Le 31 janvier 2012 15:46, Pierre-Arnaud <[email protected]> a écrit :
> Le 31/01/2012 14:55, Jean-Yves F. Barbier a écrit : > >> On Tue, 31 Jan 2012 14:27:44 +0100 >> Olivier<[email protected]> wrote: >> [...] >> >> Est-il possible à un tiers de découvrir l'existence de >>> foobar.mondomaine.fr à partir de la seule connaissance de >>> mondomaine.fr ? Si oui, est-il possible de contrôler ou limiter cette >>> possibilité ? >>> >> >> Techniquement, ça se passe dans le svr HTTP (qui apparie le nom >> de s/s domain avec un directory). >> Donc j'aurais tendance à dire non; mais il-y-a des gens bcp plus >> branchés web ici qui t'en diront sûrement plus. >> > > C'est plus une question dns que web, il me semble. > > Pour que l'on puisse connaître les noms d'hôtes définis sur la zone > mondomaine.fr, il faut que le serveur dns *faisant autorité* autorise les > transferts de zones (faire une recherche sur AXFR) pour mondomaine.fr. > > Autoriser les transferts de zones sert dans le cadre d'une infra dns avec > des serveurs esclaves récupérant les données à partir d'un serveur maître. > Il me semble que l'AXFR est généralement restreint par IP. > > Dans ton cas, il est probable qu'on ne puisse pas récupérer la zone dns de > n'importe où par défaut. Comment le vérifier? Avec la commande dig > mondomaine.fr. @dns_faisant_autorite axfr > > Si les transferts sont autorisés, le contenu complet de la zone > mondomaine.fr va s'afficher. Sinon, dig va répondre "Transfer failed". > > J'insiste lourdement: après l'arobase, il faut spécifier le nom (ou l'IP) > d'un serveur dns *faisant autorité* pour la zone mondomaine.fr. Inutile > de demander à 8.8.8.8 ou au dns de son fai, le résultat (forcément transfer > failed) serait trompeur. Pour connaître les dns faisant autorité sur la > zone, utiliser dig -t NS mondomaine.fr., et regarder les noms à la fin > des lignes NS. > > Et comme tout ceci est bien maladroitement expliqué, un exemple pour la > route: > > zoidberg:~# dig -t NS debian.org. > [...] > debian.org. 28800 IN NS ns4.debian.com. > debian.org. 28800 IN NS ns2.debian.org. > debian.org. 28800 IN NS ns3.debian.org. > debian.org. 28800 IN NS ns1.debian.org. > > => donne les 4 serveurs faisant autorité pour la zone debian.org. > > zoidberg:~# dig debian.org. @ns4.debian.com. axfr > [...] > ; Transfer failed. > > => je ne peux pas connaître le détail de la zone debian.org. > > Pour s'initier au dns, je conseille souvent les pages de Zytrax: > http://www.zytrax.com/books/**dns/ <http://www.zytrax.com/books/dns/> > Si quelqu'un connaît un équivalent d'aussi bonne facture en français, ça > m'intéresse. > > > 2. Que penser de l'idée d'utiliser un nom de domaine plutôt qu'une >>> adresse IP pour accéder à un VPN, (afin de pouvoir re-diriger le >>> trafic vers un serveur VPN de secours) ? >>> >> >> C'est ce que je fais pour les maintenances à distances de certaines >> personnes que j'ai poussées à migrer s/s Linux; c'est non seulement >> très confortable (ssh -p nnnn monpote45.is-a-geek.org), et ça évite >> aussi d'avoir à écrire un cron qui tape un svr STUN et te renvoie un >> e-mail lors d'un chgt d'adresse IP. >> > > +1 > > > Le VPN est construit avec OpenVPN qui permet de fournir plusieurs >>> adresses de serveur aux clients, ce qui laisse la possibilité d'un >>> secours mais j'imagine qu'il est plus difficile de contrôler cette >>> possibilité avec des adresses en dur plutôt que des noms de domaine. >>> Votre avis ? >>> >> >> http://openvpn.net/index.php/**open-source/documentation/** >> miscellaneous/78-static-key-**mini-howto.html<http://openvpn.net/index.php/open-source/documentation/miscellaneous/78-static-key-mini-howto.html> >> semble dire que c'est possible; il fut un temps où il n'acceptait >> que les adresses IP, mais je pense que depuis, suffisamment de gens >> ont gueulé pour que ça change. >> > > Houla! Doit remonter à loin, ton souvenir, là, quand même ;-) > Oui, on peut bien utiliser des fqdn plutôt que des ip dans la conf > d'openvpn. > > P.-A. > > > -- > Lisez la FAQ de la liste avant de poser une question : > http://wiki.debian.org/fr/**FrenchLists<http://wiki.debian.org/fr/FrenchLists> > > Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" > vers > debian-user-french-REQUEST@**lists.debian.org<[email protected]> > En cas de soucis, contactez EN ANGLAIS [email protected] > Archive: > http://lists.debian.org/**[email protected]<http://lists.debian.org/[email protected]> > > Merci beaucoup pour cette longue et très précieuse réponse ! Génial !
