Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

Mon, 11 Feb 2019 08:51:49 -0800

La question n'est pas de savoir s'il peut, mais s'il doit. Et là, la question peut-être plus trickie qu'il n'y parait.
Donner deux noms avec des adresses différentes, ça ne pose que peu de problèmes (à l'exception de quelques systèmes SSO). Donc le corp.domaine pour le privé et le .domaine pour le public, ça passe sans souci. 


En revanche, si publier en interne du privé pour .domaine et  en externe 
pour du public est très faisable, avec ou sans vues, ça peut avoir des 
conséquences parfois un peu ennuyeuses. Le cas que je vois et que je 
connais bien, c'est le cas où le concept d'"interne" est un peu lâche. 
Tant qu'on est dans un LAN, ça se passe bien, mais si on commence à 
avoir plein de sites distants dont le concept de "interne" repose sur du 
VPN (ipsec par exemple), c'est un peu moins bien.


Pourquoi ?


Parce que souvent, on fait des VPN pour protéger quelques applications. 
Mais on publie aussi des ressources vers  internet (par exemple la 
messagerie). Quand .domaine est du RFC1918 en interne, le site distant 
relié par VPN ne pourra accéder à imaps.domaine que lorsque le VPN est 
up. Ce qui est dommage, puisque la finalité du VPN, c'était seulement de 
protéger erp.domaine. Et donc, on a une infra qui se met à dépendre du 
VPN de manière beaucoup plus importante qu'elle ne le devrait.


Le 08/02/2019 à 17:36, David Ponzone a écrit :

- peut-on résoudre corp.example.com en adressage privé (donc en interne 
seulement) ? Ça voudrait dire qu'on ne dit pas tout en out, mais qui blâmer ? 
publier de l'adressage privé ça sert à rien (sans parler des pb de sécu).

Mais tu fais ce que tu veux.
Personne ne va venir te mettre une amende pour censure ou autre parce que tu ne 
publies pas sur ton DNS public certains services :)
C’est peut-être moi qui comprends mal ce qui t’inquiète à ce niveau, tu peux 
donner un exemple ?
Sinon y a pas des pointures en DNS chez Capgemini ? :)
Ok je sors.


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

--
<http://www.ac-clermont.fr>
        



---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/























					Répondre à