1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.FRENCH

  • Conseils sur la configuration DNS d'un serveur

    From Olivier@21:1/5 to All on Fri Sep 22 11:10:01 2023
    Bonjour,

    J'ai besoin d'implémenter un serveur (sous Bullseye pour l'instant)
    qui va faire office de cache DNS pour les machines de réseaux locaux
    (une centaine de machines réparties dans plusieurs VLAN).
    Une précision importante: je ne maîtrise pas ces machines réparties
    dans plusieurs VLAN: il peut s'agir de smartphones, PC ou console de
    tout type.

    Mes besoins:
    - pour chaque VLAN, j'aimerai pouvoir désigner un fichier
    /etc/hosts.vlanx dans lequel je liste quelques ressources locales
    (imprimante, ...) pouvant être résolues.

    - si l'existence de cache DNS accélère la résolution DNS des machines
    du réseau local, tant mieux, sinon c'est pas grave.

    Vis à vis du DNS amont, j'utilise un fichier /etc/resolv.conf dont le
    contenu est:
    options rotate timeout:1 retries:1
    search monsuperdomain.lan
    nameserver 1.1.1.1
    nameserver 9.9.9.9

    Je découvre unbound qui m'a l'air de bien coller à mes besoins. Mes questions:

    1. Préférez-vous séparer le paramétrage DNS amont (/etc/resolv.conf)
    de celui en aval ?

    2. Activer le DNSSEC engendre-t-il des difficultés pour l'exploitant ?
    Les utilisateurs lambda perçoivent-ils selon vous, des bénéfices ou
    des inconvénients ?

    3. Quand on sert des utilisateurs qui consomment du Netflix, TikTok ou
    youtube, faut-il attendre des bénéfices avec du cache DNS (par rapport
    à une configuration où les utilisateurs interrogent directement des
    DNS publics) ?

    4. Conseillez-vous unbound ? Si non, quelle alternative ?

    Slts

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Michel Verdier@21:1/5 to All on Fri Sep 22 14:10:01 2023
    Le 22 septembre 2023 Olivier a écrit :

    3. Quand on sert des utilisateurs qui consomment du Netflix, TikTok ou youtube, faut-il attendre des bénéfices avec du cache DNS (par rapport
    à une configuration où les utilisateurs interrogent directement des
    DNS publics) ?

    un cache accélère nettement

    $ dig @cache netflix.com

    premier appel :

    ;; Query time: 11 msec

    deuxième appel :

    ;; Query time: 2 msec


    4. Conseillez-vous unbound ? Si non, quelle alternative ?

    bind9 est quand même LE serveur DNS. Il permet de
    - forwarder en servant de cache
    - servir des zones internes selon le vlan avec les views ce qui
    dispense des /etc/hosts
    - mettre DNSSEC
    Et pas besoin de passer par quad9 ou cloudflare bind peut forwarder en
    direct.

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Stephane Bortzmeyer@21:1/5 to [email protected] on Fri Sep 22 15:10:02 2023
    On Fri, Sep 22, 2023 at 02:02:36PM +0200,
    Michel Verdier <[email protected]> wrote
    a message of 31 lines which said:

    4. Conseillez-vous unbound ? Si non, quelle alternative ?

    bind9 est quand même LE serveur DNS.

    En 2023, c'est une affirmation très bizarre. Cela fait de nombreuses
    années qu'il existe de meilleurs logiciels. BIND est utile dans deux
    cas :
    - si on veut une option très exotique qui n'existe que sur BIND,
    - si on aime les patches de sécurité à appliquer en urgence tous les mois.

    - forwarder en servant de cache

    Comem tous les résolveurs (encore heureux).

    - mettre DNSSEC

    Comme tous les résolveurs (encore heureux).

    Et pas besoin de passer par quad9 ou cloudflare bind peut forwarder en direct.

    Comme tous les résolveurs (encore heureux).

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Stephane Bortzmeyer@21:1/5 to [email protected] on Fri Sep 22 15:10:02 2023
    On Fri, Sep 22, 2023 at 11:01:52AM +0200,
    Olivier <[email protected]> wrote
    a message of 48 lines which said:

    - pour chaque VLAN, j'aimerai pouvoir désigner un fichier
    /etc/hosts.vlanx dans lequel je liste quelques ressources locales (imprimante, ...) pouvant être résolues.

    Hmmm, ça va sérieusement compliquer les choses (et le déboguage !). À
    part avec les vues, je ne vois pas comment faire.

    Vis à vis du DNS amont, j'utilise un fichier /etc/resolv.conf dont le contenu est:
    options rotate timeout:1 retries:1
    search monsuperdomain.lan
    nameserver 1.1.1.1
    nameserver 9.9.9.9

    Alors, quatre remarques :

    - pourquoi utiliser des résolveurs étatsuniens qui font Dieu sait quoi
    des données récoltées ?
    - pourquoi d'ailleurs utiliser un résolveur en aval, plutôt que de
    parler directement aux serveurs faisant autorité ?
    - /etc/resolv.conf est pour les clients finaux, pas pour un résolveur,
    - avoir à la fois un résolveur non menteur et un menteur va être assez cauchemardesque pour le déboguage.

    1. Préférez-vous séparer le paramétrage DNS amont (/etc/resolv.conf)
    de celui en aval ?

    Pas clair. Pas compris.

    2. Activer le DNSSEC engendre-t-il des difficultés pour
    l'exploitant ?

    On est en 2023, tous les résolveurs sérieux valident avec DNSSEC.

    Les utilisateurs lambda perçoivent-ils selon vous, des bénéfices ou
    des inconvénients ?

    Bénéfice : sécurité
    Inconvénient : comme toutes les techniques de sécurité, ça peut
    bloquer des accès légitimes

    3. Quand on sert des utilisateurs qui consomment du Netflix, TikTok
    ou youtube, faut-il attendre des bénéfices avec du cache DNS (par
    rapport à une configuration où les utilisateurs interrogent
    directement des DNS publics) ?

    Tester. (En administration système, il faut mesurer, pas supposer.)

    4. Conseillez-vous unbound ? Si non, quelle alternative ?

    Unbound est très bien, mais Knot Resolver aussi.

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Olivier@21:1/5 to All on Fri Sep 22 16:50:01 2023
    Le ven. 22 sept. 2023 à 15:03, Stephane Bortzmeyer
    <[email protected]> a écrit :
    - pourquoi d'ailleurs utiliser un résolveur en aval, plutôt que de
    parler directement aux serveurs faisant autorité ?

    Quand on installe sur sa machine, un logiciel comme Unbound, celui-ci
    sait-il directement interroger les serveurs DNS centraux qui gèrent
    les .com, .fr et autres (ie sans passer par les serveurs comme
    1.1.1.1 ou autres ) ?

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Olivier@21:1/5 to All on Fri Sep 22 17:00:01 2023
    Le ven. 22 sept. 2023 à 15:20, Michel Verdier <[email protected]> a écrit :



    Et pas besoin de passer par quad9 ou cloudflare bind peut forwarder en direct.

    Je n'avais pas compris que c'était possible !
    Merci à Michel et Stéphane pour leur réponse qui change pas mal de choses.

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Stephane Bortzmeyer@21:1/5 to [email protected] on Fri Sep 22 17:20:01 2023
    On Fri, Sep 22, 2023 at 04:55:05PM +0200,
    Olivier <[email protected]> wrote
    a message of 11 lines which said:

    Et pas besoin de passer par quad9 ou cloudflare bind peut forwarder en direct.

    Je n'avais pas compris que c'était possible !

    Tout le monde peut installer un vrai résolveur (qui parle directement
    aux serveurs faisant autorité). Enfin, pour l'instant : parions que le gouvernement va proposer une loi pour interdire cela.

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Stephane Bortzmeyer@21:1/5 to [email protected] on Fri Sep 22 17:30:02 2023
    On Fri, Sep 22, 2023 at 04:49:07PM +0200,
    Olivier <[email protected]> wrote
    a message of 10 lines which said:

    Quand on installe sur sa machine, un logiciel comme Unbound, celui-ci
    sait-il directement interroger les serveurs DNS centraux qui gèrent
    les .com, .fr et autres (ie sans passer par les serveurs comme
    1.1.1.1 ou autres ) ?

    Oui. Cloudflare 1.1.1.1 ne fait pas autrement, il n'a pas de privilège particulier, il parle aux serveurs faisant autorité, comme le fait le résolveur public de FDN, ou comme le fait le petit résolveur Knot qui
    est chez moi.

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Stephane Bortzmeyer@21:1/5 to [email protected] on Fri Sep 22 17:40:01 2023
    On Fri, Sep 22, 2023 at 05:19:08PM +0200,
    Stephane Bortzmeyer <[email protected]> wrote
    a message of 13 lines which said:

    Oui. Cloudflare 1.1.1.1 ne fait pas autrement, il n'a pas de
    privilège particulier, il parle aux serveurs faisant autorité, comme
    le fait le résolveur public de FDN, ou comme le fait le petit
    résolveur Knot qui est chez moi.

    La preuve avec dig. Voici la requête qu'un résolveur enverrait à un
    des serveurs faisant autorité pour .fr, le d.nic.fr. La réponse arrive
    bien, alors qu'elle est partie d'une petite machine Debian ordinaire, bêtement connectée à un FAI grand public (Free) :

    % dig +dnssec +norecurse @d.nic.fr www.paypal.fr AAAA

    ; <<>> DiG 9.18.16-1-Debian <<>> +dnssec +norecurse @d.nic.fr www.paypal.fr AAAA
    ; (2 servers found)
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44594
    ;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 6, ADDITIONAL: 1

    ;; OPT PSEUDOSECTION:
    ; EDNS: version: 0, flags: do; udp: 1232
    ; COOKIE: 55a74fbb3177a81301000000650db3019fb5c6c75bc88734 (good)
    ;; QUESTION SECTION:
    ;www.paypal.fr. IN AAAA

    ;; AUTHORITY SECTION:
    paypal.fr. 3600 IN NS ns1.p57.dynect.net.
    paypal.fr. 3600 IN NS pdns100.ultradns.net.
    paypal.fr. 3600 IN NS pdns100.ultradns.com.
    paypal.fr. 3600 IN NS ns2.p57.dynect.net.
    paypal.fr. 3600 IN DS 49549 8 2 (
    D99B0F323A7E1161CD598AA9ACDAC29235F6707D0E4A
    C6EBC59FCB703E96AB63 )
    paypal.fr. 3600 IN RRSIG DS 13 2 3600 (
    20231126092821 20230915144228 60747 fr.
    UouuMe6fve2zA8wRqaJCWXoPqjFDh0XafGdfwQ5sM65a
    eRJotF77ify6lIXaYkt9iT0XueXYMDCRjeXafdBIzg== )

    ;; Query time: 0 msec
    ;; SERVER: 2001:678:c::1#53(d.nic.fr) (UDP)
    ;; WHEN: Fri Sep 22 15:30:09 UTC 2023
    ;; MSG SIZE rcvd: 334

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)