Re: [FRnOG] [TECH] Question unbound (figer des ptr suite au pb de reverse RIPE)
Le 17/03/17 à 14:02, Guillaume Barrota écrit : GB> Juste pour bien comprendre, tu n'es pas autoritaire sur la zone reverse qui GB> contient tes IP publiques ? GB> Certains heb/opérateur te permettent de faire une délégation d'un /32 en GB> reverse, auquel cas, tu peux le gérer dans ton autoritaire (/32 par /32 du GB> coup) et donc coté unbound pointer les zone reverse vers tes autoritaires GB> GB> Ca répondrait à ton besoin, et ça garde une structure cohérente avec un GB> fonctionnement standard DNS (même si la reverse en /32, c'est quand même GB> pas magique). Sauf que ça règle pas le pb dans le cas de figure qui me pousse à faire ça, parce que si j'ai une délégation sur un /32 mais que la résolution RIPE/ARIN des reverse est HS, unbound n'aura pas l'info de qui gère le reverse. -- Daniel L'ennemi est bête, il croit que l'ennemi c'est nous, alors que c'est lui. Pierre Desproges --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Question unbound (figer des ptr suite au pb de reverse RIPE)
Juste pour bien comprendre, tu n'es pas autoritaire sur la zone reverse qui contient tes IP publiques ? Certains heb/opérateur te permettent de faire une délégation d'un /32 en reverse, auquel cas, tu peux le gérer dans ton autoritaire (/32 par /32 du coup) et donc coté unbound pointer les zone reverse vers tes autoritaires Ca répondrait à ton besoin, et ça garde une structure cohérente avec un fonctionnement standard DNS (même si la reverse en /32, c'est quand même pas magique). Le 17 mars 2017 à 13:42, Daniel Caillibauda écrit : > Bonjour, > > Vous êtes probablement au courant mais les reverse ipv4 sont resté HS un > bon moment chez ARIN > pour pas mal d'ip RIPE > https://www.ripe.net/ripe/mail/archives/dns-wg/2017-March/003394.html > > J'ai des services qui utilisent le reverse pour autoriser ou pas l'usage > de token permettant de > shunter une authentification, et évidemment ça marche moins bien quand le > reverse répond plus. > > J'utilise unbound comme résolveur local, avec déjà une zone locale pour > mes ips privées, du > genre > > private-domain: "lan.domaine.tld" > local-zone: "lan.domaine.tld." static > local-data: "host1.lan.domaine.tld. IN A 192.168.0.1" > local-data-ptr: "192.168.0.1 host1.lan.domaine.tld" > … > > Je me demandais s'il y avait un inconvénient majeur à y ajouter les ptr de > mes ip publiques > avec du > > local-data-ptr: "a.b.c.d host1.domaine.tld" > local-data-ptr: "e.f.g.h host2.domaine.tld" > … > > À lire http://unbound.net/documentation/unbound.conf.html, ça revient à > répondre directement à > ces qq lookup et résoudre les autres normalement. > > Voyez-vous un inconvénient majeur qui m'échappe à utiliser cette solution ? > > (question maintenance j'ai déjà un txt centralisé avec mes ips privées qui > sert à regénérer la > conf des différents unbound, ajouter qq ip publiques qui changent rarement > me pose pas de pbs) > > Merci > > -- > Daniel > > En 1969 j'ai arrêté les femmes et l'alcool, ça a été les 20 minutes les > plus dures de ma vie > George Best > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Question unbound (figer des ptr suite au pb de reverse RIPE)
Bonjour, Vous êtes probablement au courant mais les reverse ipv4 sont resté HS un bon moment chez ARIN pour pas mal d'ip RIPE https://www.ripe.net/ripe/mail/archives/dns-wg/2017-March/003394.html J'ai des services qui utilisent le reverse pour autoriser ou pas l'usage de token permettant de shunter une authentification, et évidemment ça marche moins bien quand le reverse répond plus. J'utilise unbound comme résolveur local, avec déjà une zone locale pour mes ips privées, du genre private-domain: "lan.domaine.tld" local-zone: "lan.domaine.tld." static local-data: "host1.lan.domaine.tld. IN A 192.168.0.1" local-data-ptr: "192.168.0.1 host1.lan.domaine.tld" … Je me demandais s'il y avait un inconvénient majeur à y ajouter les ptr de mes ip publiques avec du local-data-ptr: "a.b.c.d host1.domaine.tld" local-data-ptr: "e.f.g.h host2.domaine.tld" … À lire http://unbound.net/documentation/unbound.conf.html, ça revient à répondre directement à ces qq lookup et résoudre les autres normalement. Voyez-vous un inconvénient majeur qui m'échappe à utiliser cette solution ? (question maintenance j'ai déjà un txt centralisé avec mes ips privées qui sert à regénérer la conf des différents unbound, ajouter qq ip publiques qui changent rarement me pose pas de pbs) Merci -- Daniel En 1969 j'ai arrêté les femmes et l'alcool, ça a été les 20 minutes les plus dures de ma vie George Best --- Liste de diffusion du FRnOG http://www.frnog.org/