Questions sur les dns

Pause Café
#1

Salut à tous.

Suite à une remarque de PascalHambourg, dans ce fil: viewtopic.php?f=3&t=22790

il me vient une question: les dns que l’on indique (qd on est en static) ne sont rien d’autres que des IP de serveurs dns. Pourquoi doit-on forcément prendre ceux de son fournisseur d’accés, et pas d’un autre: il y a un filtre sur le serveur ou un truc du genre qui empêche l’accés à leur serveur dns si le FAI ne correspond pas ?
J’avais déjà constaté ce pb: j’ai changé de FAI dernièrement, en oubliant de changer les dns, et du coup, plus accés aux sites. J’avais remis les dns fournis en m’apercevanr du pb.
Et pourtant, de mémoire, j’ai l’impression qu’il y a un ou deux ans, j’avais remplacé les dns de mon FAI par d’autres (je ne sais plus lesquels ), et je n’avais rencontré aucun pb.

Quid de tout ça, comme dirait l’autre :question:

#2

certes mais les accès aux DNS deviennent de plus en plus restreints comme les SMTP: Un DNS peut

  • Gérer une zone donnée, un domaine ou une plage d’IP
  • Transmettre une requête aux DNS concernés et retourner la réponse (en gérant éventuellement un cache)

Lors de mes premières configurations de DNS, si la première partie était à faire pour un domaine publique, je laissais à ce moment là la possibilité à tous d’utiliser le DNS (en clair, au lieu de limiter les réponses à l’extérieur aux seuls domaines gérés, je laissais le DNS relayer éventuellement une requête), le traffic rajouté était minime et ça me faisait un DNS acessible de partout.

Cependant cette possibilité [que l’on peut controler en testant la présence du drapeau «ra» dans la commande
$ dig @IP_du_serveur
] semble permettre l’utilisation du DNS pour faire un DoS sur certaines machines (des DNS je suppose), il faut donc limiter le relais des requêtes à un réseau précis (directive allow-recursion). Tu peux également limiter l’accès au cache du DNS (allow-query-cache). Il existe encore quelques serveurs relayant les requêtes DNS mais la plupart du temps ça n’est plus le cas…

#3

Tout s’explique.
Mais encore une question: à quoi voit le serveur dns d’un FAI que tu as cet FAI ou pas ? Il y a qquechose de commun sur les modem ADSL qu’ils fournissent (adresse mac ou autre), ou est-ce dans l’IP public qu’ils nous fournissent, ou alors directement dans la requête DNS envoyée…

#4

Par l’IP, les requêtes ne sont relayées que pour celles venant d’un réseau donné…

#5

ok. Merci pour tout.