Re: Fonctionnement d'un DNS. Et pourquoi 2 NS ?

Patrick Mevzek a écrit :

>>> Après bien sûr comme dit précédemment il y a des pistes pour sécuriser
>>> l'ensemble.
>> J'ai vu que j'avais dnssec-keygen et -seczone, mais j'attendrai déjà
>> d'avoir bien configuré le reste...
> 
> Vous pouvez effectivement utiliser dnssec-keygen pour créer une clef à
> utiliser par le mécanisme TSIG qui, en résumé, « sécurise » le transfert
> de zone (entre primaire et secondaires) en authentifiant fortement
> l'émetteur (le primaire). Cela remplace ou s'adjoint aux ACLs sur les
> adresses IP.

Mais il faut contrôler le secondaire pour pouvoir faire cela, sinon 
comment signifier au secondaire qu'on utilise ce mécanisme, etc. ?

> 
>> Pour limiter les risques, est-il possible d'envoyer toutes les mises à
>> jour aux DNS Gandi, sans pouvoir être interrogé par qui que ce soit
>> d'autre (que les DNS Gandi) ?
> 
> Je ne suis pas sûr de comprendre la question, mais si vous voulez que
> votre serveur DNS ne soit pas « public » c'est à dire ne réponde
> quasimment à personne, sauf à votre prestataire, en phase de tests, il
> suffit de placer une directive du type :
> allow-query { dns_gandi; };
> dans votre fichier.
>  

Je pense que la structure que je souhaite n'existe pas : informer les 
DNS de mon registrar des modifications grâce à mon serveur DNS, sans que 
ce dernier ne soit public (pour limiter les risques et décharger le 
serveur).
Si j'utilise allow-query { dns_registrar } et que je me mets en DNS 
primaire, les requêtes publiques seront donc toujours traitées par les 
secondaires ce qui, je pense, n'est pas du tout "réglementaire" ?


> Dès que je mets les services en-ligne, y aura un bouton « Order », ce qui
> devrait faire l'affaire :-)
> 

Quel type de service en ligne ?