Bonjour les développeurs,

Je voudrais changer le serveur DNS primaire de ma PlayStation 3 (qui est en "Automatique" actuellement) pour y mettre l'adresse IP de ma dedibox (online.net). Le but étant d'avoir mon propre serveur DNS pour différents besoins. Seulement, ça ne fonctionne pas : la console ne parvient plus à se connecter à Internet. Sur ma dedibox, j'ai BIND en serveur DNS. Il fonctionne à merveille pour la résolution de mes différents noms/IP de mes sites internet. J'imaginais donc qu'il n'y aurait pas de configuration supplémentaire à apporter pour permettre à la console de se connecter à mon BIND. De quel côté dois-je regarder ? On est d'accord que c'est du côté de BIND que des changements doivent être apportés ? Si oui, lesquels ? Merci pour votre aide !

Bonjour,

Déjà côté serveur : le port TCP 53 (DNS) est bien ouvert sur la dedibox. BIND écoute t'il bien sur toutes les IPs.

Pour tester ça tu peux utiliser ce site et voir si tu arrives à avoir une réponse.

Bonjour millman,

Le port TCP/UDP 53 est ouvert, oui. Sinon la résolution de mes noms ne fonctionnerait pas. Et BIND écoute sur toutes les IPs. Du moins, j'en suis presque certain car le test (effectué sur le site que tu as partagé) fonctionne bien avec l'IP de mon serv en "Domain" et "localhost" (ou toute autre IP) dans le champ "Server". Du coup, je ne comprends toujours pas pourquoi ça coince avec la PS3 ...

Bonjour,

Et quand ton serveur Bind ne peut pas résoudre le nom de domaine demandé, que fait-il? DNS forward? DNS caching?

Peux-tu montrer la config de Bind?

La configuration actuelle de mon BIND :

options {
        directory "/var/cache/bind";
        auth-nxdomain yes; # conform to RFC1035
        listen-on port 53 { any; };
        allow-recursion { localhost; IP_DE_MON_DNS_PRIMAIRE; };
        allow-transfer { IP_DE_MON_DNS_SECONDAIRE; };
        forwarders {
                8.8.8.8;
                8.8.4.4;
         };
        forward only;
        version "BIND";
};
include "/etc/bind/named.conf.logging";

À savoir que j'ai rajouté "forwarders{...}" + "forwar only" récemment. Mais de toute façon, avec ou sans, ça ne fonctionne toujours pas ...

Bonsoir,

Il faut autoriser ta Playstation a utiliser ton serveur:

allow-recursion defines a address_match_list of IP address(es) which are allowed to issue recursive queries to the server. When allow-recursion is present allow-query-cache defaults to the same values. If allow-recursion is NOT present the allow-query-cache default is assumed (localnets, localhost only). Meaning that only localhost (the server's host) and hosts connected to the local LAN (localnets) are permitted to issue recursive queries.

Enlève forward only et forwarders:

forward is only relevant in conjunction with a valid statement. If set to 'only' the server will only forward queries, if set to 'first' (default) it will send the queries to the forwarder and if not answered will attempt to answer the query. This statement may be used in a zone view or a global options clause.

Bonsoir KoaTao,

J'ai tapé un allow-recursion{ any; }, supprimé le forwarders et le forward only, et ça fonctionne ! Le "any" de manière à autoriser n'importe quelle PlayStation à se connecter à Internet via mon DNS puisqu'à terme, ce serait le but. Néanmoins, cela me pose question : un allow-recursion {any;} me semble pas très safe, en fait. Est-ce que je me trompe ? Pour le moment, c'est la seule solution pour pouvoir connecter plusieurs PS à mon DNS mais on est bien d'accord que c'est un peu aussi la porte ouverte à tout et n'importe quoi d'un point de vue sécurité, non ? Comment je fais, du coup ?

Bonjour,

Effectivement, si ton serveur est accessible depuis l'extérieure, c'est mauvais niveau sécurité. Cela laisse la place à l'amplification par exemple.

Là, je pense qu'il va nous falloir un peu plus de précision sur ce que tu souhaites faire. Si je comprend bien, tu n'as pas moyen de connaitre l'adresse réseau ou l'adresse IP d'une Playstation à l'avance? Donc ton serveur doit être accessible depuis partout sur internet?

Edit: ton serveur est autoritaire sur tes ndd ?

-
Edité par KoaTao 18 juin 2019 à 7:20:03

molinadiaz a écrit:

fonctionne bien avec l'IP de mon serv en "Domain" et "localhost" (ou toute autre IP) dans le champ "Server". Du coup, je ne comprends toujours pas pourquoi ça coince avec la PS3 ...

C'est l'inverse qu'il faut faire. Mettre google.com par exemple dans le champs Domain et l'ip de ton serveur dans le champs serveur.

Et non si la résolution se fait bien cela prouve que le port DNS est ouvert en sortie pas qu'il est ouvert en entré.

Mais bon si cela fonctionne c'est que c'était bien ouvert.

Si tu veux utiliser bind9 comme résolveur il faut configurer allow-recursion. Après il serait intéressant de savoir ce que tu veux faire car bind9 est surtout utile en contrôleur de zone et visiblement ce n'est pas ce que tu veux faire.

Par exemple si tu veux un serveur DNS qui répond à toutes les requêtes DNS normalement en interrogeant un autre serveur DNS mais que tu veux changer certain nom de domaine il y a dnsmasq qui est plus adapté.

KoaTao a écrit:

Là, je pense qu'il va nous falloir un peu plus de précision sur ce que tu souhaites faire. Si je comprend bien, tu n'as pas moyen de connaitre l'adresse réseau ou l'adresse IP d'une Playstation à l'avance? Donc ton serveur doit être accessible depuis partout sur internet?

Edit: ton serveur est autoritaire sur tes ndd ?

C'est exactement ça. Toute PlayStation doit pouvoir se connecter à Internet par l'intermédiaire de mon serveur DNS. D'où le "allow-recursion{any;}" mais solution visiblement trop dangereuse. Je vais devoir en appliquer une autre ...

Mon serveur fait autorité sur chacun de mes ndd, en effet. Du moins, je crois. Comment vérifier ?

millman a écrit:

Si tu veux utiliser bind9 comme résolveur il faut configurer allow-recursion. Après il serait intéressant de savoir ce que tu veux faire car bind9 est surtout utile en contrôleur de zone et visiblement ce n'est pas ce que tu veux faire.

Par exemple si tu veux un serveur DNS qui répond à toutes les requêtes DNS normalement en interrogeant un autre serveur DNS mais que tu veux changer certain nom de domaine il y a dnsmasq qui est plus adapté.

dnsmasq serait donc la solution, tu penses ?

-
Edité par Anonyme 18 juin 2019 à 11:21:47

En allow-recursion ne devrait être utilisé que en locale ou accepté les requêtes venant d'un nombre restreint d'IP.

Normalement il faut bien configurer le forwarding comme tu l'avais fait.

Il faut peut être rajouter un allow-query { any; };

Sinon le problème sera le même avec dnsmasq.

Malheureusement, cette nouvelle configuration ne me permet pas de me connecter à Internet avec ma PlayStation :

options {
        directory "/var/cache/bind";
        auth-nxdomain yes; # conform to RFC1035
        allow-recursion { localhost; };
        allow-transfer { IP_DNS_SECONDAIRE; };
        allow-query { any; };
        forwarders {
                8.8.8.8;
                8.8.4.4;
        };
        forward only;
        version "BIND";
};.
include "/etc/bind/named.conf.logging";

C'est normale le forwarder doit être mis dans une zone.

zone "forward" {
     type forwarder;
     forwarders {
           8.8.8.8;
           8.8.4.4;
     };
     forwarder-only;
};

Désolé j'avais pas bien la ta conf.

-
Edité par millman 18 juin 2019 à 18:14:56