Yunohost en tant que serveur DNS ? Possible?

Mon serveur YunoHost

Matériel: Ordinateur (MS-7418 64bits - Intel® Atom™ CPU 230 @ 1.60GHz - 2GiB)
Version de YunoHost: 3.8.4.3
J’ai accès à mon serveur : En SSH | Par la webadmin …
Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : heu … non,
Si oui, expliquer: trés vielle installation avec des ajouts/suppression. Toujours passé via les outils Yunohost.

Description du problème

Mon domaine est du type maison.example.org , je gère example.org les DNS sur un serveur perso via bind. Ce que j’aurais aimé faire : c’est déleguer le sous domaine maison.example.org au serveur (à la maison) yunohost.

Donc : à la maison , j’ai modifié /etc/hosts pour accéder au serveur ddirectement en local

$ ping maison.example.net
PING maison.example.net (192.168.0.210) 56(84) bytes of data.
64 bytes from maison.example.net (192.168.0.210): icmp_seq=1 ttl=64 time=10.5 ms

C’est cool, ça marche. Mes télépĥone passent par l’extérieur : mais ca passe aussi pour ce que je redirige.

Par contre : si je fait un dig : le serveur DNS de maison répond pas.

$ dig maison.example.net ANY @maison.example.net
;; communications error to 192.168.0.210#53: end of file
;; communications error to 192.168.0.210#53: end of file

J’aimerais donc savoir si :

1. C’est normal , c’est pas prévu
   1. Par contre : on peut le prévoir avec cette Application (lien vers une application ynh)
   2. Par contre : tu peux le faire manuellement (lien vers de la doc)
2. Bizarre, on l’a prévu : peut tu nous remonter le retour de cette instruction
3. Non, c’est pas prévu et il vaut mieux utiliser ton serveur bind pour le sous domaine aussi (mais comme on est gentil : on t’as mis le code à copier dans ton ynh (je sait ou) et on te donne quelques infos sur comment le faire)

[edit : point 3]

Il faut que tu ouvres le port 53 (et peut être un autre), mais le trucs c’est que si tu fais ça il y a des risques en termes de sécu si le port est ouvert à l’extérieur sur la box.

Donc, dans la webadmin, il faut désactiver upnp pour le port 53, et ouvrir le port 53. Par contre dans la box, il faut vérifier que le port 53 est fermé.

Et je pense que dans ce cas ça peut marcher. Mais c’est pas une feature qui est vraiment testée.

Je suis en local pour les tests : donc pas de box entre es 2 (on verra après pour celle-ci) l’adresse 192.168.0.210 est l’adresse local et non web.

Sur l’interface GUI du pare-feu : 53 est ouvert en TCP et UDP, en ipv4 et ipv6, et l’upnp est désactivé.

Capture d’écran du 2020-05-28 14-37-551055×91 1.16 KB

Si je me place sur le serveur :

$ dig maison.example.org ANY @127.0.0.1

; <<>> DiG 9.10.3-P4-Debian <<>> maison.example.org ANY @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7716
;; flags: qr aa rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;maison.example.org.		IN	ANY

;; ANSWER SECTION:
maison.example.org.	0	IN	TXT	"v=spf1 mx a -all"
maison.example.org.	0	IN	MX	5 maison.example.org.

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu May 28 14:34:09 CEST 2020
;; MSG SIZE  rcvd: 112

Donc : ca bloque bien quelque part.

Mon iptables :

# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
f2b-yunohost  tcp  --  anywhere             anywhere             multiport dports http,https
f2b-nextcloud  tcp  --  anywhere             anywhere             multiport dports http,https
f2b-pam-generic  tcp  --  anywhere             anywhere            
f2b-recidive  tcp  --  anywhere             anywhere            
f2b-postfix-sasl  tcp  --  anywhere             anywhere             multiport dports smtp,submission,imap2,imaps,pop3,pop3s
f2b-dovecot  tcp  --  anywhere             anywhere             multiport dports pop3,pop3s,imap2,imaps,submission,sieve
f2b-postfix  tcp  --  anywhere             anywhere             multiport dports smtp,submission
f2b-nginx-http-auth  tcp  --  anywhere             anywhere             multiport dports http,https
f2b-sshd-ddos  tcp  --  anywhere             anywhere             multiport dports ssh
f2b-sshd   tcp  --  anywhere             anywhere             multiport dports ssh
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:submission
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:imaps
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:xmpp-client
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:xmpp-server
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:64738
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:4443
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:5347
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:mdns
ACCEPT     udp  --  anywhere             anywhere             udp dpt:587
ACCEPT     udp  --  anywhere             anywhere             udp dpt:64738
ACCEPT     udp  --  anywhere             anywhere             udp dpt:10000
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain f2b-dovecot (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            

Chain f2b-nextcloud (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            

Chain f2b-nginx-http-auth (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            

Chain f2b-pam-generic (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            

Chain f2b-postfix (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            

Chain f2b-postfix-sasl (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            

Chain f2b-recidive (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            

Chain f2b-sshd (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            

Chain f2b-sshd-ddos (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            

Chain f2b-yunohost (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere   

Je retrouve mon dns en udp, mais pas en tcp (ou j’ai pas de bons yeux).

Mais c’est pas une feature qui est vraiment testée.

C’est l’occase

Bon,

Je suis pas sur de ce que je fait … mais bon …

$ cat /etc/dnsmasq.conf
domain-needed
expand-hosts

#listen-address=127.0.0.1
resolv-file=/etc/resolv.dnsmasq.conf
cache-size=256

Mise ne commentaire de listen-address

service dnsmasq restart

$ dig maison.example.net ANY @192.168.0.210
[…]
;; ANSWER SECTION:
maison.example.net.	0	IN	TXT	"v=spf1 mx a -all"
maison.example.net.	0	IN	MX	5 maison.example.net.

[…]

A ouvrir sur la box maintenant après avoir modifier mon bind …, faut prier ?

Je sais que je n’apporte pas grand chose à la question mais chez moi j’ai installé pihole dans YunoHost et mon serveur sert de serveur DNS à la maison (avec l’avantage de bloquer les pubs)

Au niveau de serveur j’ai ouvert le port 53, mais fermé au niveau de la box sinon des robots le détectent très vite et j’avais une utilisation de mon serveur DNS depuis l’extérieur.

Niveau config, je n’ai rien eu à faire, juste gérer les ports et dire à la box de propager l’IP locale du serveur comme DNS.

Tu n’as pas eu à modifier /etc/dnsmasq.conf ?

Pour l’instant : j’ai laissé tomber et ne redirige plus le port 53, mais j’envisage de le faire.

J’ai modifié mon DNS externe pour la partie XMPP etc … encore quelques soucis, mais à part cela ça va. Mais d’un autre coté : je pense installe soit nextcloud, soit ynh sur ce serveur externe (après avoir migré mes mails).

Peut être que l’installation de pihole l’a fait, mais non, niveau configuration je n’ai rien eu à faire d’autre que de gérer les ports.

This topic was automatically closed 15 days after the last reply. New replies are no longer allowed.