Transfert de zone quelques zones d'ombres


#1

Bonjour à tous,

J’ai bien vu qu’il y avait déjà un sujet ouvert sur le sujet DNS transfert de zone mais même avec les ressources fournit dans le post, je ne suis pas sûr de l’exactitude de mes acquis face à “ce concept” qu’est le transfert de zone.

Je vous propose donc, de vous faire un rapide résumé sur ce que je pense avoir compris, et j’aurais également une question à la fin, n’hésiter pas bien sûr à me corriger si inepties il a y a :stuck_out_tongue:

Donc pour moi un transfert de zone est : comme @PascalHambourg l’a précisé sur le post cité plus haut une synchronisation d’un serveur maître à un serveur esclave, autrement dit d’un SOA à un NS c’est ça ?

Autre chose qui me pose questions, si on part du principe que :

PC 1 = BAD_PC
PC 2 = Madame michou

  1. PC 1 réussit un transfert de zone sur le dns maître qui contient le domaine suivant : madame_michou_marre_detre_victime.com

  2. Madame michou se connecte au site en question

  3. Si on part du principe que le cache de son dns n’a pu de correspondance pour trouver le site en question et donc qu’il demande l’adresse au dns correspondant qui lui répondra ? Le dns légitime où celui qui est usurpé ?

Et si “Bad_PC” à du coup tout les correspondances ip/domaine du dns maître est ce que ça veut dire qu’il aura lui aussi accès aux requêtes de n’importe qui qui veut se connecter au site au même titre que le vrai dns ?


#2

Oui, c’est son usage principal.

Non. SOA et NS sont des types d’enregistrement DNS, pas des serveurs.

Tu veux dire depuis le serveur maître ?

Le serveur cache récursif demandera à un des serveurs listés dans les enregistrements NS du domaine dans la zone parente, ce qu’on appelle la délégation.

Pas du tout.


#3

Ok donc première constations, parmi tous ces termes qui pour moi sont nouveau, je confond dns maitre et serveur maitre …

Du coup oui sur le serveur maitre qui lui heberge le serveur dns principal c’est ça ?

Bon là désolé mais comme cité plus haut j’essaie autant que faire ce peut de comprendre tout ça donc une chose à la fois … Ta réponse est trop technique pour que je puisse la comprendre, elle m’embrouille plus qu’autres choses … Cependant je vais aussi me renseigner sur ce qu’est la délégation du coup … Je te remercie :slight_smile:


#4

Oui, mais non.

D’abord, formellement, le SOA n’est pas une machine, c’est un bloc d’info associé au domaine qui contient entre autre le serveur dns principal (qu’abusivement tu nommes SOA), mais pas que ça.
C’est un détail de terminologie.

Donc non, on ne peut pas faire de XFER d’un SOA à un NS, ça ne veut rien dire:
on initie depuis un client dns (pas forcément un NS de la zone, ça peut être ta machine à la maison) un transfert depuis un service dns quelconque qui connait la zone (capable de répondre mais pas forcément autorité sur la zone ni même définie dans les NS).

Ensuite les rôles de maitre/esclave pour les machines définies pour gèrer le service dns du domaine (les NS) ne concernent que la manière dont elles se synchronisent et c’est une notion indépendante qui ne dépend pas non plus de qui tu nommes serveur principal dans le SOA:
le serveur défini comme principal dans le SOA peut trés bien être un serveur secondaire qui se synchronise sur un serveur primaire n’apparaissant même pas dans les NS de la zone.
Primaire/secondaire et serveur principal ou non sont 2 notions distinctes, qui ne sont liées que par habitude/simplicité.

Ca permet des config subtiles:

  • j’ai un serveur dédié au dns, nommé loki, pour la boite et les domaines des clients,
  • loki est maitre sur la zone de la boite. Un autre serveur, thor, fait aussi serveur web pour les sites de la boite, il est déclaré en secondaire donc se synchronise sur loki pour ce domaine de la boite,
  • les serveurs web des clients de la boite gèrent eux en tant que primaire leurs propres domaines, loki se retrouve configuré cette fois en secondaire pour ces domaines, se synchronisant sur eux et répliquant les zones qui y sont créées,
  • pour tous ces domaines ou loki est NS, que ça soit comme primaire ou secondaire, il est défini en principal dans le SOA des zones, et en premier NS de chaque domaine.

Comme ça, c’est plutôt à lui que les clients demanderont en premier les questions dns, évitant de surcharger les autres machines qui sont aussi des dns capable de répondre, mais qui ont d’autres choses à faire.

J’ai RIEN compris, mais tu confonds la manière dont est configurée la résolution dns pour les clients (requête hosts, récursivité, cache, serveur défini principal) avec la manière dont les serveurs se synchronisent entre eux pour être capable de répondre (XFER, primaire/secondaire).

Quelle est ta question, en plus clair ?