On Sun, May 06, 2007 at 11:54:44AM +0200, Pascal Hambourg wrote:
> Franck Joncourt a écrit :
> >
> >Chez moi, je fonctionne comme cela :
> >
> >listen-on-v6 { none; };
>
> Quel dommage. ;-)
>
A vrai dire je n'ai jamais regarde de pres l'ipv6 et comment cela
fonctionnait par rapport a l'ipv4. (Aie, Aie !!)
> >listen-on {
> > 127.0.0.1;
> > 192.168.0.1;
> >};
> >
> >On specifie "les resseaux" (c'est pas forcement le meilleur mot mais
> >interface cela convient encore moins) sur lesquel on ecoute plutot que
> >d'etre ouvert a tout.
>
> En fait l'option 'listen-on' spécifie sur quelles adresses locales BIND
> écoute, et non de quels réseaux il accepte des requêtes.
En effet, *adresses locales* correspond mieux a ce que je voulais dire.
Cette option etait faite pour agir sur les adresses locales et non sur
les reseaux.
> Pour ça, il y
> a les options 'allow-query', 'allow-recursion', 'allow-transfer'...
Du coup, je me rends compte que cela serait plus judicieux de mettre
quelque chose du genre.
listen-on { any; };
allow-query { 127.0.0.0/8; 192.168.0.0/24; };
A voir de mon cote si la directive allow-query est suffisante pour
autoriser le dialogue entre le serveur DNS et les clients.
> En pratique, le fait de ne mettre dans l'option 'listen-on' qu'une
> adresse de loopback et une adresse privée a des chances d'aboutir au
> même résultat, mais c'est par effet de bord : la pile IP n'accepte pas
> les communications depuis ou vers 127.0.0.0/8 qui passent par une autre
> interface que l'inteface de loopback,
loopback ne dialogue qu'avec loopback
> et normalement le réseau amont ne
> route pas les adresses privées vers ta connexion (sauf dans quelques
> vieux réseaux câblés, hé hé).
>
Mais, vu que je fonctionne sur deux reseaux :
- 192.168.1.0/24 pourl'internet
- 192.168.0.0/24 pour le reseau prive
dans la théorie rien n'empeche quelqu'un d'interroger le serveur DNS
192.168.0.1 via l'interface presente sur le reseau 192.168.1.0/24.
--
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
signature.asc
Description: Digital signature
