Les DNS ... forward vers ROOT ou FAI?

#1

Les DNS issoire-linux.org sont opérationnels.
Cependant dans ma conf. un truc me taquine l’esprit : les forwarders.

  1. Est-ce conseillé de placé ceux de son FAI (illyse) ou bosser avec les ROOT (et intermédiaires ?)?
  2. Si oui dans /etc/bind/named.conf.options ou dans le /etc/bind/named.conf.local ?
  3. Niveau firewall j’ai autorisé les DNS ROOT (ip sur wikipedia etc) mais visiblement la requête dns tape aussi dans d’autres DNS … ceux autoritaires pour le .fr etc … : normal !
    Donc sommes nous obligé d’ouvrir vers un “any” (tcp/udp) notre firewall en sortie de DMZ pour les forward DNS ?
#2

A priori, ton FAI a un engagement moral de faire des choses propres, notamment avec les DNS, donc tu peux tranquillement utiliser leurs DNS en tant que fordwarder. (pour l’endroit ou l’indiquer, j’aurais envie de dire, essaie, tu verra bien ou ça marche :))

Maintenant, si tu veux être parano ou tout simplement gérer toi même et voir comment ça marche, tu peux faire resolver complet. Dans ce cas, tu ne forward pas du tout. Et, de fait, ton serveur DNS est susceptible de causer à tous les autres de la planète en fonction des requêtes que tu fais, il te faut donc ouvrir les ports qui vont bien en sortie (53, obviously, en udp et tcp pour pouvoir gérer les grosses réponses, mais aussi probablement 443 si tu veux gérer le DoH qui se profile à l’horizon)

1 Like
#3

+1
Pas de forwarders, utilise ton serveur DNS pour faire des recherche dans la racine directement

#4

Mon FAI principal (j’ai deux accès) c’est iLLyse : j’ai confiance en eux. yep.
Mais bon la djayroma me dit " forward pas" et toi “forward” !!! argghghhghhghhghghh.
pouf plouf … :wink:

La je forward avec l’option “first”, DONC je dois ouvrir vers any : j’aime pas ça.
je vais probalement , faire forward only; et cloisonner aux dns illyse et FDN.
Car si on veut remonter aux ROOT ben les ip changent sans arrêts … ce que je trouve étrange d’ailleur ???
Car j’ai bien mis TOUTES les IP des DNS root mais ca tape toujours ailleurs …

#5

C’est quand même relativement rare de faire de la ségregation sortante à ce point là … J’en connais qui ont des plateformes depuis des 10aines d’années juste avec du filtrage entrant mais laissent tout sortir.

On te conseille de ne pas forward pour la bonne et simple raison que c’est infiniment plus secure et propre d’avoir ton propre resolver (sans compter que quand c’est pété, tu peux réparer toi même) … Mais si pour toi le filtrage de ton trafic sortant est plus important, tu va effectivement devoir te contenter de forward

#6

ouaih comme une box quoi … rien rentre mais “any” en sortie : c’est une stratégie de sécurité aussi.
j’en conviens.
J’ai préféré ça :