RE: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine
Merci Raphaël, > En revanche je serais plus réservé sur le fait de résoudre deux choses > différentes selon ta localisation réseau : > > Exemple : > service.corp.com => 1.2.3.4 (depuis internet) > service.corp.com => 10.20.30.40 (depuis un réseau local) en fait, c'est plutôt en interne seulement que ce serait différent : - host1.corp.com est en adressage publique. Il demande service.corp.com auprès de son DNS publique qui lui renvoie 1.2.3.4 qui est en fait la patte publique du service - host2.corp.com (ou host2.corp.local –je sais, c'est pourri–) est en adressage privé. Il demande service.corp.com auprès de son DNS privé qui lui renvoie 10.20.30.40 qui est en fait la patte privée du service. Pour l'exemple anonymisé de ce qu'on trouve, le voici : nslookup > set domain=example.com > set type=SOA > corp Réponse ne faisant pas autorité : Serveur : UnKnown Address: 10.0.0.1 corp.example.com primary name server = host.corp.example.com responsible mail addr = nsinfo.42.com serial = 1118 refresh = 900 (15 mins) retry = 600 (10 mins) expire = 86400 (1 day) default TTL = 3600 (1 hour) host.corp.example.com internet address = 10.0.0.2 > set type=A > corp Réponse ne faisant pas autorité : Serveur : UnKnown Address: 10.0.0.1 Nom : corp.example.com Addresses: 10.xxx.xxx.xxx 10.xxx.xxx.xxx 10.xxx.xxx.xxx 10.xxx.xxx.xxx 10.xxx.xxx.xxx 10.xxx.xxx.xxx 10.xxx.xxx.xxx 201.xxx.xxx.xxx 10.xxx.xxx.xx 10.xxx.xxx.xxx 10.xxx.xxx.xxx … 202.XXX.xx.xx … This message contains information that may be privileged or confidential and is the property of the Capgemini Group. It is intended only for the person to whom it is addressed. If you are not the intended recipient, you are not authorized to read, print, retain, copy, disseminate, distribute, or use this message or any part thereof. If you receive this message in error, please notify the sender immediately and delete all copies of this message. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine
> De : David Ponzone > > - peut-on résoudre corp.example.com en adressage privé (donc en interne > > seulement) ? Ça voudrait dire qu'on ne dit pas tout en out, mais qui blâmer > > ? publier de l'adressage privé ça sert à rien (sans parler des pb de sécu). > > Mais tu fais ce que tu veux. > Personne ne va venir te mettre une amende pour censure ou autre parce que tu > ne publies pas sur ton DNS public certains services :) > C’est peut-être moi qui comprends mal ce qui t’inquiète à ce niveau, tu peux > donner un exemple ? > Sinon y a pas des pointures en DNS chez Capgemini ? :) > Ok je sors. Alors oui, il y a bien au moins une pointure chez Capgemini, mais quand je lui pose la question il me répond « c'est de la merde », et quand je demande pourquoi, il me répond « c'est de méga merde » et il m'envoie un lien vers de l'art figuratif illustrant ses propos (sic) Moi je veux faire les choses bien, je ne veux pas d'effet de bord, je veux que ce soit propre, et comme je ne suis pas très calé en DNS, j'ai besoin de comprendre. Quand je résous en interne corp.capgemini.com, le SOA est en privé. quand je demande les A, je reçois des IPv6, une palanquée d'IPv4 privées ET quelques IP publiques ! Alors voilà, questions... This message contains information that may be privileged or confidential and is the property of the Capgemini Group. It is intended only for the person to whom it is addressed. If you are not the intended recipient, you are not authorized to read, print, retain, copy, disseminate, distribute, or use this message or any part thereof. If you receive this message in error, please notify the sender immediately and delete all copies of this message. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine
Merci pour vos liens que je vais étudier. Je ne sais pas si l'analogie conjugale est très pertinente, en tous les cas, il y a quand même une question qui n'est toujours pas claire pour moi : - peut-on résoudre corp.example.com en adressage privé (donc en interne seulement) ? Ça voudrait dire qu'on ne dit pas tout en out, mais qui blâmer ? publier de l'adressage privé ça sert à rien (sans parler des pb de sécu). >> Le 8 févr. 2019 à 16:46, Paul Rolland (ポール・ロラン) a >> écrit : >> >> David, Jean-Philippe n'a pas prevu de faire mentir son DNS, il a juste des >> vues differentes selon que l'on soit In ou Out. >> > Ok, ben essaie de faire ça avec ta femme, on va voir si ça s’appelle pas > mentir :) This message contains information that may be privileged or confidential and is the property of the Capgemini Group. It is intended only for the person to whom it is addressed. If you are not the intended recipient, you are not authorized to read, print, retain, copy, disseminate, distribute, or use this message or any part thereof. If you receive this message in error, please notify the sender immediately and delete all copies of this message. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine
désolé j'ai parcouru les discussions mais ça ne m'aide pas vraiment. Même une recherche sur DNS+public+privé n'ai pas de grande aide… Jean-Philippe > https://www.mail-archive.com/search?q=split+DNS=frnog%40frnog.org >> Le 8 févr. 2019 à 15:27, AYANIDES, Jean-Philippe a >> écrit : >> >> Bonjour, >> >> je n'arrive pas à trouver une réponse justifiée à la question suivante, >> alors je m'adresse à vous sur conseil de mes collègues (désolé si ce sont >> des questions bêtes et rebattues, je n'ai rien trouvé dans les archives de >> la frnog) : >> >> dans le cadre d'une organisation example.com, à supposer que la zone >> corp.example.com ne soit pas répliquée dans les DNS publiques example.com >> ouverts sur internet, est-il possible et/ou non déconseillé, dans les DNS >> internes >> >> - de résoudre un enregistrement A a.corp.example.com en adresse privée ? (de >> façon générale, on a tendance à utiliser des noms locaux avec un TLD .local >> mais l'IETF ne le recommande pas, cf. >> https://tools.ietf.org/html/rfc6762#appendix-G). >> >> - de résoudre un même SOA corp.example.com avec une adresse IP privée depuis >> le DNS interne privé et une adresse publique depuis le serveur DNS interne >> publique ? >> >> - de résoudre certains enregistrements A du domaine corp.example.com en >> adresses publiques et d'autres en adresses privées ? >> >> Si rien n'est possible proprement, quelle alternative peut-on trouver ? >> faut-il segmenter en nommant par exemple tout ce qui est adressage publique >> en pub.corp.example.com et tout ce qui est en adressage privé en >> priv.example.com ? >> >> Je vous avoue que je ne suis pas familier avec la RFC… >> >> Merci This message contains information that may be privileged or confidential and is the property of the Capgemini Group. It is intended only for the person to whom it is addressed. If you are not the intended recipient, you are not authorized to read, print, retain, copy, disseminate, distribute, or use this message or any part thereof. If you receive this message in error, please notify the sender immediately and delete all copies of this message. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] DNS adressage publique et privé d'un même domaine
Bonjour, je n'arrive pas à trouver une réponse justifiée à la question suivante, alors je m'adresse à vous sur conseil de mes collègues (désolé si ce sont des questions bêtes et rebattues, je n'ai rien trouvé dans les archives de la frnog) : dans le cadre d'une organisation example.com, à supposer que la zone corp.example.com ne soit pas répliquée dans les DNS publiques example.com ouverts sur internet, est-il possible et/ou non déconseillé, dans les DNS internes - de résoudre un enregistrement A a.corp.example.com en adresse privée ? (de façon générale, on a tendance à utiliser des noms locaux avec un TLD .local mais l'IETF ne le recommande pas, cf. https://tools.ietf.org/html/rfc6762#appendix-G). - de résoudre un même SOA corp.example.com avec une adresse IP privée depuis le DNS interne privé et une adresse publique depuis le serveur DNS interne publique ? - de résoudre certains enregistrements A du domaine corp.example.com en adresses publiques et d'autres en adresses privées ? Si rien n'est possible proprement, quelle alternative peut-on trouver ? faut-il segmenter en nommant par exemple tout ce qui est adressage publique en pub.corp.example.com et tout ce qui est en adressage privé en priv.example.com ? Je vous avoue que je ne suis pas familier avec la RFC… Merci Jean-Philippe This message contains information that may be privileged or confidential and is the property of the Capgemini Group. It is intended only for the person to whom it is addressed. If you are not the intended recipient, you are not authorized to read, print, retain, copy, disseminate, distribute, or use this message or any part thereof. If you receive this message in error, please notify the sender immediately and delete all copies of this message. --- Liste de diffusion du FRnOG http://www.frnog.org/