On Fri, Sep 22, 2023 at 11:01:52AM +0200, Olivier <oza.4...@gmail.com> wrote a message of 48 lines which said:
> - pour chaque VLAN, j'aimerai pouvoir désigner un fichier > /etc/hosts.vlanx dans lequel je liste quelques ressources locales > (imprimante, ...) pouvant être résolues. Hmmm, ça va sérieusement compliquer les choses (et le déboguage !). À part avec les vues, je ne vois pas comment faire. > Vis à vis du DNS amont, j'utilise un fichier /etc/resolv.conf dont le > contenu est: > options rotate timeout:1 retries:1 > search monsuperdomain.lan > nameserver 1.1.1.1 > nameserver 9.9.9.9 Alors, quatre remarques : - pourquoi utiliser des résolveurs étatsuniens qui font Dieu sait quoi des données récoltées ? - pourquoi d'ailleurs utiliser un résolveur en aval, plutôt que de parler directement aux serveurs faisant autorité ? - /etc/resolv.conf est pour les clients finaux, pas pour un résolveur, - avoir à la fois un résolveur non menteur et un menteur va être assez cauchemardesque pour le déboguage. > 1. Préférez-vous séparer le paramétrage DNS amont (/etc/resolv.conf) > de celui en aval ? Pas clair. Pas compris. > 2. Activer le DNSSEC engendre-t-il des difficultés pour > l'exploitant ? On est en 2023, tous les résolveurs sérieux valident avec DNSSEC. > Les utilisateurs lambda perçoivent-ils selon vous, des bénéfices ou > des inconvénients ? Bénéfice : sécurité Inconvénient : comme toutes les techniques de sécurité, ça peut bloquer des accès légitimes > 3. Quand on sert des utilisateurs qui consomment du Netflix, TikTok > ou youtube, faut-il attendre des bénéfices avec du cache DNS (par > rapport à une configuration où les utilisateurs interrogent > directement des DNS publics) ? Tester. (En administration système, il faut mesurer, pas supposer.) > 4. Conseillez-vous unbound ? Si non, quelle alternative ? Unbound est très bien, mais Knot Resolver aussi.