Re: Dnsmasq: interdire /etc/hosts aux requètes provenant d'un VLAN particulier
Hello, Je n'y ai pas passé beaucoup de temps mais j'ai la nette impression qu'avec une unique instance de dnsmasq, je ne peux réserver la résolution de toto en 1.2.3.4 aux seuls utilisateurs d'une interface réseau. Je peux en revanche avec local-queries, faire que foobar soit résolu en 192.168.1.1 ou 10.1.0.1 selon le réseau d'origine. Unbound permet semble-t-il cette distinction. Les témoignages contradictoires ou non sont les bienvenus. Slts Le mar. 17 sept. 2019 à 09:54, daniel huhardeaux a écrit : > Le 16/09/2019 à 20:31, Pascal Hambourg a écrit : > > Le 16/09/2019 à 08:26, Olivier a écrit : > >> Ma question n'était sans doute pas très bien formulée. > >> > >> Elle ne portait pas sur la façon de router le DNS, mais d'avoir > plusieurs > >> résolutions locales différenciées. > > > > Si, c'était très clair (excepté le titre qui n'est pas terrible). Ce que > > tu veux faire s'appelle du "split DNS". Dans BIND 9, cela correspondrait > > à des "vues" (views). Malheureusement je ne connais pas bien dnsmasq et > > ignore s'il possède une fonctionnalité équivalente. > > > > L'OP devrait pouvoir s'en sortir en utilisant addn-hosts pour les > différents fichiers hosts et les noms de domaine locaux gérés par > dnsmasq (auth-server, auth-zone, localise-queries). > > Pas testé. > > -- > Daniel > >
Re: Dnsmasq: interdire /etc/hosts aux requètes provenant d'un VLAN particulier
Le 16/09/2019 à 20:31, Pascal Hambourg a écrit : Le 16/09/2019 à 08:26, Olivier a écrit : Ma question n'était sans doute pas très bien formulée. Elle ne portait pas sur la façon de router le DNS, mais d'avoir plusieurs résolutions locales différenciées. Si, c'était très clair (excepté le titre qui n'est pas terrible). Ce que tu veux faire s'appelle du "split DNS". Dans BIND 9, cela correspondrait à des "vues" (views). Malheureusement je ne connais pas bien dnsmasq et ignore s'il possède une fonctionnalité équivalente. L'OP devrait pouvoir s'en sortir en utilisant addn-hosts pour les différents fichiers hosts et les noms de domaine locaux gérés par dnsmasq (auth-server, auth-zone, localise-queries). Pas testé. -- Daniel
Re: Dnsmasq: interdire /etc/hosts aux requètes provenant d'un VLAN particulier
Le 16/09/2019 à 08:26, Olivier a écrit : Ma question n'était sans doute pas très bien formulée. Elle ne portait pas sur la façon de router le DNS, mais d'avoir plusieurs résolutions locales différenciées. Si, c'était très clair (excepté le titre qui n'est pas terrible). Ce que tu veux faire s'appelle du "split DNS". Dans BIND 9, cela correspondrait à des "vues" (views). Malheureusement je ne connais pas bien dnsmasq et ignore s'il possède une fonctionnalité équivalente.
Re: Dnsmasq: interdire /etc/hosts aux requètes provenant d'un VLAN particulier
Ma question n'était sans doute pas très bien formulée. Elle ne portait pas sur la façon de router le DNS, mais d'avoir plusieurs résolutions locales différenciées. Exemple: Pour le LAN1, host1 vaut 192.168.1.1 Pour le LAN2, host2 vaut 176.16.1.2 Une machine du LAN1 ne doit pas pouvoir résoudre host2. Une machine du LAN2 ne doit pas pouvoir résoudre host1. Évidemment, host1 est une ressource privée du réseau pour laquelle, je n'ai pas de FQDN de type host1.exemple.fr. Je gère ces ressources privées en éditant simplement un ou deux fichiers de types /etc/hosts. En d'autres termes, ma question porte sur la configuration de Dnsmasq qui par construction, reçoit des requètes DNS, consulte des fichiers de types /etc/hosts et relaie vers un serveur DNS tiers les requètes pour lesquelles il n'a pas de réponse locale. Dans la mesure du possible, j'essaie d'éviter d'avoir deux instances de Dnsmasq. Le ven. 13 sept. 2019 à 16:20, Basile Starynkevitch < bas...@starynkevitch.net> a écrit : > > On 9/13/19 4:18 PM, Olivier wrote: > > Bonjour, > > Une question toute simple: > j'ai une machine sous Debian Stretch avec deux interfaces eth0 et eth0.123 > Comment faire pour qu' > 1. aux requètes reçues via eth0, Dnsmasq réponde en consultant un fichier > /etc/hosts puis le serveur 1.1.1.1 > 2. aux requètes reçues via eth0.123, Dnsmasq réponde en consultant un > fichier /etc/hosts123 puis le serveur 8.8.8.8. > > > CA s'appelle une DeM-Militarized Zone. > > > Googler sur *debian DMZ * > > voir aussi iptables > > > -- > Basile STARYNKEVITCH == http://starynkevitch.net/Basile > opinions are mine only - les opinions sont seulement miennes > Bourg La Reine, France; > (mobile phone: cf my web page / voir ma page web...) > >
Re: Dnsmasq: interdire /etc/hosts aux requètes provenant d'un VLAN particulier
Le 13/09/2019 à 16:18, Olivier a écrit : Bonjour, Une question toute simple: j'ai une machine sous Debian Stretch avec deux interfaces eth0 et eth0.123 Comment faire pour qu' 1. aux requètes reçues via eth0, Dnsmasq réponde en consultant un fichier /etc/hosts puis le serveur 1.1.1.1 2. aux requètes reçues via eth0.123, Dnsmasq réponde en consultant un fichier /etc/hosts123 puis le serveur 8.8.8.8. En d'autres termes, je ne veux pas que les utilisateurs du VLAN123 puisse indirectement accéder au contenu du fichier /etc/hosts. J'imagine qu'il est possible d'atteindre ce résultat avec deux instances de Dnsmasq tournant sur la même machine. J'ai lu que l'option local-queries pouvait peut-être (pas testé) avoir l'effet de bord souhaité mais elle ne me plait pas car pas prévue pour ça mais pour un hôte à plusieurs interfaces reste plus facilement atteignable) Est-ce possible de faire autrement et plus simple ? Utilise les TAG puis les options router et dns Ex: # Telephones - Plage 10.10.12.190 à 10.10.12.191 dhcp-range = tag:voice,10.10.12.190,10.10.12.191,255.255.255.0,2m dhcp-option = tag:voice, option:router, 10.10.12.254 dhcp-option = tag:voice, option:dns-server, 10.10.12.254
Dnsmasq: interdire /etc/hosts aux requètes provenant d'un VLAN particulier
Bonjour, Une question toute simple: j'ai une machine sous Debian Stretch avec deux interfaces eth0 et eth0.123 Comment faire pour qu' 1. aux requètes reçues via eth0, Dnsmasq réponde en consultant un fichier /etc/hosts puis le serveur 1.1.1.1 2. aux requètes reçues via eth0.123, Dnsmasq réponde en consultant un fichier /etc/hosts123 puis le serveur 8.8.8.8. En d'autres termes, je ne veux pas que les utilisateurs du VLAN123 puisse indirectement accéder au contenu du fichier /etc/hosts. J'imagine qu'il est possible d'atteindre ce résultat avec deux instances de Dnsmasq tournant sur la même machine. J'ai lu que l'option local-queries pouvait peut-être (pas testé) avoir l'effet de bord souhaité mais elle ne me plait pas car pas prévue pour ça mais pour un hôte à plusieurs interfaces reste plus facilement atteignable) Est-ce possible de faire autrement et plus simple ? Slts