.fr. 3600 IN NS ns2.p57.dynect.net. paypal.fr. 3600 IN DS 49549 8 2 ( D99B0F323A7E1161CD598AA9ACDAC29235F6707D0E4A C6EBC59FCB703E96AB63 ) paypal.fr. 3600 IN RRSIG DS 13 2 3600 ( 20231126092821 20230915144228 60747 fr. UouuMe6fve2zA8wRqaJCWXoPqjFDh0XafGdfwQ5sM65a eRJotF77ify6lIXaYkt9iT0XueXYMDCRjeXafdBIzg== ) ;; Query time: 0 msec ;; SERVER: 2001:678:c::1#53(d.nic.fr) (UDP) ;; WHEN: Fri Sep 22 15:30:09 UTC 2023 ;; MSG SIZE rcvd: 334
Re: Conseils sur la configuration DNS d'un serveur
On Fri, Sep 22, 2023 at 04:49:07PM +0200, Olivier wrote a message of 10 lines which said: > Quand on installe sur sa machine, un logiciel comme Unbound, celui-ci > sait-il directement interroger les serveurs DNS centraux qui gèrent > les .com, .fr et autres (ie sans passer par les serveurs comme > 1.1.1.1 ou autres ) ? Oui. Cloudflare 1.1.1.1 ne fait pas autrement, il n'a pas de privilège particulier, il parle aux serveurs faisant autorité, comme le fait le résolveur public de FDN, ou comme le fait le petit résolveur Knot qui est chez moi.
Re: Conseils sur la configuration DNS d'un serveur
On Fri, Sep 22, 2023 at 04:55:05PM +0200, Olivier wrote a message of 11 lines which said: > > Et pas besoin de passer par quad9 ou cloudflare bind peut forwarder en > > direct. > > > Je n'avais pas compris que c'était possible ! Tout le monde peut installer un vrai résolveur (qui parle directement aux serveurs faisant autorité). Enfin, pour l'instant : parions que le gouvernement va proposer une loi pour interdire cela.
Re: Conseils sur la configuration DNS d'un serveur
Le ven. 22 sept. 2023 à 15:20, Michel Verdier a écrit : > > Et pas besoin de passer par quad9 ou cloudflare bind peut forwarder en > direct. > Je n'avais pas compris que c'était possible ! Merci à Michel et Stéphane pour leur réponse qui change pas mal de choses.
Re: Conseils sur la configuration DNS d'un serveur
Le ven. 22 sept. 2023 à 15:03, Stephane Bortzmeyer a écrit : > - pourquoi d'ailleurs utiliser un résolveur en aval, plutôt que de > parler directement aux serveurs faisant autorité ? Quand on installe sur sa machine, un logiciel comme Unbound, celui-ci sait-il directement interroger les serveurs DNS centraux qui gèrent les .com, .fr et autres (ie sans passer par les serveurs comme 1.1.1.1 ou autres ) ?
Re: Conseils sur la configuration DNS d'un serveur
On Fri, Sep 22, 2023 at 11:01:52AM +0200, Olivier wrote a message of 48 lines which said: > - pour chaque VLAN, j'aimerai pouvoir désigner un fichier > /etc/hosts.vlanx dans lequel je liste quelques ressources locales > (imprimante, ...) pouvant être résolues. Hmmm, ça va sérieusement compliquer les choses (et le déboguage !). À part avec les vues, je ne vois pas comment faire. > Vis à vis du DNS amont, j'utilise un fichier /etc/resolv.conf dont le > contenu est: > options rotate timeout:1 retries:1 > search monsuperdomain.lan > nameserver 1.1.1.1 > nameserver 9.9.9.9 Alors, quatre remarques : - pourquoi utiliser des résolveurs étatsuniens qui font Dieu sait quoi des données récoltées ? - pourquoi d'ailleurs utiliser un résolveur en aval, plutôt que de parler directement aux serveurs faisant autorité ? - /etc/resolv.conf est pour les clients finaux, pas pour un résolveur, - avoir à la fois un résolveur non menteur et un menteur va être assez cauchemardesque pour le déboguage. > 1. Préférez-vous séparer le paramétrage DNS amont (/etc/resolv.conf) > de celui en aval ? Pas clair. Pas compris. > 2. Activer le DNSSEC engendre-t-il des difficultés pour > l'exploitant ? On est en 2023, tous les résolveurs sérieux valident avec DNSSEC. > Les utilisateurs lambda perçoivent-ils selon vous, des bénéfices ou > des inconvénients ? Bénéfice : sécurité Inconvénient : comme toutes les techniques de sécurité, ça peut bloquer des accès légitimes > 3. Quand on sert des utilisateurs qui consomment du Netflix, TikTok > ou youtube, faut-il attendre des bénéfices avec du cache DNS (par > rapport à une configuration où les utilisateurs interrogent > directement des DNS publics) ? Tester. (En administration système, il faut mesurer, pas supposer.) > 4. Conseillez-vous unbound ? Si non, quelle alternative ? Unbound est très bien, mais Knot Resolver aussi.
Re: Conseils sur la configuration DNS d'un serveur
On Fri, Sep 22, 2023 at 02:02:36PM +0200, Michel Verdier wrote a message of 31 lines which said: > > 4. Conseillez-vous unbound ? Si non, quelle alternative ? > > bind9 est quand même LE serveur DNS. En 2023, c'est une affirmation très bizarre. Cela fait de nombreuses années qu'il existe de meilleurs logiciels. BIND est utile dans deux cas : - si on veut une option très exotique qui n'existe que sur BIND, - si on aime les patches de sécurité à appliquer en urgence tous les mois. > - forwarder en servant de cache Comem tous les résolveurs (encore heureux). > - mettre DNSSEC Comme tous les résolveurs (encore heureux). > Et pas besoin de passer par quad9 ou cloudflare bind peut forwarder en > direct. Comme tous les résolveurs (encore heureux).
Re: Conseils sur la configuration DNS d'un serveur
Le 22 septembre 2023 Olivier a écrit : > 3. Quand on sert des utilisateurs qui consomment du Netflix, TikTok ou > youtube, faut-il attendre des bénéfices avec du cache DNS (par rapport > à une configuration où les utilisateurs interrogent directement des > DNS publics) ? un cache accélère nettement $ dig @cache netflix.com premier appel : ;; Query time: 11 msec deuxième appel : ;; Query time: 2 msec > > 4. Conseillez-vous unbound ? Si non, quelle alternative ? bind9 est quand même LE serveur DNS. Il permet de - forwarder en servant de cache - servir des zones internes selon le vlan avec les views ce qui dispense des /etc/hosts - mettre DNSSEC Et pas besoin de passer par quad9 ou cloudflare bind peut forwarder en direct.
Conseils sur la configuration DNS d'un serveur
Bonjour, J'ai besoin d'implémenter un serveur (sous Bullseye pour l'instant) qui va faire office de cache DNS pour les machines de réseaux locaux (une centaine de machines réparties dans plusieurs VLAN). Une précision importante: je ne maîtrise pas ces machines réparties dans plusieurs VLAN: il peut s'agir de smartphones, PC ou console de tout type. Mes besoins: - pour chaque VLAN, j'aimerai pouvoir désigner un fichier /etc/hosts.vlanx dans lequel je liste quelques ressources locales (imprimante, ...) pouvant être résolues. - si l'existence de cache DNS accélère la résolution DNS des machines du réseau local, tant mieux, sinon c'est pas grave. Vis à vis du DNS amont, j'utilise un fichier /etc/resolv.conf dont le contenu est: options rotate timeout:1 retries:1 search monsuperdomain.lan nameserver 1.1.1.1 nameserver 9.9.9.9 Je découvre unbound qui m'a l'air de bien coller à mes besoins. Mes questions: 1. Préférez-vous séparer le paramétrage DNS amont (/etc/resolv.conf) de celui en aval ? 2. Activer le DNSSEC engendre-t-il des difficultés pour l'exploitant ? Les utilisateurs lambda perçoivent-ils selon vous, des bénéfices ou des inconvénients ? 3. Quand on sert des utilisateurs qui consomment du Netflix, TikTok ou youtube, faut-il attendre des bénéfices avec du cache DNS (par rapport à une configuration où les utilisateurs interrogent directement des DNS publics) ? 4. Conseillez-vous unbound ? Si non, quelle alternative ? Slts
