Re: [Résolu] Re: bind ne démar re pas

Sun, 06 May 2007 09:32:31 -0700 

Franck Joncourt a écrit :


A vrai dire je n'ai jamais regarde de pres l'ipv6 et comment cela
fonctionnait par rapport a l'ipv4. (Aie, Aie !!)



Dans les grandes lignes ça fonctionne à peu près pareil, sauf que les 
adresses sont plus longues - en contrepartie il y en a davantage - et 
moins "jolies". Quoique, l'hexa permet de créer des adresses rigolottes 
comme le bien connu dead:beef ou cafe:deca:fade. ;-)


[...]

Du coup, je me rends compte que cela serait plus judicieux de mettre
quelque chose du genre.

listen-on { any; };
allow-query { 127.0.0.0/8; 192.168.0.0/24; };



Par exemple. L'option 'allow-query' n'empêche pas de limiter le 
'listen-on' aux adresses locales utiles, ça peut économiser quelques 
sockets puisque BIND ouvre deux sockets (TCP et UDP) par adresse IPv4. 
Autrement, on peut aussi restreindre l'accès avec des règles iptables.



En pratique, le fait de ne mettre dans l'option 'listen-on' qu'une 
adresse de loopback et une adresse privée a des chances d'aboutir au 
même résultat, mais c'est par effet de bord : la pile IP n'accepte pas 
les communications depuis ou vers 127.0.0.0/8 qui passent par une autre 
interface que l'inteface de loopback, 


loopback ne dialogue qu'avec loopback



Oui, mais il faut distinguer l'interface de loopback (lo) du bloc 
d'adresses de loopback (127.0.0.0/8). On pourrait imaginer qu'un petit 
malin trafique sa table de routage pour envoyer des requêtes à ta 
machine à destination d'une adresse de loopback. Mais la pile IP de 
Linux les rejettera car la restriction des adresses de loopback à 
l'interface de loopback est codée en dur. Ce genre d'attaque a déjà 
servi contre des OS n'ayant pas cette restriction.



Mais, vu que je fonctionne sur deux reseaux :
 - 192.168.1.0/24 pourl'internet
 - 192.168.0.0/24 pour le reseau prive
dans la théorie rien n'empeche quelqu'un d'interroger le serveur DNS
192.168.0.1 via l'interface presente sur le reseau 192.168.1.0/24.



Exact. Il faut garder à l'esprit que pour Linux une adresse IP locale 
appartient à la machine tout entière et non à une interface 
particulière, et par conséquent est accessible par et utilisable avec 
n'importe quelle interface.



--
Lisez la FAQ de la liste avant de poser une question :

http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et

"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]























					Répondre à