[FRnOG] Re: [TECH] Sous-zone DNS dédiée réseau interne via zone DNS gérée par tiers (eg. OVH)

DUVERGIER Claude Tue, 07 Sep 2021 06:45:09 -0700


Le 07/09/2021 à 11:46, Stephane Bortzmeyer a écrit :
> Je voudrais bien la réponse complète, notamment pour savoir quel
> serveur il a interrogé.


Voici la réponse (j'ai rajouté le "+nodnssec" pour éviter d'éventuel
bruit) :

----------------------------------------
; <<>> DiG 9.16.1-Ubuntu <<>> @8.8.8.8 +nodnssec +trace A
app-5.interne.ma_societe.com
; (1 server found)
;; global options: +cmd
.                       85962   IN      NS      c.root-servers.net.
.                       85962   IN      NS      b.root-servers.net.
.                       85962   IN      NS      f.root-servers.net.
.                       85962   IN      NS      a.root-servers.net.
.                       85962   IN      NS      h.root-servers.net.
.                       85962   IN      NS      j.root-servers.net.
.                       85962   IN      NS      i.root-servers.net.
.                       85962   IN      NS      e.root-servers.net.
.                       85962   IN      NS      k.root-servers.net.
.                       85962   IN      NS      d.root-servers.net.
.                       85962   IN      NS      g.root-servers.net.
.                       85962   IN      NS      l.root-servers.net.
.                       85962   IN      NS      m.root-servers.net.
.                       85962   IN      RRSIG   NS 8 0 518400 20210920050000 
20210907040000 26838 .
Wma8PsBb+TVD/g7oEnlMMzPocz2w8jHMNs0VqrxQ7wVRNd5gLPvu0O4w
GrGDZrXUAQp59aCHTA1/KhdzukL/CQvia5cJCxDGL57zLW4ZnbUPCl9U
RTb6+eQUZjvki5ZveGhh5BVqCfjjDdNH9gV5aWusoS4dso2Tqi9NEiFQ
mERd9KqUMEEM8KJNlnwkwme/oN2OsuW0KJ3XbPUC2+qLVBkapt8MLz+b
9F6w8RDRijaY7rYxIsx6YH/k0Q0h+pyuWv+IRdjf71arSix9FNaamup7
5fK6ptYfhi7Lhpb3tjehbyfpDbqGm0jd9tDxj+62SmcgRMM0JbVLxikX w+qU8Q==
;; Received 525 bytes from 8.8.8.8#53(8.8.8.8) in 20 ms

net.                    172800  IN      NS      l.gtld-servers.net.
net.                    172800  IN      NS      b.gtld-servers.net.
net.                    172800  IN      NS      c.gtld-servers.net.
net.                    172800  IN      NS      d.gtld-servers.net.
net.                    172800  IN      NS      e.gtld-servers.net.
net.                    172800  IN      NS      f.gtld-servers.net.
net.                    172800  IN      NS      g.gtld-servers.net.
net.                    172800  IN      NS      a.gtld-servers.net.
net.                    172800  IN      NS      h.gtld-servers.net.
net.                    172800  IN      NS      i.gtld-servers.net.
net.                    172800  IN      NS      j.gtld-servers.net.
net.                    172800  IN      NS      k.gtld-servers.net.
net.                    172800  IN      NS      m.gtld-servers.net.
net.                    86400   IN      DS      35886 8 2
7862B27F5F516EBE19680444D4CE5E762981931842C465F00236401D 8BD973EE
net.                    86400   IN      RRSIG   DS 8 1 86400 20210920050000 
20210907040000 26838 .
WUIHSl2P0zQb5BvolvoRt6aI7u+rZQ82kKePYXhcYrfASwuhPvO5kOwl
HPpKbz7e+kO4naWPlxDUujEV3KnPLo4MnI21s8frdkoUROQcTOSI0lv8
KyuIFO0agMepU8/JOGlq1fBuc9tknROJHokpKH2VLmgqQC6+XQmxey7C
gxmsl5anKaSnloBU6FNt4ao/Edvf0SDdgcYEblFbK+68IaPUYjhd4w0E
Bnzyg/+oL3A2q4bU7YInYLvQBC3vAIucDKHGAPeQa46mC0EJJe+L9R8/
sTdFx+tWHSBh9ZR3RFd2DxNukKM17eJT61EcSyxPQiI0glWqMIskF+Mq TISraQ==
;; Received 1186 bytes from 192.5.5.241#53(f.root-servers.net) in 20 ms

ma_societe.com.         172800  IN      NS      dns11.ovh.net.
ma_societe.com.         172800  IN      NS      ns11.ovh.net.
ma_societe.com.         86400   IN      DS      58983 7 2
8025A664C84288738EC92DAAFB0B367B9EA188591270919279008C6C 9AF82CE6
ma_societe.com.         86400   IN      RRSIG   DS 8 2 86400 20210911054001
20210904043001 65378 net.
QtGmAv2Mj1QEF+4SBZpfkt0z2h6/ej4ynO1uZ0Xxbd7yR6hC6oH12qHH
RRohEgaFf+8eh7DYRpu5HvvX2IF+X8OSyct4mRbpg37DZriE8tO1IiSW
q674BJneaM4PkFNH2Tu8waY37h5Pb/VFRaDkQno6cpErN+kNZSD0YBrB
aPkas0WQOsQ/HAbsfatNL5gBhYeSphQLF6hLVUGXVkRYNA==
;; Received 432 bytes from 192.52.178.30#53(k.gtld-servers.net) in 24 ms

interne.ma_societe.com. 43200   IN      NS      interne-ns1.ma_societe.com.
LJ6U97P1DE71RRSESP3FM3JBGVCQ4SB3.ma_societe.com.        300 IN NSEC3 1 0 8
4FD70F486CEE3125 LUUGBENECP5ORU1JVRCGDBLS9A2V23VH NS
LJ6U97P1DE71RRSESP3FM3JBGVCQ4SB3.ma_societe.com.        300 IN RRSIG NSEC3 7 3
300 20210929152158 20210830152158 52202 ma_societe.com.
guQUGTqPakiKFLT3mVmRVABikEkw0DN5cOoRx/8ks6ncyJavRGzWzEAb
ZbodyKZwssTZtr74SOs/+FVlTB+mj3XqYWCeErcDRNQMYC7Ni2QnAc+t
gOYJdLYPYa9wtHf1PgIE6nB0bbmMZEStHMmAa1Ni41YrSFwP4Tm/yFX0 txc=
couldn't get address for 'interne-ns1.ma_societe.com': not found
----------------------------------------


>> Le nom de domaine "ma_societe.com" étant enregistré chez OVH j'ai ajouté
>> les 4 enregistrements suivants dans la zone "ma_societe.com" via le
>> Manager d'OVH :
>>
>> ```
>> interne        IN NS     interne-ns1
>> interne        IN NS     interne-ns2
>> interne-ns1    IN  A     10.0.0.1
>> interne-ns2    IN  A     10.0.0.2
> 
> Parfait. Attention toutefois aux résolveurs qui, par défaut, ne
> renvoient pas les adresses privées (RFC 1918) pour éviter les attaques
> par changement. Si le journal de BIND contient des "client
> 127.0.0.1#47583: RFC 1918 response from Internet", le problème est là.

J'ai du mal à comprendre l'intérêt de ces enregistrements (présents sur
les serveurs DNS d'OVH) s'ils mènent à des adresses que les résolveurs
ne renverront pas il ne jouent pas le rôle de délégation non ?

À moins qu'il ne faille en plus ajouter une configuration particulière
sur mes résolveurs privés/LAN ? Comme par exemple pour intercepter les
requêtes vers "interne.ma_societe.com" ?

En tout cas, je n'ai aucun message "response from Internet" dans les
logs concernant mes tests.


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] Sous-zone DNS dédiée réseau interne via zone DNS gérée par tiers (eg. OVH)

Répondre à