SPLIT DNS avec Pfsense

mistersoft

Bonjour,

Peut-on mettre en place du SPLIT DNS avec Pfsense comme firewall ??

Je sais que Pfsense n'effectue pas de rôle DNS mais plutot Routage et Firewall (principalement), donc je présume que je doit effectivement mettre des serveurs DNS dans deux pattes différentes représentant deux s/réseaux différents. est ce la bonne déduction ?

L’intérêt est que, prochainement, je vais mettre une infrastructure Externe vers Interne (Serveur Web, Serveur Messagerie, SAAS), Interne vers Externe (Internet), Interne vers Interne (Serveur Web, Serveur Messagerie, SAAS, Domaine), vous avez deviné le tout en plateforme Windows Server 2008 R2.

Est ce que Pfsense pourrait convenir parfaitement???

Merci.

NB: J'ai déjà utilisé pfsense dans sa version 2.0 pour un une infrastructure Portail Actif pour accés WIFI restreint. Tout fonctionne parfaitement depuis 2011 (Que j'ai mis ensuite à jour en RC1, RC2 et RC3).

Juve

Regardes du côté du DNS forwarder.

• tu peux écraser la résolution de nom d'un hôte
• tu peux rediriger la résolution de nom de toute une zone vers un serveur tiers.

Si tu veux faire des choses plus complexes (restriction de résolution, résolution conditionnelle en fonction de la source de la demande etc.). Je te conseil de regarder du côté de Bind et des vues et acl.

Dans ton besoin cela devrait suffir.

mistersoft

Merci, Juve pour ta réponse.

En fait, je ne pense pas, pour le moment, que cela soit plus complexe, sauf si cela est nécessaire au point de vue sécurité.

Juste une autre chose, qui me titille les neurones :

Etant donné qu'il va y avoir des accés externe vers notre réseau (nous allons héberger tous nos serveurs - Web, Exchange, BDD, etc), pense tu qu'il faut avoir un second pfsense entre les serveurs de la zone externe et ceux de mon réseau local (Zone Interne), schéma logique d'un Split DNS ?

Désolé, j'ai pensé faire un schéma, mais pour l'instant, il est seulement dans ma tête. Mais je crois que c'est assez classique comme topologie.

Merci, pour tes lumières.

Juve

Un design standard aujourd'hui cela consiste au minima en:

• une DMZ publique, recevant des flux initiés de l'extérieur
• une DMZ privée, ou réseau "SERVEUR", dans laquelle sont installés les serveurs de l'entreprise
• un réseau LAN, dans lequel tu as tes postes clients.
  Et tu filtre le tout.

Les serveurs Web, Exhange, etc, ne sont pas dans la DMZ publique, il sont en DMZ privée et publiés sur Internet via un ou plusieurs reverse proxy qui eux sont situés en DMZ publique.
En DMZ publique on trouve souvent le reverse proxy (publication web, OWA), un relais SMTP (MX), un endpoint VPN pour les nomades etc.

mistersoft

Effectivement, tu as raison.

On a plutôt tendance à prévoir les Zones DNS et oublier en cours de route que les DMZ peuvent être Publique et Privée, et j'ai prévu de mettre quelques uns de mes serveurs en DMZ (forcément publique) mais pas de DMZ privée.

Je vais m'y mettre dessus. Par contre, les reverses Proxy, je n'ai jamais eu à faire ce genre d'application, je sens qu'il va y avoir du boulot. Je ne sais pas si Pfsense me facilitera la tâche par contre je sais qu'il le fait.

Je vais essayer de mettre tout ça en œuvre, de toute manière, je reviendrai pour avoir plus d'infos.

Merci.