Ainsi parla Godwin Stewart <[EMAIL PROTECTED]>, le 1 janvier de l'an de grâce
2003 :
> Hmm. Bizarre. En général, si DMZ il y a, les postes clients en sont isolés
> par un deuxième pare-feu :
>
> Internet -> Routeur/pare-feu -> DMZ -> pare-feu -> Rézo local
Pas si bizarre que ça, j'ai déjà vu un certain nombre de pare-feux
commerciaux avec deux interfaces : une vers le réseau interne, et une
vers la DMZ. Je suppose que c'est histoire d'être moins chers et donc
d'avoir un argument commercial (même s'il est vrai qu'il vaut mieux avoir
deux machines)...
> 2) Tout faire en DNS pur avec des entrées d'alias (CNAME) dans sa config.
> Cette solution présente l'inconvénient qu'une adresse IP locale sera
> renvoyée à un résolveur externe qui fait une recherche sur l'un de ces noms
> d'hôte. Il faut donc éviter de communiquer ces noms à l'extérieur, ou alors
> demander à son FAI ou gérant de nom de domaine à gérer le DNS extérieur et
> n'utiliser bind qu'en interne.
Pas forcément. Il suffit d'utiliser deux serveurs de noms : un pour les
machines internes (qui contient une zone adaptée) et un pour le reste du
monde, à qui seront envoyées les requêtes DNS de l'extérieur. Voici
comment faire ça simplement.
Admettons que ton serveur multi-fonctions soit présent à l'adresse
192.168.1.41, adresse à laquelle les requêtes DNS de l'extérieur lui
sont envoyées. La procédure est la suivante :
1. Ajoute un alias à ton serveur multi-fonctions dans la DMZ. Avec
ifconfig :
ifconfig eth0:0 192.168.1.42 netmask 255.255.255.0
2. Copie le named.conf de ton serveur BIND, et appelle-le, mettons,
named.conf.internal. Dans celui-ci, tu mets une nouvelle directive dans
options :
listen-on {
127.0.0.1;
192.168.1.42;
};
Je mets 127.0.0.1 car il vaut mieux que ce soit celui-ci qui réponde aux
requêtes locales, puisqu'on est à l'intérieur. Dans le named.conf
original, en revanche tu mets :
listen-on { 192.168.1.41; };
3. Copie le fichier de zone de ton domaine dans un second fichier
(disons, db.serveur.org.internal), et change les adresses de ce dernier
fichier pour mettre les adresses internes vers lesquelles le routeur
devrait te rediriger s'il faisait son boulot.
4. Dans named.conf.internal, modifie la déclaration de la zone
'serveur.org' :
zone "serveur.org" {
type master;
file "db.serveur.org.internal";
};
5. Redémarre ton serveur BIND pour qu'il n'écoute bien que sur la 41,
puis lance une nouvelle instance du serveur avec le nouveau fichier de
config :
named -c /chemin/vers/named.conf.internal
6. Mets juste ceci dans /etc/resolv.conf :
nameserver 127.0.0.1
7. Teste si www.serveur.org est bien résolu vers l'adresse que tu as
mise dans db.serveur.org.internal. En théorie, c'est le cas.
8. Si tout va bien, tu peux pérenniser cette configuration en rajoutant
ces modifs aux scripts d'amorçage. Si le serveur multicartes est une
Debian[1], le plus propre est de faire ainsi (tu le sais déjà, mais bon,
autant aller jusqu'au bout) :
8.1. Rajoute l'interface réseau du serveur de noms interne dans
/etc/network/interfaces :
auto eth0:0
iface eth0:0 inet static
address 192.168.1.42
netmask 255.255.255.0
8.2. Copie /etc/init.d/bind9 dans /etc/init.d/bind9.internal, édite ce
dernier fichier et rajoute '-c /chemin/vers/named.conf.internal' à la
ligne 'OPTS=""' et rajoute ce nouveau service au démarrage avec 'rcconf'
ou en tapant :
update-rc.d bind9.internal defaults
8.3. Va sur les postes clients et inscris 192.168.1.42 comme serveur de
noms.
Voilà. Je *pense* que ça devrait suffire, mais je n'ai en fait jamais
tenté ceci moi-même. Je viens juste de RTFMer un peu, et la méthode me
semble valide. J'espère que ça pourra faire l'affaire...
[1] Je n'ai pas été capable de déterminer la distrib de la machine, car
elle ne répond pas en HTTP, et lorsque je tente une connection SMTP,
j'obtiens ça :
# telnet sylvie16.net1.nerim.net smtp
Trying 213.41.140.56...
Connected to sylvie16.net1.nerim.net.
Escape character is '^]'.
2003-01-01 23:55:05 Failed to open configuration file /etc/exim/exim.conf
Connection closed by foreign host.
D'ailleurs, rien à voir avec la choucroute mais les auteurs d'Exim
auraient peut-être pu se fouler un peu pour afficher un '421 Service not
available' plutôt que d'afficher simplement une ligne du journal...
+++
--
Jacques Caruso | Administrateur système | Life? Don't talk to
[EMAIL PROTECTED] | Webmaster, jeuxdroles.org | me about life!
(+33) 493 847 728 | Membre des Minotaures du Sud | -- Marvin the
PGP : 0x41F5C63D | Membre de Linux-Azur | paranoid android
Linux-Azur : http://www.linux-azur.org
Désinscriptions: http://www.linux-azur.org/liste.php3
**** Pas de message au format HTML, SVP ****
