b)      FireWalling

Ce petit paragraphe ne touche pas directement le fonctionnement du serveur DNS, mais permet de mettre l’accent sur certains ports d’accès plus ou moins utiles.

Il existe deux communications de base possibles sur avec un serveur DNS :

• TCP port 53 - Canal de communication utilisé pour la réplication de zones entre serveur primaire et ses secondaires.
• UDP port 53 - Canal permettant d’effectuer des requêtes de résolution sur le serveur.

Notre serveur doit uniquement traiter les requêtes provenant des machines du réseau interne, et ne réplique pas avec des serveurs secondaires, donc nous avons opté pour le filtrage suivant :

• Interdire toute communication sur le port 53 du protocole TCP.
• Autoriser uniquement les communications sur le port 53 du protocole UDP pour les adresses IP du réseau LAN (192.168.1.0/24).

Sous IPF, le programme de filtrage que nous utilisons sur notre serveur FreeBSD, nous avons donc précisé les règles de filtrage suivantes :

• pass in quick on rl0 proto udp from 192.168.1.0/24 to any port = 53
• block in quick on rl0 proto tcp/udp from any to any port = 53
• block out quick on rl0 proto tcp from any to any port = 53
• pass out quick on rl0 from any to any

Ces règles de filtrage sont évidemment à adapter en fonction du reste des services configurés sur le serveur, et en fonction de la configuration DNS qui est en exploitation (exemple : communication entre serveur primaire et serveurs secondaires).