Bonsoir FRsAG, Une question me taraude...
Quel est l’intérêt du reverse DNS ? J'entend par la les enregistrements PTR dans le NS.
J'aperçois déjà les connaisseurs hurler "bah pour le SMTP !" oui d'accord. Et c'est tout ? J'ai cru comprendre que le l'hébergement web et le FTP cela pouvait être utile (certain mécanisme de contrôle peut-être)... Pour un serveur/service ok mais pour un équipement réseau ? (aide pour le "traceroute" ?)
Bonjour,
À 2010-12-10T23:57:24+0100, Manuel OZAN manuelozan@gmail.com écrivit :
Quel est l’intérêt du reverse DNS ?
Faire le kakoo sur IRC !
Bonsoir,
On Fri, Dec 10, 2010 at 11:57:24PM +0100, Manuel OZAN wrote:
Bonsoir FRsAG, Une question me taraude...
Quel est l'intérêt du reverse DNS ? J'entend par la les enregistrements PTR dans le NS.
Aucun intérêt hormis avoir un beau reverse sur l'IRC et avoir des traceroutes un peu plus lisible.
J'aperçois déjà les connaisseurs hurler "bah pour le SMTP !" oui d'accord. Et c'est tout ?
Même pour SMTP cela ne sert techniquement à rien. C'est une vérification courante mais elle n'est nullement justifiée.
Quelques sources bien écrites: - http://homepage.ntlworld.com/jonathan.deboynepollard/FGA/dns-avoid-double-re... - http://homepage.ntlworld.com/jonathan.deboynepollard/FGA/smtp-avoid-helo.htm...
J'ai cru comprendre que le l'hébergement web et le FTP cela pouvait être utile (certain mécanisme de contrôle peut-être)...
Aucunement.
Pour un serveur/service ok mais pour un équipement réseau ? (aide pour le "traceroute" ?)
'xactement.
Faut voir le PTR comme une chaîne simple de charactères permettant de poser une description sur une IP, c'est tout. Ici on l'utilise et on doit pas être les seuls pour savoir si une IP est attribuée ou disponible.
De même rien n'impose qu'un PTR ait un A qui lui corresponde et il peut y avoir plusieurs PTR par record.
Sylvain
Pas tout a fait d'accord avec Sylvain, sans vouloir lancer un Troll.
Le PTR est super intelligent par exemple dans Apache pour pouvoir faire des restrictions au niveau domaine plutot qu'au niveau IP.
En fait, je prends ici l'exemple d'Apache, mais d'autres serveurs le font tres bien aussi, meme des serveurs FTP.
Ca permet par exemple de dire qu'une certaine page est accessible a tous les IP faisant parti eu domaine example.org, mais inaccessible a tous les IP faisant partie de frsag.org.
Pour savoir le domaine pose sur une IP, apache va faire des 'reserve DNS requests'.
En esperant que j'ai pu eclaircir cette partie.
Cdlt, Karel.
On Sat, 11 Dec 2010 01:14:57 +0100, Sylvain Rochet gradator@gradator.net wrote:
Bonsoir,
On Fri, Dec 10, 2010 at 11:57:24PM +0100, Manuel OZAN wrote:
Bonsoir FRsAG, Une question me taraude...
Quel est l'intérêt du reverse DNS ? J'entend par la les enregistrements PTR dans le NS.
Aucun intérêt hormis avoir un beau reverse sur l'IRC et avoir des traceroutes un peu plus lisible.
J'aperçois déjà les connaisseurs hurler "bah pour le SMTP !" oui d'accord. Et c'est tout ?
Même pour SMTP cela ne sert techniquement à rien. C'est une vérification
courante mais elle n'est nullement justifiée.
Quelques sources bien écrites:
http://homepage.ntlworld.com/jonathan.deboynepollard/FGA/dns-avoid-double-re...
http://homepage.ntlworld.com/jonathan.deboynepollard/FGA/smtp-avoid-helo.htm...
J'ai cru comprendre que le l'hébergement web et le FTP cela pouvait être utile (certain mécanisme de contrôle peut-être)...
Aucunement.
Pour un serveur/service ok mais pour un équipement réseau ? (aide pour le "traceroute" ?)
'xactement.
Faut voir le PTR comme une chaîne simple de charactères permettant de poser une description sur une IP, c'est tout. Ici on l'utilise et on doit pas être les seuls pour savoir si une IP est attribuée ou disponible.
De même rien n'impose qu'un PTR ait un A qui lui corresponde et il peut y avoir plusieurs PTR par record.
Sylvain
Mais ce n'est pas un peu lent de faire un reverse DNS avant d'autoriser l'accès ? En particulier lorsqu'il n'y a pas de nom de domaine correspondant ça prend des lustres. Mention à mon école qui nous fournit une IP publique par machine, mais pas de nom ce qui me fait rager à chaque fois que je tente de me loguer à une machine en ssh.
D'ailleurs quelqu'un ne serait pas au courant d'un fichier sous les linux pour changer le timeout de la résolution DNS inverse ? Toutes mes recherches sont restées vaines.
-- Clément Léger
2010/12/11 Karel MALBROUKOU karel.malbroukou@open-tribute.org
Pas tout a fait d'accord avec Sylvain, sans vouloir lancer un Troll.
Le PTR est super intelligent par exemple dans Apache pour pouvoir faire des restrictions au niveau domaine plutot qu'au niveau IP.
En fait, je prends ici l'exemple d'Apache, mais d'autres serveurs le font tres bien aussi, meme des serveurs FTP.
Ca permet par exemple de dire qu'une certaine page est accessible a tous les IP faisant parti eu domaine example.org, mais inaccessible a tous les IP faisant partie de frsag.org.
Pour savoir le domaine pose sur une IP, apache va faire des 'reserve DNS requests'.
En esperant que j'ai pu eclaircir cette partie.
Cdlt, Karel.
Le Sat, Dec 11, 2010 at 03:34:27AM +0100, Clément [wiz@haxx.es] a écrit:
D'ailleurs quelqu'un ne serait pas au courant d'un fichier sous les linux pour changer le timeout de la résolution DNS inverse ?
/etc/hosts ? ;-)
Ce n'est qu'une demi-blague. A priori, si tu cherches comment changer le timeout de résolution DNS inverse, c'est pour une machine que tu gères (en partie), et où ça te reloute d'avoir le timeout à chaque fois. Si il y a une entrée dans son /etc/hosts ça sera résolu immédiatement.
Tu peux aussi essayer de passer le champ GSSAPIAuthentication à no dans /etc/ssh/ssh_config.
Cordialement,
Le 13 décembre 2010 09:20, Dominique Rousseau d.rousseau@nnx.com a écrit :
Le Sat, Dec 11, 2010 at 03:34:27AM +0100, Clément [wiz@haxx.es] a écrit:
D'ailleurs quelqu'un ne serait pas au courant d'un fichier sous les linux pour changer le timeout de la résolution DNS inverse ?
/etc/hosts ? ;-)
Ce n'est qu'une demi-blague. A priori, si tu cherches comment changer le timeout de résolution DNS inverse, c'est pour une machine que tu gères (en partie), et où ça te reloute d'avoir le timeout à chaque fois. Si il y a une entrée dans son /etc/hosts ça sera résolu immédiatement.
-- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 50, rue Riolan 80000 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour,
Un contrôleur de domaine est actuellement en place chez nous (Samba/LDAP tournant sous Debian Lenny). Tout fonctionnait correctement jusqu'à l'arrivée dans nos murs de stations sous Seven...
Je parviens à rattacher les machines à notre domaine mais au bout de quelques semaines j'ai ce genre de messages dans les logs smbd :
[2010/12/13 07:59:49, 0] rpc_server/srv_netlog_nt.c:603(_netr_ServerAuthenticate3) _netr_ServerAuthenticate3: netlogon_creds_server_check failed. Rejecting auth request from client HP6730B_10 machine account HP6730B_10$
J'en déduis donc que les machines ne sont plus correctement déclarées sur le domaine (Sûrement un changement du password de la machine qui n'a pas été enregistré dans l'annuaire LDAP). Détacher puis rattacher les machines au domaine régle le problème mais bon ce n'est pas terrible du tout, je me vois mal faire ça sur X machines à chaque fois que les problèmes surgissent.
Certains d'entre vous ont-ils déjà été confrontés à ce genre de problème ? Si oui, avez-vous réussi à le régler proprement ?
Merci d'avance.
Version Samba : 3.4.7~dfsg-1~bpo50+1 Version OpenLDAP : 2.4.11-1
Le Mon, Dec 13, 2010 at 10:14:54AM +0100, Jaymzwise Jaymzwise [jaymzwize@gmail.com] a écrit:
Bonjour,
Un contrôleur de domaine est actuellement en place chez nous (Samba/LDAP tournant sous Debian Lenny).
C'est quoi le rapport avec le fil sur les reverse DNS ?
Oops, je me suis planté en créant mon mail... Désolé pour l'intrusion.
Le 13 décembre 2010 10:19, Dominique Rousseau d.rousseau@nnx.com a écrit :
Le Mon, Dec 13, 2010 at 10:14:54AM +0100, Jaymzwise Jaymzwise [ jaymzwize@gmail.com] a écrit:
Bonjour,
Un contrôleur de domaine est actuellement en place chez nous (Samba/LDAP tournant sous Debian Lenny).
C'est quoi le rapport avec le fil sur les reverse DNS ?
-- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 50, rue Riolan 80000 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Le 11/12/2010 03:12, Karel MALBROUKOU a écrit :
Pas tout a fait d'accord avec Sylvain, sans vouloir lancer un Troll.
Le PTR est super intelligent par exemple dans Apache pour pouvoir faire des restrictions au niveau domaine plutot qu'au niveau IP.
En fait, je prends ici l'exemple d'Apache, mais d'autres serveurs le font tres bien aussi, meme des serveurs FTP.
Ca permet par exemple de dire qu'une certaine page est accessible a tous les IP faisant parti eu domaine example.org, mais inaccessible a tous les IP faisant partie de frsag.org.
Pour savoir le domaine pose sur une IP, apache va faire des 'reserve DNS requests'.
En esperant que j'ai pu eclaircir cette partie.
Cdlt, Karel.
Sans oublier mysql qui fait exactement la même chose quand on fait des grant user@ma.machine.com (une mauvaise idée soit dit en passant).
Tiens personne n'a de script qui génère automatiquement les ptrs automatiquement pour bind (j'en avais trouvé mais j'ai oublié) ? ah que je regrette mon djbdns.
Le 11/12/2010 08:20, Raphael Mazelier a écrit :
Tiens personne n'a de script qui génère automatiquement les ptrs automatiquement pour bind (j'en avais trouvé mais j'ai oublié) ? ah que je regrette mon djbdns.
Rooo, quand même, un petit coup de Google là dessus :D https://sites.google.com/a/kluge.net/mkrdns/
A+
M
Rooo, quand même, un petit coup de Google là dessus :D https://sites.google.com/a/kluge.net/mkrdns/
Oui merci mais je connaissais (et j'avais essayais ca m'avait flingué mes zones). Non je pensais à un plus script custom (en python de souvenir) que j'avais trouvé sur le net, mais je ne me rappelle plus son nom.
Le 11/12/2010 12:40, Raphael Mazelier a écrit :
Rooo, quand même, un petit coup de Google là dessus :D https://sites.google.com/a/kluge.net/mkrdns/
Oui merci mais je connaissais (et j'avais essayais ca m'avait flingué mes zones). Non je pensais à un plus script custom (en python de souvenir) que j'avais trouvé sur le net, mais je ne me rappelle plus son nom.
Je viens de retrouver ça au fin fond de mes archives. Est-ce que ça le fait ?
M
Sinon bind 9 sait aussi générer dynamiquement (mais cela dépend fortement du nommage des machines...) avec la commande $GENERATE
2010/12/11 Michel Blanc mblanc.networks@gmail.com:
Le 11/12/2010 08:20, Raphael Mazelier a écrit :
Tiens personne n'a de script qui génère automatiquement les ptrs automatiquement pour bind (j'en avais trouvé mais j'ai oublié) ? ah que je regrette mon djbdns.
Rooo, quand même, un petit coup de Google là dessus :D https://sites.google.com/a/kluge.net/mkrdns/
A+
M
Michel _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
On Sat, 11 Dec 2010 08:20:45 +0100, "Raphael Mazelier" raph@futomaki.net said:
Tiens personne n'a de script qui génère automatiquement les ptrs automatiquement pour bind (j'en avais trouvé mais j'ai oublié) ? ah que
Sisi ! seulement c'est une saloperie qu'on n'arrive pas a remplacer depuis presque 4 ans......
Vous avez quoi comme arguments contre Bind? Sans lancer de troll, c'est quand même juste une référence sur plusieurs gros prestataires dns en Europe qui gèrent plusieurs millions de zones.
De mon côté que cela soit en configuration à la main pour des usages légers ou interfacé avec une base de donnée ou ldap (en fonction des besoins) je n'ai jamais eu de soucis ni d'impossibilité de faire une fonction particulière.
Dernièrement j'ai validé l'implémentation dnssec sans soucis, que demander de plus?
-- Pierre-Henry Muller
Le 12/12/2010 01:05, Pierre-Henry Muller a écrit :
Vous avez quoi comme arguments contre Bind? Sans lancer de troll, c'est quand même juste une référence sur plusieurs gros prestataires dns en Europe qui gèrent plusieurs millions de zones.
De mon côté que cela soit en configuration à la main pour des usages légers ou interfacé avec une base de donnée ou ldap (en fonction des besoins) je n'ai jamais eu de soucis ni d'impossibilité de faire une fonction particulière.
Dernièrement j'ai validé l'implémentation dnssec sans soucis, que demander de plus?
-- Pierre-Henry Muller
Bind est l'implémentation de référence c'est certain. Il fonctionne et plutôt très bien. Il est exhaustif et implémente tout ce qui peut exister dans le monde du dns. Les points que je n'aime pas en revanche : - la configuration des zones (sur ce point le format de djbdns est juste meilleur) - la configuration globale inutilement compliqué - les failles de sécurité récurrentes - le design : un démon qui fait tout (pas trop unix comme philosophie, sur ce point djbdns est meilleur aussi).
Malheureusement djbdns n'a pas évolué et par exemple ne gére pas ipv6 et dnssec.
A ce stade l'alternative nsd + unbound est intéressante (mais ne corrige pas le problème de la syntaxe des zones files).
Le 12 décembre 2010 09:04, Raphael Mazelier raph@futomaki.net a écrit :
- le design : un démon qui fait tout (pas trop unix comme philosophie, sur
ce point djbdns est meilleur aussi).
Il faut "juste" être patient : http://bind10.isc.org/wiki/DesignDiagrams
Le 12/12/2010 13:50, Yohann Lepage a écrit :
Il faut "juste" être patient : http://bind10.isc.org/wiki/DesignDiagrams
Très patient alors (20/25ans). Ca reste une très très bonne chose si bind10 sort stable un jour.
Le 12 déc. 2010 à 09:04, Raphael Mazelier a écrit :
Bind est l'implémentation de référence c'est certain. Il fonctionne et plutôt très bien. Il est exhaustif et implémente tout ce qui peut exister dans le monde du dns. Les points que je n'aime pas en revanche :
- la configuration des zones (sur ce point le format de djbdns est juste meilleur)
là on va dire que c'est les goûts les couleurs, tout le monde connait la syntaxe bind celle de djbdns le nombre de personne qui ont mis des zones en l'air autour de moi lors d'une intervention client ...
- la configuration globale inutilement compliqué
mouai, tout n'est pas simple mais à mon sens ce n'est pas pire qu'un apache ou nginx ...
- les failles de sécurité récurrentes
tiens je m'y attendais :) quand on le sait on maintient à jour. Sur Debian ils sont assez rapide sur ce paquet donc ca n'est pas un souci pour moi.
- le design : un démon qui fait tout (pas trop unix comme philosophie, sur ce point djbdns est meilleur aussi).
là je suis complètement d'accord et merci Yohann de l'info sur bind10 je n'avais pas vu
Malheureusement djbdns n'a pas évolué et par exemple ne gére pas ipv6 et dnssec.
ca donne aussi l'impression aux clients que c'est abandonné ...
A ce stade l'alternative nsd + unbound est intéressante (mais ne corrige pas le problème de la syntaxe des zones files).
Pour le moment je reste sur Bind niveau infra éventuellement avec probind par dessus si le client a besoin. Sinon PowerDNS qui est pas mal mais où je n'ai pas vu de grosses conf (+5000 ndd) tourné en production, par contre pour faire du geoip sur des infras mondiale ca marche bien.
-- Pierre-Henry Muller
On 10/12/2010 23:57, Manuel OZAN wrote:
Bonsoir FRsAG, Une question me taraude...
Quel est l’intérêt du reverse DNS ? J'entend par la les enregistrements PTR dans le NS.
J'aperçois déjà les connaisseurs hurler "bah pour le SMTP !" oui d'accord. Et c'est tout ? J'ai cru comprendre que le l'hébergement web et le FTP cela pouvait être utile (certain mécanisme de contrôle peut-être)... Pour un serveur/service ok mais pour un équipement réseau ? (aide pour le "traceroute" ?)
-- Cordialement.
Manuel
Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour à la liste, dans l'intérêt des reverses, il ne faut pas oublier les authentifications kerberos qui demandent pour les "principaux" (traduction hasardeuse de principal) du type host d'avoir un reverse correspondant sur l'ip sur laquel on le présente. Cordialement.
Salut,
Le 12 déc. 2010 à 11:20, Bégault Luc a écrit :
On 10/12/2010 23:57, Manuel OZAN wrote:
Bonsoir FRsAG, Une question me taraude...
Quel est l’intérêt du reverse DNS ? J'entend par la les enregistrements PTR dans le NS.
J'aperçois déjà les connaisseurs hurler "bah pour le SMTP !" oui d'accord. Et c'est tout ? J'ai cru comprendre que le l'hébergement web et le FTP cela pouvait être utile (certain mécanisme de contrôle peut-être)... Pour un serveur/service ok mais pour un équipement réseau ? (aide pour le "traceroute" ?)
(...)
Bonjour à la liste, dans l'intérêt des reverses, il ne faut pas oublier les authentifications kerberos qui demandent pour les "principaux" (traduction hasardeuse de principal) du type host d'avoir un reverse correspondant sur l'ip sur laquel on le présente. Cordialement.
Outre les options genre kerberos, c'est aussi une question de "propreté" du réseau. Si 192.9.2.1 est facile a apprendre que dire de 2ffe:2fe:7fe::10:abcd ?
Après quand on fait les choses bien, si on a une ip qui arrive chez toto.mondomain.com (et si c'est correctement configuré) on perds moins de temps a trouver qui est l'utilisateur principal de cette IP.
Quand au ehlo, il y a 2 pratiques,... Les gens qui disent "on s'en tappe c'est pas grave" et ceux qui disent que si la RFC dit "le ehlo devrait ressembler au hostname de la machine", serait mieux. Techniquement les anti-spam quand il voient dans les headers que le helo != le PTR de l'ip correspondante on augmente d'un certain nombre de points la probabilité que cela soit du spam. Après pour des postes de travail en DHCP, a la limite c'est pas grave, ça permet juste de gagner quelques minutes... A la politique locale de l'entreprise de voir si quelques minutes accumulées ne valent pas un script auto qui met à jour les PTR (il y en as plein.... !).
Personnellement quand je vois pas de reverse, je trouve que les choses sont pas faite dans l'art des choses... Mais ceci n'est que mon opinion.
Xavier
-
Bégault Luc -
Clément -
Dominique Rousseau -
Emmanuel Géhin -
Jaymzwise Jaymzwise -
Karel MALBROUKOU -
Manuel OZAN -
Michel Blanc -
Pierre-Henry Muller -
Radu-Adrian Feurdean -
Raphael Mazelier -
Steven Le Roux -
Sylvain Rochet -
Xavier Beaudouin -
Yannick Palanque -
Yohann Lepage