> > Pour ne plus être emmerdé avec le split DNS et la gestion de serveurs DNS, > > le client souhaite utiliser uniquement un resolver DNS public avec les > > enregistrements publics et privés.
> Le split DNS c'est quand même un nid à ennui ++ +1 (...) > > Techniquement, ça marche. > Oui plutôt pas mal, sauf avec les résolveurs de certains FAI qui veulent ton > bien en répondant un NXDOMAIN (pas sur) quand c'est une IP RFC1918 (Coucou > Free > et Numericable). +1 Il faut bien avoir cette limitaion a l'esprit si les ressources privées sont accessibles via un VPN par exemple, et qu'on ne maitrise pas les resolver DNS des utilisateurs (clientless SSL VPN par exemple). (...) > Oui, je l'ai fait plusieurs fois, le seul soucis que je vois c'est de leaker à > l'extérieur le plan d'adressage interne, mais bon ça ne me semble pas une > information si utile à un attaquant (les ranges RFC 1918 sont pas si vastes) > par rapport aux ennuis créés par le split dns. On n'est pas vendredi donc je > ne > vais pas parler de zero-trust. Sans parler de zero-trust, avoir des entrées dans la zone DNS publique pour des sans IP publique joignable permet aussi de déployer des certificats SSL avec ACME (let's encrypt, zerossl, etc) et validation DNS. Evidemment, il n'est pas nécessaire que ces entrées DNS pointent vers une IP (privée ou publique). Donc je suis pas contre non plus. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
