[gull] Les requêtes DNS

Magnus magnus at magooweb.com
Fri Sep 10 13:45:03 CEST 2004 

Bonjour,

je dois admettre que je ne comprends pas trop.

De toute façon ce service doit être atteignable, la
limitation en fonction du port source a-t-elle vraiment un
sens?

Le serveur doit de toute façon être démaré en root pour
"binder" le port 53, mais il doit le rester s'il veut
envoyer des données avec un port source privilégié (ma
première question reste). Sinon il peut changer
d'utilisateur).

En réfléchissant un peu, on peut se dire que les clients
"normaux" utiliseront un port non-privilégié comme source
et un autre bind, pour par exemple effectuer un transfer,
utiliserait le port 53 en source... D'une façon générale,
c'est au démon bind de définir qui a le droit à un service
différent. Il me semble que UDP est utilisé pour les
requêtes normale et tcp est plutôt utilisé pour les autres
fonctions dns (zone tranfer par exemple.) mais je n'en
suis pas sûr.

Donc pour ma part, le service est simplement ouvert à tous
et bind autorise 3 serveurs (IP) a faire du trasfert de
zone.

Magnus

l'illustre Daniel Cordey a dit un jour,
> On Friday 10 September 2004 12:35, Julien Escario wrote:
>
>> Après recherche, il semble que ce ne soit pas un
>> comportement proscrit
>> même si depuis sa version 8.1 BIND utilise des ports non
>> privilégiés pour
>> faire toutes ces requêtes et que beaucoup de scripts
>> trouvés sur le net
>> bloquent les requêtes depuis des ports privilégiés.
>
> Oui, le serveur "peut" envoyer des requetes depuis un
> autre port, mais ce
> n'est pas une obligation. On peut tres bien envisager
> d'avoir un serveur qui
> "ecoute" et effectue ses transactions avec un port >1024.
> Ceci eviterait la
> necessite de tourner le 'named' en root... mais alors, il
> faudrait que les
> autres services qui contactent le serveur connaisse le
> numero du port. Or,
> par defaut, les requetes des autres serveurs/resolveurs
> arrivent sur ce port.
> Il est donc delicat de le toucher a moins d'avoir un
> serveur a usage
> uniquement interne.
>
>>Quel est la configuration de votre firewall pour le
>> serveur DNS ?
>
> Il faut ouvrir le port.
>
> Pour augmenter le risque (hyper faible), tu peux tourner
> ton serveur en
> utilsant un port >1024 (donc plus besoin d'etre root pour
> named) et faire du
> forwarding depuis le port 53 du FW, vers le port de ton
> serveur derriere le
> FW (et inversement).
>
> Daniel
> _______________________________________________
> gull mailing list
> gull at lists.alphanet.ch
> http://lists.alphanet.ch/mailman/listinfo/gull
>

More information about the gull mailing list