Forum général.petites-annonces Cherche/propose serveur DNS esclave

Posté par (page perso) . Licence CC by-sa
Tags : aucun
2
20
avr.
2015

Bonjour,

Je suis gérant de deux zones DNS qui sont hébergées sur mon serveur (virtuel) perso. L’hébergeur dudit serveur, OVH, met à ma disposition un serveur DNS esclave, permettant à mes zones d’être servies par deux serveurs de noms distincts, ce qui est le minimum recommandé. Malheureusement, les deux serveurs sont donc chez OVH (AS 16276), alors que les bonnes pratiques recommandent aussi que les différents serveurs de noms soient dans des AS différents.

En conséquence et conformément au RFC 2182, §6, je cherche « une organisation de taille similaire » à la mienne (soit environ 1m70) avec qui passer un accord d’échange de zones secondaires.

Si vous administrez un serveur de noms ailleurs que chez OVH, je vous propose donc de faire de votre serveur un esclave pour mes zones, et en échange, je ferai du mien un esclave pour les vôtres.

Si vous êtes intéressés, nous pouvons en discuter ici-même, ou vous pouvez me joindre par e-mail à dgouttegattat@incenp.org.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Si vous souhaitez que les transferts de zones entre nos machines soient authentifiés, vous pouvez aussi m’envoyer une clef TSIG par e-mail chiffré, avec ma clef OpenPGP disponible sur http://incenp.org/srv/dgouttegattat.asc (empreinte 4FA2 0823 62FE 73AD 03B8  8830 A8DC 7067 E25F BABB — il s’agit de la clef utilisée pour signer le fragment de message que vous êtes en train de lire). À défaut, l’authentification se fera sur la seule base des adresses IP.

-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJVNXokAAoJEKpDc+bILHitoA4IAMvuizXQEmRSocl++dQn6bgB
KuwEc3ujC3hc/Haa+zdBDSMJzJ8hxuLR15B1vXjDmsspro311eiUJPcoSTWPMZel
/i0JQ6kk7Jd7vEYvyoV+IorcCBh1jHz4lQdXut8dCWhATNuQK1vD81UIjh84AMxN
bE6EYpuBb5EnYAUsz7Kg9kqJozO/HtNpJOa0zEHWKiaFyqDcjyLzs4Qe/TW9yVhm
RtsTxfIpy+SVkbmipJoPP9J84Q0R43VIix8grW7dPEQz7MTRfcnALCxDeZXr8JNI
WvyUrynNnwYa4FZjrb3qLXIjYiScBgZTJcbWo7Gd2th6q5UxnwCwyEtHF6bNJ4M=
=BJm3
-----END PGP SIGNATURE-----
  • # Franchement !

    Posté par . Évalué à 0.

    Franchement, c'est dégoûtant. Tu t'adonnes au stupre, d'accord, mais va publier tes annonces d'orgies ailleurs ! Grossssssssssss.

    Pour un sextumvirat ! Zenitram, Tanguy Ortolo, Maclag, xaccrocheur, arnaudus et alenvers présidents !

  • # OVH aussi

    Posté par (page perso) . Évalué à 3.

    Je me serais bien proposé, en réplication avec TSIG, mais… mon serveur perso est derrière une ADSL… de chez OVH ! Ceci dit, ma connexion utilise un autre AS d'OVH, le 35540. Donc si ça te convient…

    • [^] # Re: OVH aussi

      Posté par (page perso) . Évalué à 3.

      Derrière une VDSL2 OVH pardon.

    • [^] # Re: OVH aussi

      Posté par (page perso) . Évalué à 2.

      On peut raisonnablement supposer que le réseau de OVH l’hébergeur est distinct de celui de OVH le fournisseur d’accès (raison pour laquelles ils ont deux numéros d’AS différents), et qu’une panne de l’un n’affectera pas systématiquement l’autre. C’est déjà un début, ça me convient.

      (L’offre n’est pas limitée à une seule personne — mon serveur a je pense largement de quoi héberger d’autres zones —, donc si d’autres sont intéressés, ce n’est pas trop tard.)

  • # Intérêt ?

    Posté par (page perso) . Évalué à 3.

    Il y a quelques années j'avais fait la même chose avec une entreprise « amie ». Histoire d'être fier de respecter la norme.

    Mais si mes services (serveur web, serveur d'email, etc) sont au même endroit que mon DNS, il n'est pas bien utile d'avoir un DNS accessible ailleurs : si l'accès à mon réseau est coupé, DNS ou pas, rien ne sera accessible.
    Quelqu'un a un contre-exemple ?

    Si j'ai des services éparpillés un peu partout, là ok, il faut une infrastructure DNS répartie également.

    • [^] # Re: Intérêt ?

      Posté par (page perso) . Évalué à 5.

      Je pense qu'il est préférable d'avoir une résolution qui marche, puis un échec de connexion, qu'un échec de résolution. Déjà, ça permet de mieux identifier le problème : serveur injoignable, c'est clair. Nom impossible à résoudre en revanche…

    • [^] # Re: Intérêt ?

      Posté par (page perso) . Évalué à 6.

      Dans mon cas, où tous les services sont sur une seule machine (exactement la même machine qui sert la zone DNS…), l’intérêt est réduit, en effet. Inutile de le nier, ma motivation principale n’est rien de plus que la satisfaction de faire les choses correctement.

      Mais quelques informations (pas beaucoup, je te l’accorde) publiées dans ma zone restent intéressantes même dans le cas où les services sont temporairement inaccessibles, comme par exemple :

      – l’adresse du serveur de courrier (au moins le serveur SMTP de l’expéditeur saura déjà où l’envoyer, même s’il devra attendre pour procéder à l’envoi proprement dit) ;
      – les clefs DKIM (un client peut vouloir vérifier une signature DKIM à n’importe quel moment) ;
      – dans le même ordre d’idée, les enregistrements SPF et DMARC ;
      – l’empreinte de ma clef OpenPGP (publiée via un enregistrement CERT).

    • [^] # Re: Intérêt ?

      Posté par . Évalué à 1.

      Sur le fond tu as raison, si c'est une panne générale de l'AS plus aucun service… Par contre dans le cas où c'est une mauvaise configuration d'un FW, IPS ou je ne sais quel autre équipement, tu pourrais te retrouver avec une coupure du trafic DNS mais pas du reste. C'est rare mais ça peut arriver.

  • # Intéressant

    Posté par (page perso) . Évalué à 4.

    Je comptais justement me faire un serveur de nom hébergé sur mes machines. Si tu peux attendre un mois (ou moins, ça dépend de mon temps libre et de ma motivation), je peux te fournir un esclave chez firstheberg, et plus tard, un esclave auto-hébergé chez edpnet en Belgique.

    Ce n'est pas non plus une offre limitée à une personne.

    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: Intéressant

      Posté par (page perso) . Évalué à 4.

      Bon, en fait, j'étais motivé aujourd'hui et j'ai un serveur de prêt.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.