Bonjour, je dois admettre que je ne comprends pas trop.
De toute fa�on ce service doit �tre atteignable, la limitation en fonction du port source a-t-elle vraiment un sens? Le serveur doit de toute fa�on �tre d�mar� en root pour "binder" le port 53, mais il doit le rester s'il veut envoyer des donn�es avec un port source privil�gi� (ma premi�re question reste). Sinon il peut changer d'utilisateur). En r�fl�chissant un peu, on peut se dire que les clients "normaux" utiliseront un port non-privil�gi� comme source et un autre bind, pour par exemple effectuer un transfer, utiliserait le port 53 en source... D'une fa�on g�n�rale, c'est au d�mon bind de d�finir qui a le droit � un service diff�rent. Il me semble que UDP est utilis� pour les requ�tes normale et tcp est plut�t utilis� pour les autres fonctions dns (zone tranfer par exemple.) mais je n'en suis pas s�r. Donc pour ma part, le service est simplement ouvert � tous et bind autorise 3 serveurs (IP) a faire du trasfert de zone. Magnus l'illustre Daniel Cordey a dit un jour, > On Friday 10 September 2004 12:35, Julien Escario wrote: > >> Apr�s recherche, il semble que ce ne soit pas un >> comportement proscrit >> m�me si depuis sa version 8.1 BIND utilise des ports non >> privil�gi�s pour >> faire toutes ces requ�tes et que beaucoup de scripts >> trouv�s sur le net >> bloquent les requ�tes depuis des ports privil�gi�s. > > Oui, le serveur "peut" envoyer des requetes depuis un > autre port, mais ce > n'est pas une obligation. On peut tres bien envisager > d'avoir un serveur qui > "ecoute" et effectue ses transactions avec un port >1024. > Ceci eviterait la > necessite de tourner le 'named' en root... mais alors, il > faudrait que les > autres services qui contactent le serveur connaisse le > numero du port. Or, > par defaut, les requetes des autres serveurs/resolveurs > arrivent sur ce port. > Il est donc delicat de le toucher a moins d'avoir un > serveur a usage > uniquement interne. > >>Quel est la configuration de votre firewall pour le >> serveur DNS ? > > Il faut ouvrir le port. > > Pour augmenter le risque (hyper faible), tu peux tourner > ton serveur en > utilsant un port >1024 (donc plus besoin d'etre root pour > named) et faire du > forwarding depuis le port 53 du FW, vers le port de ton > serveur derriere le > FW (et inversement). > > Daniel > _______________________________________________ > gull mailing list > [EMAIL PROTECTED] > http://lists.alphanet.ch/mailman/listinfo/gull > _______________________________________________ gull mailing list [EMAIL PROTECTED] http://lists.alphanet.ch/mailman/listinfo/gull
