http://www.bortzmeyer.org/ipv6-securite.html m'a conduit à
http://www.bortzmeyer.org/dns-rebinding-pinning.html
Dommage, il n'y avait pas de lien vers un exemple en IPv6.
J'ai testé sur SRV 1 (ubuntu 12.04 , version de bind9 =
1:9.8.1.dfsg.P1-4ubuntu0.5 )
deny-answer-addresses { 10.0.0.0/8; 172.16.0.0/12; 192.168.0.0/16;
2001:41d0:fe37:xx00::/56; fe80::/16; } except-from { "yyy.net";
"test"; } ;
deny-answer-aliases { "yyy.net"; "test"; };
note, la syntaxe suivante est refusée :
deny-answer-aliases { "yyy.net"; "test"; } except-from {
"yyy.net"; "test"; } ;
J'ai ajouté des enregistrements de test dans la zone jjj.org sur SRV 2:
essai4 IN A 192.168.0.1
essai6 IN AAAA 2001:41d0:xx37:b2ff::1
essai66 IN AAAA fe80::20c:29ff:fe09:ea92
essai IN CNAME www.yyy.net.
essai6c IN CNAME w6.yyy.net.
Le filtrage par deny-answer-addresses fonctionne en IPv4 et IPv6
sur SRV 1 :
root@miroir1204:/root# dig -t AAAA essai6.jjj.org
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 16203
Sur un serveur SRV 3 sans protection :
prof@fw1204:~$ dig -t AAAA essai6.jjj.org
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30811
essai6.joutes.org. 38400 IN AAAA 2001:41d0:fe37:b2ff::1
Par contre, le filtrage par deny-answer-aliases n'est pas opérationnel !
root@miroir1204:/root# dig -t AAAA essai6c.jjjj.org
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52032
essai6c.jjj.org. 37846 IN CNAME w6.yyy.net.
w66.yyy.net. 3074 IN AAAA 2001:41d0:xxx::8
root@miroir1204:/root# traceroute essai6c.jjj.org
traceroute to essai6c.joutes.org (2001:41d0:xxx::8), 30 hops max, 80
byte packets
Où fais je l'erreur ?
Merci
FMalard
_______________________________________________
G6 -- Association Francophone pour la promotion d'IPv6 (http://www.g6.asso.fr)
Liste IPv6tech IPv6tech@g6.asso.fr
Info : http://mail.g6.asso.fr/mailman/listinfo/ipv6tech