My 2cents sur le sujet.
1) le split dns (avoir des zones dites privée et publique sur le meme
nom dns) à mon avis c'est vraiment se tirer une belle balle dans le
pieds. Je conseille de nettement séparer les zones publiques (qui ne
devrait pas contenir grand chose normalement), et une zone avec des
enregistrements rfc1918 (mais avec un vrai domaine et pas forcément un
sous domaine de la 1ere.
Par exemple :
- masuperlicorne.io => public facing
- priv-unikorne.net => private
2) est ce que les enregistrement de ton domaine "privé" doivent être
accessible publiquement ? humm ca parait pratique mais en pratique c'est
vite error prone (au delà du petit leak d'information). Comme on le
mentionne de nombreux resolver de FAI vont les filtrer. Pire certaines
box (coucou SFR/NC) font de l'inspection DNS et donc filtrer quoi qu'il
arrive (meme si tu change pour pointer sur un resolver google ou
cloudflare...). La ou ca devient plus embrouillant encore c'est que cela
va résoudre depuis la plupart des navigateurs car ils font maintenant du
DoH. Bref tant qu'à vouloir exposer des choses privés (via possiblement
un vpn) autant fournir avec le résolveur imo.
--
Raphael Mazelier
On 21/09/2022 14:49, David Neto wrote:
Salut à tous,
J'ai une question liée à un cas d'usage que je rencontre chez un clients et
pour lequel j'ai du mal à trouver de arguments / contre-arguments.
Pour ne plus être emmerdé avec le split DNS et la gestion de serveurs DNS,
le client souhaite utiliser uniquement un resolver DNS public avec les
enregistrements publics et privés.
En gros, ta bécane (laptop, serveur, ...) a le 1.1.1.1 en resolver DNS et
quand elle recherchewww.google.com, elle récupère 216.58.214.163. Par
contre sur une recherche du genre "mon-serveur-interne.monentreprise.fr" et
bien le serveur DNS répond 192.168.0.100.
Techniquement, ça marche.
Est-ce une bonne pratique....je ne crois pas. (Mais comme AWS le fait avec
les services privés (ELB, entre autres), certains ne voient pas de
contraintes à faire pareil.)
J'en viens donc à me demander si parmi vous certains ont déjà eu recours à
cette pratique et si oui quels sont les arguments le justifiant.
Si certains s'offusquent de ce genre de pratique, je suis preneur également
des arguments et raisons techniques / sécurité.
Merci de vos aides.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
