Comment créer un DNS publique - Réseaux - Réseaux grand public / SoHo
Marsh Posté le 29-09-2010 à 10:52:40
Bonjour,
Il te faut logiquement un serveur DNS (Bind par exemple), et il te faut un nom de domaine chez un registrar, puis vois ensuite avec eux pour te faire déléguer la gestion de la zone (les procédures varient suivant les tld).
Ensuite tu peux aussi contacter ton FAI pour la délégation de la gestion du reverse.
EDIT : en fait tu voulais parler de la gestion d'une zone DNS ou juste d'un résolveur récursif ?
Marsh Posté le 29-09-2010 à 11:06:03
oui ma demande est mal formulé :
il est question de log et de filtrage.
-- les requêtes passeraient par mon serveur et je fourni l'adresse IP si le nom dns est "autorisé" (ne fait pas partit d'une blacklist /porno/autre).
je ne sais pas si cela signifie "récursif" :-) désolé...
Marsh Posté le 29-09-2010 à 12:03:08
ok donc ça peut être un serveur récursif ou un simple forwarder.
Apparement ce qui t'intéresse surtout c'est la partie filtrage des URLs, là je sais pas t'aider désolé.
Marsh Posté le 29-09-2010 à 12:56:11
Je cherche a faire comme OpenDNS sans OpenDNS :-)
Un forwarder c'est uniquement dans le même Lan non ?
IpCOP par exemple dispose d'une solution de filtrage DNS, mais peut-on désactivé la fonction de Proxy et n'utiliser que la fonction filtre et log dns ?
Marsh Posté le 29-09-2010 à 13:24:10
upgarde a écrit : |
Non pas forcément.
Marsh Posté le 09-02-2011 à 13:44:25
Bonjour, le projet actuel fut mis en sommeil compte tenu d'un agenda très chargé, mais je suis toujours a la recherche d'une solution de Filtrage pour me clients.
1 : Je met a la disposition de mes clients un serveur DNS public qui sera chargé de répondre avec une listes blanches et noires d'adresse ip.
2 : Fournir des log des requettes par adresse ip de mes clients.
3 : Eventuellement quelques chiffres clés ainsi que des liste sur les requettes bloqués.
si qq'un à un début de solution fonctionnelle et un peu testé cela m'aiderais énormément.
merci pour votre aide.
Marsh Posté le 10-02-2011 à 19:18:10
pourquoi faire un filtrage par DNS et pas par URL
si les users sont un poil smart il vont finir par trouver la parade et faire passer les appels DNS a coté du filtre et tapper dans les sites direct par l'IP et donc tu l'aura dans l'os
en solution pro y a websense qui fait deja ca avec des listes autorisé/rejeté
Marsh Posté le 10-02-2011 à 21:36:27
Si tu veux faire du filtrage DNS en plus, oui IP-Cop le fait, j'en ai installé plusieurs et le blocage par DNS est presque parfait.
Concrètement, tu veux un truc en local qui empêche t'es utilisateurs d'aller n'importe où?
Tu veux accès distant hors réseau local avec VPN et tout?
Pose ta requête, ce que tu veux globalement, parce que si tu veux une solution IpCop j'ai des petits trucs pour toi mais faudrait que ça colle, et je ne suis pas sur
Marsh Posté le 12-02-2011 à 03:57:03
Youri03 a écrit : Si tu veux faire du filtrage DNS en plus, oui IP-Cop le fait, j'en ai installé plusieurs et le blocage par DNS est presque parfait. |
Je suis bien content d'avoir une réponse, je me sens moins seul :-))
Non pas en local, mais externe pour mes clients.
L'idée est de changer le serveur DNS des postes de mes clients, disséminés partout en France et utilisants des systèmes hétérogène.
Du coup, tous ses PC feraient les requettes DNS sur mon serveur plustot que sur selui de leur provider habituel.
Mon serveur placé chez un hébergeur recevrait les requêtes, les filtreraient en fonction de la qualité (porno/pedo, ect...) du site ou de son contenu.
l'idée finale est de fournir un solution clé en main a mes clients afin de leur apporté si besoin une liste des sites visité/fréquence/etc.
Je fais mon affaire des configurations de PC, j'ai un outil pour cela.
Il me faut juste un serveur DNS public capable de filtrer et logger.
Tu penses que IPCOP ferait cela ?
Marsh Posté le 12-02-2011 à 14:50:10
Un proxy me semble plus approprié pour faire ce genre de filtrage.
En plus si les clients ont une adressage interne avec des noms tu vas devoir le gérer au cas par cas, ça va pas être pratique. Ou alors le client devra avoir un serveur DNS forwarder, c'est pas forcément compliqué à faire techniquement mais à mon avis ce serait plus simple de faire un proxy.
Marsh Posté le 12-02-2011 à 21:15:35
Misssardonik a écrit : Un proxy me semble plus approprié pour faire ce genre de filtrage. |
Oui un proxy ferait mieux l'affaire, je confirme. Du moins je pense.
Pour ce qui est d'IPCOP, oui il le fait plutôt bien, seul problème, il commence à dater et les développeurs on plus ou moins abandonnés le projet ipcop au profit de PfSense par exemple. Néanmoins, pour le filtrage que j'ai pus mettre en test au lycée, chez moi, entreprise, j'ai toujours été plus que satisfait du résultat.
Par contre pour la mise en place: Soit tu l'installe dans tous tes sites à distance, soit tu fait converger tous tes sites dessus, je crois juste que c'est extrêmement lourd.
La solution que je vois si possible pour toi: Mettre en place à chaque sortie sur le net des sites, un système type ipcop ou pfsense. Même l'idée de tout converger sur un DNS public et tout, je pense que tu peux perdre en fiabilité et vitesse.
Je prends un exemple pour ma solution ipcop: Tu as des blacklistes très poussés et à jour, un addons qui s'appel "urlfilter" qui fait aussi de bonne chose, et tu peux encore en plus ajouter des domaines ou des parties de sites à des BL personnalisées. PFsens doit faire pareil aussi
Marsh Posté le 13-02-2011 à 09:48:49
Youri03 a écrit : |
Mes clients ont des configurations profondément hétérogène, certains n'ont même pas un serveur de fichiers, il s'agit d'artisans par exemple.
Évidement dans mon parc de clients, certains travaillent avec des configurations système professionnelle mais, c'est exceptionnel.
Par exemple, pour le moment, je n'ai pas vu un seul AD correctement utilisé ;-))) (tous les postes se connectent avec le login administrateur )
Moi, je ne suis pas leur admin système et à la limite, mon rôle n'est même pas de leurs expliqué se qui est bon ou mauvais pour eux, ils ont leur propre prestataire système sur place....
Il me faut donc une solution générique.
Je suis responsable des LOGs et des Requettes DNS vers internet.
Si les services judiciaire me demande la liste des site visité depuis une adresse IP publique entre telle date et telle date, je dois la fournir.
Accessoirement, je dois aussi faire de mon mieux afin que certains sites ne soit pas accessible par des utilisateurs étourdies
Je disposes pour cela sur chaque PC de mes clients de notre "Agent" qui vérifie toutes les 15 minutes s'il y a des travaux a réalisé.
Cet agent peut faire a peu près n'importe quoi sur tous les systèmes Windows de XP à Windows serveur 2008... (de la GPO en plus lent).
Je pensais bêtement que l'agent pourrais configurer le bon serveur DNS sur le poste toutes les 15 minutes, et éventuellement positionné un enregistrement ou deux pour la zone locale dans le fichier 'hosts' des PC locaux...
Je m'aperçois que c'est beaucoup plus compliqué que je ne le pensais
Merci pour votre aide.
Marsh Posté le 13-02-2011 à 15:16:57
Alors je pense que cela dépasse mes compétences ^^' Je l'avoue avec franchise, là je ne suis pas en mesure de t'aider correctement. Désolé
Marsh Posté le 29-09-2010 à 10:12:09
Bonjour a tous,
Tout est dans l'objet, j'ai pour projet la création d'un DNS "public" pour mes clients.
Le but final étant le filtrage pour cadrer avec la loi sans installation à demeure d'une solution car pour la plupart de mes clients,
les ressources nécessaires ne sont pas disponibles pour une financer une nouvelle machine sans rapport avec le besoin de quelques connexions/jours.
Je remercie par avance toute personne successible de me mettre sur la voie d'un début de solution (distribution/solution).
JL