[gull] Les requêtes DNS
Daniel Cordey
dc at mjt.ch
Fri Sep 10 13:27:02 CEST 2004
On Friday 10 September 2004 12:35, Julien Escario wrote:
> Après recherche, il semble que ce ne soit pas un comportement proscrit
> même si depuis sa version 8.1 BIND utilise des ports non privilégiés pour
> faire toutes ces requêtes et que beaucoup de scripts trouvés sur le net
> bloquent les requêtes depuis des ports privilégiés.
Oui, le serveur "peut" envoyer des requetes depuis un autre port, mais ce
n'est pas une obligation. On peut tres bien envisager d'avoir un serveur qui
"ecoute" et effectue ses transactions avec un port >1024. Ceci eviterait la
necessite de tourner le 'named' en root... mais alors, il faudrait que les
autres services qui contactent le serveur connaisse le numero du port. Or,
par defaut, les requetes des autres serveurs/resolveurs arrivent sur ce port.
Il est donc delicat de le toucher a moins d'avoir un serveur a usage
uniquement interne.
>Quel est la configuration de votre firewall pour le serveur DNS ?
Il faut ouvrir le port.
Pour augmenter le risque (hyper faible), tu peux tourner ton serveur en
utilsant un port >1024 (donc plus besoin d'etre root pour named) et faire du
forwarding depuis le port 53 du FW, vers le port de ton serveur derriere le
FW (et inversement).
Daniel
More information about the gull
mailing list