[gull] Clamav

Daniel Cordey dc at mjt.ch
Tue Dec 30 17:51:02 CET 2003 

On Tuesday 30 December 2003 16:37, Marc SCHAEFER wrote:

> Donc, ton serveur DNS (bind9) est installé et configuré sur une machine
> qui possède une carte réseau mais celle-ci a plusieurs adresses IP.

Exact. J'ai en fait plusieurs machines qui possedent force,ent chacune une adresse
"de base". J edeplace mes services entre ces machines (DNS, mail, pop, www) en fonction
de differents criteres du style : maintenance, probleme, etc.
Le but etant depouvoir deplacer juste un seul service a la demande, tout en conservant le
systeme initial accessible (pour des raisons de tests etc.).

> Dans la documentation de BIND, tu trouveras notamment que tu peux
> ajouter une clause match-client. Mais cela est apparemment uniquement
> pour des cas simples (un serveur DNS, deux adresses).

Tiens j'ai oublie la signification de cette option... je ne crois pas que ca ait un effet sur mon
probleme mais je vais quand meme aller regarder par curiosite.
>
> Alternativement, j'ai trouvé ça:
>
>    http://www.linuxrox.com/software/dns/

> Et ils parlent de `listen-on' -- ce n'est peut-être pas ce que tu veux.

Si, en partie. C'est surtout destine a restreimdre le servive en n'ecoutant que sur un interface interne 
par exemple. En general, les adresses utilisees sont 127.0.0.0 et l'adresse iP de la carte
interne. J'ai donc bien mis mon IP alias au lieu de l'adresse de l'interface, mais cela n'a aucun
effet. De plus, je me pose des questions car je peux effectuer des requetes sur l'adresse IP de "de base"
de l'interface... et le serveur repond quand meme... zarbi !

> Dans ce cas montre-nous avec tcpdump ce qui ne semble pas marcher

Sans balancer l'output d'un tcpdump, voici uen description de ce que j'ai mis en place et 
de ce qui se passe :

Serveur DNS :
	ifconfig eth0	192.168.1.2
	ifconfig eth0:0	192.168.1.30

Client :
	ifconfig eth0	192.168.1.70

Le serveur DNS ecoute sur les adresses 127.0.0.0 et 192.168.1.30

J'effectue (depuis le client)

	dig @192.168.1.30 www.ibm.com

Reponse :
	;; reply from unexpected source: 192.168.1.2#53, expected 192.168.1.30#5

Donc, le serveur repond bien, mais l'adresse de source du socket est devenu celle 
de son interface plutot que d'avoir conserver celle de l'alias...

J'ai donc rajoute la regles suivante :

	iptables -t nat -A POSTROUTING -s 192.168.1.2 -p udp --sport 53 -j SNAT --to-source 192.168.1.30:53

Je ne comprends d'ailleurs pas pourquoi je dois repreciser le numero du port de la source, alors que la 
doc dit que cette info n'est pas touchee... mais bon, je suis encore novice dans netfilter.

Si je mets '192.168.1.30:52' comme --to-source, j'ai toujours le message d'erreur mais le 
"unexpected source" est bien l'adresse que j'ai donnee. Maintenant, en utilisant 53, mon paquet ne 
repart plus vers le client... il est sans doute mange par une autre regle de mon fichier de commande
d'iptables :-)

Je ne suis plus tres loin du but... Ce qui m'a initialement inquiete est que j'ai trouve quelques vieux 
mails sur le net, dans lesquels certains disaient de ne pas utiliser d'alias pour un serveur DNS.
Pourquoi ? Mystere... et je n'ai pas non plus trouve de documentation dans ce domaine. D'ailleurs 
la doc a ce niveau est assez lacunaire (y compris dans les sources de BIND). En plus, impossible 
de se mettre sur une liste de distribution pour BIND (gere par ISC), sans payer au minimum 50$ pour 
un particulier et 5000$ pour une societe... Ca fait chere la question :-(

Voila l'etat de mes recherches. Je ferai aussi une petite doc explicative pour ce probleme, en meme temps que 
celle que j'ai promise pour postfix-amavis-clamav.

Daniel

More information about the gull mailing list