Discussion :

[SkyZoThreaD]

Bonjour,

Je galère à trouver une réponse satisfaisante à ma question donc je me demande si vous ne pourriez pas m'aider.
J'ai monté un DNS via bind9 et je veux qu'il me renvoi un "host not found" pour une zone particulière.
La plupart des solutions que je trouve permettent de rediriger vers le localhost ou une autre ip. Je veux vraiment qu'il croit que la dns n'est pas attribuée.
Toutes les autres zones doivent répondre normalement.

Merci.

ps : si vous avez compris ce que je cherche à faire au final avec ça vous gagnez 10 points.

[Ikoula.community]

Bonjour,

Je suis pas sûr de bien comprendre alors je te répondrais comment moi je ferai et le résultat que ça donnerait.
Je pars du principe que par zone tu entends tous les enregistrements DNS d'un nom de domaine.

Il faut déposer le nom de domaine indiquer ton serveur comme serveur DNS et ne pas renseigner la zone dans bind tout simplement.
Tu auras le message "ce site est inaccessible".

Maintenant si tu as configuré bind car tu as besoin que quelques personnes uniquement puissent afficher ton site un firewall conviendrait mieux.

Et si on parle d'une seule personne alors bind n'est pas nécessaire autant utiliser le fichiers hosts.

[BufferBob]

salut,

les directives allow-query et/ou allow-query-cache permettent de restreindre les requêtes à certains hosts, le cas échouant j'imagine qu'on doit prendre un not found, refused ou similaire, sinon la seule autre option que je vois c'est une deuxième instance de bind9, resolver interne vs externe...

[SkyZoThreaD]

@Ikoula.community : Tu m'a mal compris. Le but est de passer par un relais DNS pour renvoyer une erreur "NXDOMAIN" à une application pour la tromper. Le fichier host ou le firewall ne peuvent pas m'aider pour ça. Et par défaut, bind répond à toutes les zones du serveur parent.

@BufferBob : Ça m'a l'air intéressant, je n'avais pas encore testé cette directive. J'en ai testé d'autres qui me renvoyaient des packets "SERVFAIL" à la place et l'appli que je test ne se faisait pas avoir
J'espère que celle-là fera l'affaire. J'avais pensé à utiliser un filtre ettercap via une attaque "man in the middle" pour modifier le packet de réponse à la volée en solution de secours...
On verra ce que ta solution donne ce soir. Merci.

[BufferBob]

Le but est de passer par un relais DNS pour renvoyer une erreur "NXDOMAIN" à une application pour la tromper

ah ok, ben je l'avais pas compris non plus, je pensais qu'il s'agissait uniquement de limiter l'accès à la zone, probable que ça renvoie un SERVFAIL également du coup

pour préciser un peu le contexte, bind9 doit renvoyer nxdomain quelque soit l'origine de la demande ou certains clients doivent continuer d'avoir accès normalement à la zone ?
dans le premier cas il sera peut-être intéressant de regarder du coté de la directive auth-nxdomain qui permet d'être autoritaire sur le renvoie d'un nxdomain, on pourra éventuellement envisager un proxy genre Unbound ou dnsmasq pour feinter la réponse de manière un peu consistante
dans le second cas... je sais pas trop, perso je pense que coderais un proxy spécifiquement pour le besoin mais à voir si ta méthode est plus simple à mettre en place et fonctionne

[SkyZoThreaD]

ah ok, ben je l'avais pas compris non plus, je pensais qu'il s'agissait uniquement de limiter l'accès à la zone, probable que ça renvoie un SERVFAIL également du coup

Ah... damn ! C'est moi qui me suis mal exprimé alors

pour préciser un peu le contexte, bind9 doit renvoyer nxdomain quelque soit l'origine de la demande ou certains clients doivent continuer d'avoir accès normalement à la zone ?

L'origine n'a pas d'importance, il n'y a qu'un seul client sur le serveur DNS.

dans le premier cas il sera peut-être intéressant de regarder du coté de la directive auth-nxdomain qui permet d'être autoritaire sur le renvoie d'un nxdomain, on pourra éventuellement envisager un proxy genre Unbound ou dnsmasq pour feinter la réponse de manière un peu consistante
dans le second cas... je sais pas trop, perso je pense que coderais un proxy spécifiquement pour le besoin mais à voir si ta méthode est plus simple à mettre en place et fonctionne

J'ai déjà testé cette directive et elle renvoie une réponse valide... Apparemment, elle ne sert pas à envoyer un NXDOMAIN mais juste à être autoritaire le cas échéant. (je vois pas ce que ça veut dire btw )
Quant aux serveurs Unbound et Dnsmask, je ne connaissait pas... Dnsmask, si j'ai bien compris, utilise le /etc/hosts comme source en plus du resolv.conf. Donc on ne doit pas pouvoir renvoyer de NXDOMAIN, si? A ma conaissance on ne peut que rediriger vers une autre adresse via le Hosts...
Je n'ai pas bien compris ton histoire de proxy... En quoi un proxy intervient avec les DNS? Pour moi c'est juste une Gateway