Implémentation d'un DNS dans pfSense
-
Bonjour à toutes et tous.
Je vous remercie d'avance de votre aide.
Dans le cadre d'un projet d'étude, pour ma formation TSGERI, de cas je dois implémenter un pfSense faisant office de serveur DHCP (ça c'est compris d'origine) mais aussi DNS.
J'ai vue que l'on pouvais y intégrer Bind, si j'ai bien compris, mais le seul paquet proposer est une GUI pour Bind.
Est-il possible d'implémenter ce dernier DANS pfSense, s'il vous plaît ?- si oui: une idée de la démarche a effectuer ?
- si non: Il faut, dans ce cas, les inter-relier mais comment ?
Une autre solution intégrée existe--elle sinon, s'il vous plaît ?
Pour le schéma de ma maquette en voici un rapide et sommaire.
WAN ===> LAN ==> 4 vlans
===> DMZ ==> serveur webJe vous remercie beaucoup de votre aide et de votre patience.
Jode
-
Quel manque de recherche ou d'expérimentation !
pfSense est fourni avec DnsMasq et Unbound, et chacun permet de créer ses définitions internes DNS.
Et puis, juste un peu de réflexion, vous pensez qu'un firewall est un système où on peut ajouter, à la demande, des packages de toute qualité !
Pour des petites entreprises, on aura presque tout le temps un serveur de domaine Windows qui fait et DHCP et DNS, et qui le fait correctement ...
-
Mauvaise recherche peut-être ou manque d'expérience aussi...
A première vue Dnsmasq et Unbound ne permettent pas la même gestion qu'un vrai serveur DNS comme le ferait Bind. comme par exemple la création de zone. Hors cela fais partie des config que j'ai à transférer.
Je ne pense me pose cette question car il existe un package GUI pour Bind affilié à ce dernier. Et je n'arrive pas à trouver l'info sur son implémentation. De ce que j'ai cru comprendre il faudrait que j'en créer un à côté et que je le "relie" à pfsense pour sa gestion. Chose que je suis en train d'essayer de mettre en place sur ma maquette.
De plus il n'y a pas toujours un serveur windows faisant office de DHCP et DNS. Et c'est exactement le cas dans mon étude.
Du coup le problème reste entier.
Mais je vous remercie quand même de votre aide. -
ce n'est pas "juste" un gui pour bind qui est fourni Dan's le package
bind est bien aussi présent dans le package
ensuite, le GUI te permet ce controller les options que tu veux activer. il est assez complet je trouve (il supporte les vues et la gestion de rpz par exemple)
si tu n'aimes pas le GUI du package, alors tu peux utiliser la partie "custom options" en bas de la plupart des pages
n'oublie pas aussi que pour que bind démarre, tu dois désactiver les 2 autres DNS (plusieurs programmes ne peuvent pas écouter sur un même port. tu ne peux pas avoir à la fois bind et unbound en listen sur une interface)
-
Super !!!
Merci beaucoup de ta réponse.
Je n'ai plus qu'a trouver comment importer ma config dedans.
Le GUI ne me dérange pas, bien au contraire, et oui j'ai bien désactiver les 2 autres DNS. -
C'est un projet d'étude donc pourquoi pas.
Dans une réelle infrastructure de production il est évident, ou il devrait l'être, qu'un service dns complet avec bind (ou autre) n'a rien à faire sur un firewall. L'idée de concentrer deux services aussi sensibles sur une même machine est une pure folie dans un environnement réel qui voudrait être sécurisé un minimum.
Dnsmasq est une commodité pour petite PME, rien de plus.
Un vrai serveur dns requiert des mesures de sécurité spécifiques ... qui ne sont pas celles d'un firewall. -
Au boulot, hier même, j'ai configuré un 'unbound' sur ... un proxy dédié pour filtrer certains noms dns (genre windows-update). J'ai trouvé les paramètres qui vont bien, à savoir 'local-zone' et 'local-data' dans le fichier de conf. (Et j'ai bien atteint mon but.).
S'il y a besoin de quelques définitions (jqa 10 p.e.), dnsmasq ou unbound peuvent faire l'affaire. Mais si vous avez une vraie zone, c'est quand même plus logique d'avoir un petit serveur pour ça. Au pire, si vous êtes une bille en config Bind, webmin peut aider.
Mais, moi, JAMAIS, je ne mettrais un Bind sur un firewall ! Cela n'a aucun sens.
Au boulot, je n'ai plus de pfSense, je n'ai que des Stormshield maintenant, et je ne les utilise pas comme 'cache-dns' car, pour ça, ils sont très lents !
NB : SI j'ai écris 'manque de recherche', c'est parce que, il y a nativement dnsmasq et unbound sur pfSense, et que, donc, il est largement possible de commencer par cela !