Le 15/01/26 à 23:18+0100, [email protected] a écrit :
> /etc/resolv.conf
>
> Il semble que l'on puisse indiquer au plus 3 nameservers .
> Voir https://www.baeldung.com/linux/etc-resolv-conf-file
Il faut vraiment faire attention à tous les sites qui parlent de système à tord
et à travers,
et racontent parfois n'importe quoi.
Ici ce n'est peut-être pas le cas, mais je ne cherche plus, il y a maintenant
tellement de sites
bidons générés par IA que je ne sors plus de debian.org et quelques autres
sites connus.
Et dans ce cas, pas besoin d'ouvrir de navigateur, `man resolv.conf` donne la
réponse dès le
2e § :
nameserver Adresse IP du serveur de noms
Adresse Internet du serveur de noms que la bibliothèque resolver
interrogera, soit une
adresse IPv4 (en notation avec des points), soit une adresse IPv6 en
notation séparée
par des deux-points (ou éventuellement avec des points) conformément à
la RFC 2373.
Jusqu'à MAXNS (actuellement 3, consultez <resolv.h>) serveurs de noms
peuvent être
mentionnés, un par mot-clé. S'il y a plusieurs ser‐ veurs, la
bibliothèque de résolution
les interrogera dans l'ordre indiqué. Si aucune entrée nameserver n'est
présente, le
fonctionnement par défaut consiste à utiliser le serveur de noms se
trou‐ vant sur la
machine locale (l'algorithme consiste à interroger un serveur de noms,
et si la requête
dépasse le temps maximal, à essayer le suivant, jusqu'à la fin de la
liste, et à
recommencer jusqu'à un nombre maximal de tentatives.)
Donc on pourrait en indiquer 3, mais le dns est tellement central que si le 1er
ns part en
timeout le système va probablement commencer à souffrir (par ex s'il y a des
services qui
interrogent le dns, par ex pour logguer les requêtes reçues ou vérifier si
elles ont le droit,
ils peuvent laisser des connexions ouvertes plusieurs s à la place des ms
habituelles, et
multiplier ainsi par 1000 ou plus leur nombre).
> Un résolveur local : comme bind ? ou unboud, aussi ?
Attention à ne pas confondre serveur de nom autoritaire et resolveur, même si
les premiers
peuvent aussi rendre le 2e service.
Quand il y a les deux sur une machine, on préfère en général les isoler sur
deux ip différentes
pour limiter les risques de sécurité (ns autoritaire sur ip publique et
résolveur sur
ip locale, car c'est important de limiter le résolveur local aux ip loĉales,
c'est assez
facile de faire tomber une machine qui héberge un résolveur dns, cf
"amplification dns").
Et je ne conseillerais pas bind en résolveur (trop compliqué pour ça), mais ça
reste un avis
perso.
--
Daniel
Chaque jour tu as 30 morts sur la route.
Moi je roule sur le trottoir.
