Configurer un dns
-
Contexte : chez moi avec un niveau débutant sur le produit
Besoin : Ci-dessousSchéma :
WAN : connexion rj45 vers routeur sur port 1 gérant la dmz
LAN : DHCP avec baux fixes .routeur port 1 –--> switch --> pfsense avec ip réseau publique ipv4
--> server1 avec ip publique
...
--> server x avec ip publiqueEquipement : Pc engines apu 2 avec 3 cartes réseau
Besoins :
Il me faudrait faire de l'appliance pfsense un dns pour mon réseau publique ipv4 en dmz. Est-ce que c'est possible? Comment puis-je démarrer le service bind sur le pfsense? Est-ce que le webconfigurator prend en charge ce service ou bien je dois mettre webmin comme interface?Meilleures salutations.
Jean. -
Salut salut
Sur pf non, en aucunement.
En dmz oui c'est plus réalisable. Avec une machine dans ce segment là pourra héberger les services que vous voulez.++
-
Il y a un défaut de recherche préalable dans le forum ou Google !
Par exemple, pfSense ne fait pas tourner Bind !En cherchant 'pfsense dns', le premier lien est tout de suite correct : https://doc.pfsense.org/index.php/DNS_Forwarder
Il est très notable que pfSense est pensé avec un 'Dns Forwarder' et non un serveur Dns (comme Bind).
Il y a donc 2 produits utilisé 'dnsmasq' (<2.2) et 'unbound' (>=2.2).
Cf doc indiqué.
-> Je préconise de lire la doc d'unbound pour comprendre ce que fait de service.Au mieux, cela permet de définir quelques noms dns locaux, en sus de la résolution dns pour le reste du monde.
C'est peut-être suffisant pour un usage limité. -
Salut,
Merci pour vos réponses.
Alors j'ai un problème… Est-ce que quelqu'un a déjà installé bind sur une "distribution" pfsense?
Meilleures salutations.
Jean. -
salut salut
!!!!!!!!!!!!!!!! non mais sérieusement !!!!!!!!!!!!!!!!
Pfsense est une solution de pare-feu qui a de fonction première interdire / autoriser tout ou partiellement un accès depuis l'extérieur vers l'intérieur.
Après qu il y est d'autre services comme l'adressage dynamique sur l'un des réseaux internes, par exemple.En aucun cas il est prévu pour avoir un serveur de domaine (bind) dessus.
Perso, Je me demande si vous ne nous prenez pas pour des idiots.
Réfléchissez avant de poser des questions aussi incongrues et dénuées de tous sens communs. Cela suffit.Non cordialement.
-
Hello,
Merci pour la réponse.
Je vais donc changer de distribution pour prendre un système adapté à mes besoins.
Meilleures salutations.
Jean. -
Encore une fois, il y a un défaut de réflexion initial !
J'ai écrit 'pfSense ne fait pas tourner Bind' : j'aurais pu écrire 'Bien évidemment, on ne doit pas installer un Bind sur pfSense ni sur n'importe quel autre firewall'.
Un firewall ne doit comporter que les services nécessaires à son fonctionnement ou aux fonctions prévues sur LAN ou DMZ.
Par exemple, il est logique d'avoir sur un firewall :- un dns forwarder (et non un dns complet)
- un serveur de vpn
- un dhcp
Mais il n'est pas logique d'avoir : - un dns complet
- un proxy http, au delà de 10 users ou avec fort trafic
- …
'Je vais changer de distribution' : Cela ne va rien changer : on n'installe pas un bind sur firewall !
Vous pensez solution avant besoin : quel est votre besoin ? Nous n'en savons rien !
Peut-être que Bind n'est pas la solution ! -
Le soucis avec le DNS publique hébergé par tes soins, ce n'est pas tellement le fait que ce soit, au même titre que Squid, un package. Bind existe bel et bien comme package pour pfSense :P
La difficulté vient de ce que:
- il faudrait, dès lors que ton DNS est "publique", qu'il soit hautement disponible, donc avec 2 DNS, de préférence pas dans le même subnet etc…
- si tu as déjà un nom de domaine, tu as fait appel à un registrar qui, à peu près certainement, gère déjà pour toi les DNS correspondant à ton domaine.
Du coup, l'utilité d'exposer pfSense comme DNS publique est voisine de zéro si tu la compares à la mise à jour du DNS existant de ton registrar qui lui est déjà hautement disponible.