Forum Linux.général Configuration bind pour "spoofer" certains noms de domaines

Posté par  .
Étiquettes : aucune
0
9
juin
2008
Bonjour,

Alors, voilà, je cherche à faire un truc un peu particulier avec bind. L'idée est la suivante :

Je gère les DNS cache qui permettent aux utilisateurs de mon réseau de résoudre des noms de domaine. Ces DNS n'hébergent pas de zone et utilisent des forwarders pour résoudre les noms.
Pour de sombres raisons d'architecture réseau que je ne détaillerai pas là, je souhaiterais ne pas utiliser les forwarders pour certains noms de domaines et forcer la résolution vers une IP.

Par exemple, plutôt que de résoudre toto.masociete.com en 208.77.188.166, je voudrais répondre à l'utilisateur une IP locale, type 10.0.0.1.

J'ai trouvé un moyen en définissant dans bind une zone toto.masociete.com et en donnant l'IP correspondante. Ça fonctionne. Oui, mais voilà, si un utilisateur tente de résoudre titi.toto.masociete.com, cela ne fonctionne plus. C'est normal, car je ne l'ai pas défini dans mon fichier... et je ne peux pas définir tous les sous-domaines, vu que je ne gère pas le DNS autoritaire de la zone toto.masociete.com et que l'administrateur de ce DNS peut en ajouter autant qu'ils veut sans me prévenir (c'est une grosse société....). Je voudrais, pour ces sous-domaines non définis, utliser les forwarder de manière normale.

Alors voilà, j'ai écumé google et la doc de la conf de bind, mais sans succès. Je me suis aussi penché vers d'autres alternatives comme dnsmasq qui à l'air de convenir fonctionnellement, mais je ne sais pas si il peut tenir la charge (il y a en pic 80000 utilisateurs sur le réseau, il est pas trop fait pour...).

Donc voilà, je ne suis pas un spécialiste du DNS, alors si vous avez une idée qui m'a échappée, je suis preneur !

Merci forum !
  • # google: bind wildcard

    Posté par  . Évalué à 3.

    Je crois que c'est suffisant: *.mondomaine.com. 3600 IN A 10.0.0.1

    Sinon il y a http://www.debian-administration.org/articles/358
    • [^] # Re: google: bind wildcard

      Posté par  . Évalué à 2.

      Yep, mais en fait, je pense que c'est pas tout à fait ça dont j'ai besoin.

      Ce que je voudrais, c'est rediriger toto.masociete.com vers 10.0.0.1, mais utiliser les forwarders pour *.toto.masociete.com.
      Là, dans la conf que tu me proposes, je pense que ça va rediriger toutes les résolutions vers 10.0.0.1.

      En gros, il faudrait que bind réponde à la requête si il a l'info localement, et sinon retransfère à un forwarder plutôt que de renvoyer une erreur NXDOMAIN.
      • [^] # Re: google: bind wildcard

        Posté par  . Évalué à 2.

        J'avais lu trop vite.

        As-tu essayé d'avoir une ligne mondomaine.com. vers 10.0.0.1 et une ligne *.mondomaine.com. vers le forwarder ?
        • [^] # Re: google: bind wildcard

          Posté par  . Évalué à 1.

          Ah oui, ça m'intéresserai bien ça.

          Mais sais-tu comment définir dans le fichier zone DB le fait de définir le forwarder ? Je ne savais pas que c'était possible...

          Merci !
  • # Zone par défaut

    Posté par  (site web personnel) . Évalué à 1.

    Si tu as une zone de résolution locale, genre mondomaine.local, et que tes utilisateurs l'ont dans leur /etc/resolv.conf (option search mondomaine.local), ou bien que tu leur annonces par DHCP, tu peux insérer une entrée dans ta zone mondomaine.local :

    toto.masociete.com IN A 10.0.0.1

    (sans le point final), ce qui fera que tes utilisateurs résoudront avec :
    toto.masociete.com.mondomaine.local., mais résoudront en titi.toto.masociete.com. lorsque leurs requetes en titi.toto.masociete.com.mondomaine.local. auront échoué.

    C'est un contournement mais qui remplit bien son rôle pour une entrée DNS de temps à autres.

    Sinon j'avais pensé à une solution à base de DNAME, mais je n'y suis pas parvenu après quelques petits tests succints.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.