On Tuesday 30 December 2003 16:37, Marc SCHAEFER wrote: > Donc, ton serveur DNS (bind9) est install� et configur� sur une machine > qui poss�de une carte r�seau mais celle-ci a plusieurs adresses IP.
Exact. J'ai en fait plusieurs machines qui possedent force,ent chacune une adresse "de base". J edeplace mes services entre ces machines (DNS, mail, pop, www) en fonction de differents criteres du style : maintenance, probleme, etc. Le but etant depouvoir deplacer juste un seul service a la demande, tout en conservant le systeme initial accessible (pour des raisons de tests etc.). > Dans la documentation de BIND, tu trouveras notamment que tu peux > ajouter une clause match-client. Mais cela est apparemment uniquement > pour des cas simples (un serveur DNS, deux adresses). Tiens j'ai oublie la signification de cette option... je ne crois pas que ca ait un effet sur mon probleme mais je vais quand meme aller regarder par curiosite. > > Alternativement, j'ai trouv� �a: > > http://www.linuxrox.com/software/dns/ > Et ils parlent de `listen-on' -- ce n'est peut-�tre pas ce que tu veux. Si, en partie. C'est surtout destine a restreimdre le servive en n'ecoutant que sur un interface interne par exemple. En general, les adresses utilisees sont 127.0.0.0 et l'adresse iP de la carte interne. J'ai donc bien mis mon IP alias au lieu de l'adresse de l'interface, mais cela n'a aucun effet. De plus, je me pose des questions car je peux effectuer des requetes sur l'adresse IP de "de base" de l'interface... et le serveur repond quand meme... zarbi ! > Dans ce cas montre-nous avec tcpdump ce qui ne semble pas marcher Sans balancer l'output d'un tcpdump, voici uen description de ce que j'ai mis en place et de ce qui se passe : Serveur DNS : ifconfig eth0 192.168.1.2 ifconfig eth0:0 192.168.1.30 Client : ifconfig eth0 192.168.1.70 Le serveur DNS ecoute sur les adresses 127.0.0.0 et 192.168.1.30 J'effectue (depuis le client) dig @192.168.1.30 www.ibm.com Reponse : ;; reply from unexpected source: 192.168.1.2#53, expected 192.168.1.30#5 Donc, le serveur repond bien, mais l'adresse de source du socket est devenu celle de son interface plutot que d'avoir conserver celle de l'alias... J'ai donc rajoute la regles suivante : iptables -t nat -A POSTROUTING -s 192.168.1.2 -p udp --sport 53 -j SNAT --to-source 192.168.1.30:53 Je ne comprends d'ailleurs pas pourquoi je dois repreciser le numero du port de la source, alors que la doc dit que cette info n'est pas touchee... mais bon, je suis encore novice dans netfilter. Si je mets '192.168.1.30:52' comme --to-source, j'ai toujours le message d'erreur mais le "unexpected source" est bien l'adresse que j'ai donnee. Maintenant, en utilisant 53, mon paquet ne repart plus vers le client... il est sans doute mange par une autre regle de mon fichier de commande d'iptables :-) Je ne suis plus tres loin du but... Ce qui m'a initialement inquiete est que j'ai trouve quelques vieux mails sur le net, dans lesquels certains disaient de ne pas utiliser d'alias pour un serveur DNS. Pourquoi ? Mystere... et je n'ai pas non plus trouve de documentation dans ce domaine. D'ailleurs la doc a ce niveau est assez lacunaire (y compris dans les sources de BIND). En plus, impossible de se mettre sur une liste de distribution pour BIND (gere par ISC), sans payer au minimum 50$ pour un particulier et 5000$ pour une societe... Ca fait chere la question :-( Voila l'etat de mes recherches. Je ferai aussi une petite doc explicative pour ce probleme, en meme temps que celle que j'ai promise pour postfix-amavis-clamav. Daniel _______________________________________________ gull mailing list [EMAIL PROTECTED] http://lists.alphanet.ch/mailman/listinfo/gull
