Discussion :

[vodkline]

Bonjour,

Nous avons un serveur bind9 qui fais office de cache DNS et nous souhaitons rajouter overwrite des domaine existant pour les "bloquer" comme par exemple netflix et twich.

J'ai edité le fichier /etc/bind/named.conf.local

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
zone "twitch.tv" {
    type master;
    file "/etc/bind/zones/twitch.tv";
};

et voici le fichier /etc/bind/zones/twitch.tv

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
;
; 
;
$TTL    604800
@       IN      SOA     ns.twitch.tv. twitch.tv. (
                              1         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      ns.twitch.tv.
ns      IN      A       192.168.110.20
;also list other computers
www     IN      A       192.168.110.20
;

J'aimerai que la résolution de twitch.tv ou www.twitch.tv donne l'ip 192.168.110.20

pouvez vous m'aider ?

cela ne semble pas fonctionner.

Merci d'avance,

[binarygirl]

Vous pouvez enlever les NS, car vous ne voulez justement pas de récursion vers les name servers réels. Fournir des adresses IP v4 et ou v6 de substitution devrait être suffisant.
Prévoir un wildcard qui absorbe tous les sous-domaines.

Ceci dit, l'approche Bind ne "scale" pas très bien et si on veut bloquer des noms de domaines ou du contenu, c'est plutôt le rôle d'un proxy, voire d'un firewall (certains style Watchguard sont assez polyvalents).
J'ai vu une boîte qui faisait ça pour bloquer Facebook mais les utilisateurs contournaient les restrictions en utilisaient des ccTLDs eg .fr
J'imagine que ces sociétés ont beaucoup d'autres noms de domaines, et pas seulement en .com.
Donc, bonne chance...

[vodkline]

J'ai essayé justement de supprimer le name serveur mais j'ai un soucis,

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
 
;
; 
;
$TTL    604800
@       IN      SOA     twitch.tv. (
                              1         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
;also list other computers
www     IN      A       192.168.110.20
;

le fichier est invalide avec cette configuration.

[binarygirl]

Avez-vous tenté de valider le fichier avec une commande telle que:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

named-checkzone twitch.tv.  /etc/bind/zones/twitch.tv

Et qu'est-ce que ça donne ?

Et pour faire un wildcard je pense que vous pouvez déclarer par exemple ceci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

*.twitch.tv.  900  IN  A 192.168.110.20

[chrtophe]

Et d'autre part, attention si les navigateurs utilisent DoH, je suis pas sûr que ça fonctionne en créant une zone bind.

[vodkline]

Le seul qui peut faire des résolutions DNS vers l’extérieur est notre serveur de DNS local,
Les autres ne sont pas autorisé à résoudre vers l’extérieur donc même si les navigateurs utilisent DoH c'est pas un soucis

[chrtophe]

Sauf qu'avec DoH, ton navigateur ne fera pas de requête DNS mais une requête https vers les services DoH utilisés par le navigateur. Vérifies donc bien que ça passe pas avec le DoH activé.