PhenIXUS

[calamarz]

Bonjour à tous,

Contexte : Ipcop 2.0.4 devant faire une résolution DNS via un serveur situé sur le reseau vert


Besoin : Résolution DNS via un serveur interne afin d'obtenir le nom DNS plutot que l'IP dans les journaux squidguard.


Schéma : Assez simple "Internet (ADSL Modem) --- IPCOP (RED: IP Fixe et DNS FAI) --- LAN1 --- Serveur DNS/DHCP"


Modem/Routeur/Box : Modem Adsl D-Link en bridge pppoe


Firewall/Serveur-passerelle multifonctions : UrlFilter / ADVProxy


Adressages : LAN1: 192.168.1.0/24 - Ipcop: 192.168.1.254 - DNS: 192.168.1.200


Question : Est-il possible d'effectuer un résolution sur l'ipcop via un serveur DNS Interne.


Pistes imaginées : Ajout des DNS dans le /etc/resolv.conf


Recherches : Google, Ixus...documentation sur DNSMASK


Logs et tests :
1- Controle de la liaison: Ping adresse IP depuis ipcop vers DNS OK
2- Ajout dans le host du nom du serveur DNS OK
3- Commande setup pour le remplacement du DNS secondaire par mon DNS interne --> Resultat pas de resolution DNS

La resolution DNS fonctionne avec les DNS externe en revanche je pourrais ajouter à la main dans le Host les correspondances IP - DNS mais étant en DHCP les logs vont etre faux en cas d'expiration du bail, ma question est donc la suivante est-il possible sans ajouter dans le fichier host les correspondances IP/Nom qu'ipcop puisse resoudre un nom de PC interne via un DNS interne.

Si vous aviez quelques pistes....

Merci d'avance

[jdh]

(+1 pour utilisation du formulaire)

Est-il possible d'effectuer un résolution sur l'ipcop via un serveur DNS Interne.

Oui si DNS interne et non celui du FAI !

Si Ipcop est utilisé avec le proxy, les logs du proxy mentionne l'ip interne source.
Si Ipcop utilise le DNS du FAI, il n'est pas certain que les ip internes soit bien traduites sur un log proxy.

On a alors 2 choix : soit Ipcop utilise le DNS interne comme référence soit il utilise les DNS du FAI.

Comme j'ai tendance à ne laisser au firewall que le rôle firewall (et pas proxy), je me contente généralement des DNS du FAI ...

dnsmasq, fourni par Ipcop, ne peut se remplir que si c'est lui qui fournit le DHCP, forcément !

Quand en interne on dispose d'un serveur Windows, il est naturel de faire le DHCP et DNS interne par le serveur Windows (contrôleur de domaine). La logique est alors, s'il y a besoin de résolution dns par le firewall (proxy), de fournir le DNS à Ipcop.

[Franck78]

3- Commande setup pour le remplacement du DNS secondaire par mon DNS interne --> Resultat pas de resolution DNS

Et ?

Loin d'être clairement exposé a mon avis. Sur IPCop 1.2, renseigner comme DNS primaire une machine sur le réseau GREEN n'a jamais posé problème.

Alors pourquoi remplacer le 'Secondaire' .......

Il est possible que les règles du firewall en IPCop 2 soient devenues un peu plus restrictives. 'IPCop -> GREEN' limité ?

En tout cas assez facile à voir à coup de tcpdump et d'insertion d'une règle adéquate (faut vraiment que j'installe un IPCop 2 un jour).

Ce qui est sur, c'est qu'il faut remplacer DNS Primaire (et après le secondaire).

[calamarz]

Merci pour vos réponses !!! En effet l'ajout des deux DNS internes mais aussi la modification du nom de domaine de mon ipcop corrige le problème (si je saisi le domaine interne la résolution ne fonctionne pas).

Autre petite question est-il possible de définir un DNS pour la résolution d'un domaine spécifique voici mon idée, en DNS primaire je place l'adresse de mon DNS Local qui ne va résoudre que les noms/ip pour mon domaine toto.fr / 192.168.0.0/24 et en secondaire le DNS de mon FAI ? Pourquoi cette question supplémentaire et bien je souhaite pourquoi pas faire également de la résolution depuis d'autres Ipcop en utilisant au travers un VPN mon dns "local" et que je ne souhaite pas faire transiter toutes les requêtes via mon DNS.

Merci

[sibsib]

Bonjour calamarz,

Ce qui te semble une demande logique n'est pas du tout prévu dans les clients DNS 'généraux. Un client DNS s'adresse à son serveur DNS primaire et *seulement si le primaire n'a pas répondu du tout dans les différents temps de timeout du client* s'adresse à son second serveur DNS. Le fait que le premier DNS réponde "je ne sais pas" n'amènera jamais le client à interroger le second serveur DNS.
Il est possible par contre (sans que ce soit forcément simple) de configurer un cache DNS qui fait des choses de ce type.
En gros, le resolver natif de l'OS est un peu limite pour faire ce que tu souhaites. Mais si tu installes un service DNS minimaliste sur ta machine, tu pourras peut-être y arriver. Par contre, ajouter un DNS sur un firewall pour ça... Mon avis est au moins mitigé

A+,
Pascal

[JeromeH]

Bonjour

J'ai une question un peu similaire

Configuration : IPCop 2.0.4 - Red-Green-Blue-Orange

Contexte :
Quand j'utilise iftop, je voudrais que la resolution inverse DNS fonctionne pour les addresses LAN ET DMZ

Question :
Comment paramétrer le DNS sur la machine IpCop pour que pour la résolution inverse sous-traite le travail
- au DNS du LAN pour la plage d'adresse du LAN
- au DNS de la DMZ pour la plage d'adresse de la DMZ

Commentaire bienvenus.