Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

adresse internet bogon

fredouille

Bonjour à tous,

Je reviens une fois de plus sur les méandres des adresses IP.

J'ai un poste en F10 que j'essayes tant bien que mal de faire fonctionner en serveur, passerelle internet ainsi que d'autres choses.

J'ai actuellement une carte ethernet (eth0 en 10.0.1.51/255.255.255.0) qui est reliée à mon modem (10.0.1.1/255.255.255.0) pour l'internet, et une autre carte (eth1 en 192.168.0.251/255.255.255.0) pour mon réseau privé qui est relié à un switch où sont branchés d'autres postes.

Ce poste résoud les DNS pour mon réseau privé, et tout fonctionne.

J'ai simplement voulu utiliser zonecheck pour qu'il me dise si il y avait des erreurs de configuration et voici ce qu'il m'a renvoyé /

a> Les serveurs de nom font tous partie du même AS
| Conseil: ZoneCheck
| Afin d'éviter de perdre la connectivité avec les serveurs DNS
| autoritaires en cas de problèmes de routage dans le Système Autonome,
| il est conseillé d'héberger les serveurs sur différents AS.
`----- -- -- - - -
: Tous les serveurs de noms font partie du même Système Autonome (AS
: numéro 4294967295), essayez d'en héberger certains sur un autre.
`..... .. .. . . .
=> générique

a> L'adresse a été allouée dans un réseau privé
| Réf: IETF RFC1918 (3. Private Address Space)
| The Internet Assigned Numbers Authority (IANA) has reserved the
| following three blocks of the IP address space for private internets:
| 10/8, 172.16/12, 192.168/16.
`----- -- -- - - -
=> srvr.berok.org.

a> Présence d'adresses listées parmi les 'bogon'
| Réf: http://www.cymru.com/Bogons/
| A bogon prefix is a route that should never appear in the Internet
| routing table. A packet routed over the public Internet (not including
| over VPN or other tunnels) should never have a source address in a
| bogon range. These are commonly found as the source addresses of DDoS
| attacks.
`----- -- -- - - -
: Classé parmi les 'bogon': 10.0.1.51.
`..... .. .. . . .
=> srvr.berok.org.

Je comprends qu'il me faudrait un serveur de DNS esclave, donc rien de grave car j'en ai pas.
Je comprends maintenant que l'adresse 10.0.1.51 pose problème car celle-ci fait parties des bogon.

Je suis allé voir par là et le réseau 10.0.1.0/255.255.255.0 n'apparait pas dans cette liste.

J'ai repris quelques autres fils ainsi que des liens explicatifs qui m'ont été transmis (certains devraient se reconnaître) et je ne comprends toujours pas pourquoi mon réseau internet fait partie de ces bogons.

Si vous voyez ce que je ne comprends pas, ca m'aiderait bien...

proxy

Bonjour,

as tu cette page http://en.wikipedia.org/wiki/Bogon_filtering ?

10.0.0.0/8 est la plage de ton LAN.

madko

tu peux faire des vues dns pour que un nom soit resolu en 10.0.x.x si le client est sur ton LAN, et en autre chose si c'est du coté internet.

fredouille

a proxy :
oui j'ai bien cette page, tu me dis que 10.0.0.0/8 est la plage de mon lan, mais c'est ce que j'ai beaucoup de mal me mettre en tête; je ne comprends cette écriture en /8, /16, /24 et autre.

Comment faire pour être sur des plages différentes ?

fredouille

a madko :

je ne comprends pas ton explication, tu peux me la refaire autrement ??

proxy

http://www.frameip.com/masques-de-sous-reseau/#5.8_-_Quelle_est_cette_notation_avec_un_/,_comme_/24

Certaines plages d'adresses ont été réservées pour une utilisation locale. Ainsi, pour configurer un réseau local quand on n'a pas de plage d'adresses publiques à disposition, on doit utiliser ces plages d'adresses privées. Si vous voulez avoir plusieurs réseaux, c'est à vous de faire le découpage au sein de ces plages comme bon vous semble.

Voici ces plages d'adresses:

10.0.0.0/255.0.0.0 soit plus de 16 millions d'adresses
192.168.0.0/255.255.0.0 soit près de 65000 adresses
172.16.0.0/255.240.0.0 soit plus d'un million d'adresses

Si après vous ne trouvez pas votre bonheur, c'est que vous avez un sacrément grand réseau, ou que vous vous y prenez mal...

fredouille

donc si je comprends bien :
-l'adresse 192.168.1.51 masque 255.255.255.0 dit que le réseau est 192.168.1.0 car les 3 premiers octets du masque ont une valeur différente de 0 et que donc 254 machines sont possibles.
-l'adresse 10.0.0.51 masque 255.255.255.0 dit que le réseau est 10.0.0.0 car les 3 premiers octets du masque ont une valeur différente de 0 et que donc 254 machines sont possibles.

que donc l'adresse 192.168.15.51 masque 255.255.0.0 dit que le réseau est 192.168.0.0 car seulement les 2 premiers octets du masque une valeur différente de 0 et que donc 64516 machines sont possibles sur ce réseau (64516 = 254 x 254).

C'est bien ça ???

pmarion

Regarde ICI pour plus de détail sur les masques de réseau et les plages en IPV4.

fredouille

maintenant le modem que j'utilise est un modem routeur qui a une adresse lan configurable(10.0.0.1 masque 255.255.255.0 relié à la carte eth0 de ma passerelle (10.0.0.51 masque 255.255.255.0).
Je précise que je n'utilise pas la fonction de routeur intégrée au modem mais un switch pour les postes de mon réseau privé, le switch étant directement relié à la carte ethernet de ma passerelle, à savoir eth1 en 192.168.1.51.

Que puis-je faire pour ne plus avoir ce message de zonecheck ???

fredouille

a pmarion :
ben, ce que je croyais avoir compris est en fait complètement faux.
l'exemeple avec le masque 255.255.255.0 me parait simple car il ne reste plus que le dernier octet pour dire le N° de machine (enfin je crois).

Mais après c'est vraiment farfelu, je n'arrive pas à trouver de logique entre le réseau le cidr et le masque.
A chaque fois je me fous dedans......

si je prends l'exemple que tu m'as proposé :

Classe bit Début Fin cidr masque Nb. adress
Classe B ? 10 ? 128.0.0.0? 191.255.255.255 ? /16 ? 255.255.0.0 ? 65.534 ?
Classe C ? 110 ? 192.0.0.0 ? 223.255.255.255 ? /24 ? 255.255.255.0 ? 254 ?

je ne comprends pas comment avec un masque 255.255.0.0 on peut avoir 65.534 machines.

Désolé mais il me manque des bases pour comprendre la logique...

pmarion

Avec 255.255.255.0   ou /24  on peut avoir 2**8 machines  (32-24 ::= 8)
Avec 255.255.0.0   ou /16 on peut avoir 2**16 machines    (32-16 ::=16) 
Avec 255.0.0.0. ou /8 on peut avoir 2**24 machines (32-8 ::= 24)

L'adressage d'IPV4 se fait sur 32 bits et le masque permet de réduire l'étendue de chaque plage.

Plus le masque contient de bits (Exemple : 255.255.255.64) plus la plage est réduite.
Moins le masque contient de bits plus la plage est étendue.

Si l'on raisonne à l'envers.
Il te faut une plage de 256 (254?) objets il te faut 8 bits dont 32-8 donc /24 donc 255.255.255.0
Il te faut une place de 128 (126?) objets) il te faut 7 bits dont 32-7 donc /25 donc 255.255.255.128

fredouille

je ne comprends pas, je croyais qu'avec un masque 255.255.255.0 (comme pour les réseaux privés, 192.168.0.0, 192.168.2.0, etc) on pouvait avoir 254 machines par réseaux.

plus j'avance et plus c'est flou....

fredouille

une chose que je ne comprends vraiment pas :

192.10.1.0 255.255.255.128 ou 192.10.1.0/25 126 adresses de 192.168.1.1 à 192.168.1.126
192.10.1.128 255.255.255.128 ou 192.10.1.0/25 126 adresses de 192.168.1.129 à 192.168.1.254

ne donne que 2 x 126 adresses dispos, alors que :

192.10.1.0 255.255.255.192 ou 192.10.1.0/26 62 adresses de 192.168.1.1 à 192.168.1.62
192.10.1.128 255.255.255.192 ou 192.10.1.128/26 62 adresses de 192.168.1.129 à 192.168.1.190

ne donne que 2 x 62 adresses dispos.

seul de dernier octet du masque change, ou perd-t-on les 64 adresses ?

comment faire pour m'en sortir ?

madko

J'ai peut être mal compris l'erreur remonté par ton zonecheck, mais il me semble que le seul truc qui lui plait pas c'est qu'un nom de machine indique une ip sur une plage de reseau privé. Donc c'est pour ça que je parlais de vue, car les clients qui interrogent ton dns depuis interne ne doivent pas recevoir une réponse avec une ip sur un reseau privé. Les vues permettent de changer les réponses de ton dns en fonction de certains parametres comme l'ip du client.
ex:
* vue LAN
srvr.berok.org IN A 10.0.0.51
* vue WAN
srvr.berok.org IN A ip_publique

Pour la notation cidr, a chaque fois que tu decale le bit vers la droite tu divise par 2 l'espace d'adresse disponible dans ton reseau, donc /24 = 256 adresse, /25 = 128, /26 = 64. -2 adresse à chaque fois (reseau et broadcast). On ne perd pas les autres adresses elles sont juste sur un autre segment de reseau. Le plus fun c'est quand t'as un masque avec des bits non contigus...

fredouille

donc si je comprends bien pour le dns, je dois creer une vue pour que le zonecheck pense que le dns est public et non sur le réseau privé.

C'est bien ça ??

Merci pour l'info du cidr, mais ce qui me dérange c'est qu'un coup on parle de /24 /25 /26, mais qu'en réalité on écrit le masque en 255.255.255.quelquechose.

Et c'est ce quelquechose qui me dérange, je ne le comprends pas.

si 255.255.255.128 me donne 126 adresses possibles pourquoi 255.255.255.192 me donne seulement 62 adresses ?

Quel est le lien entre le 128 et le 192 ??

Comment fait-on pour faire une vue pour mon dns ???

pmarion

Quel est le lien entre le 128 et le 192 ??

On (re)commence :

255.255.255.0 ::= 11111111111111111111111100000000 donc 8 bits non masqués donc 2**8 = 256 donc 254 adresses utiles
255.255.255.128 ::= 11111111111111111111111110000000 donc 7 bits non masqués donc 2**7 = 128 donc 126 adresses utiles
255.255.255.192 ::= 11111111111111111111111111000000 donc 6 bits non masqués donc 2**6 = 64 donc 62 adresses utiles.

Un masque de sous réseau définit le nombre de bits masqués (1) et représentatifs (0).
Plus il y a de bits de masqués, moins il y a de bits représentatifs donc utiles.

madko

Pour les vues/view le plus simple est de d'abord créer une acl pour définir ton reseau interne privé:

acl "lan" {
  {10.0.0.0/24;};
};

Et ensuite tes 2 vues:

view "interne" {
  match-clients { "lan"; };
  recursion yes;
  include "fichier_zone_interne";
};

view "externe" {
  match-clients { any; };
  recursion no;
  include "fichier_zone_externe";
};

Le principe est simple mais bon ça fait gerer 2 fichiers de zone.

http://www.zytrax.com/books/dns/ch7/view.html ça a l'air bien expliqué ici.

fredouille

a pmarion :

merci pour l'explication, je viens de comprendre que la règle est juste l'inverse de ce que je croyais, càd qu'il faut connaitre le nombre de bits à 0, mais j'ai encore du mal avec les 128 -> 192.
Pourquoi 128 me fait 7 bits ? et pourquoi 192 me fait 6 bits ?

C'est ça que j'ai du mal à comprendre. Tu peux m'expliquer ?
Je dois passer en binaire ? en hexadécimale ?

a madko : je m'y essayes de suite et vous tient au courant..

(Je ne sais toujours pas quoi mettre en adresse réseau pour l'accès internet.....)

madko

10000000 = 128
01000000 = 64
donc quand tu ajoute 1 bit de masque, 10000000 devient 11000000 et donc 128+64 = 192.

la machine pour savoir si t'es dans le meme sous reseau, prend l'adresse ip, et fait un ET logique avec le masque de son reseau

11000000 10101000 00000001 01100100 (192 168 1 100)
ET
11111111 11111111 11111111 10000000 (255 255 255 128)
=
11000000 10101000 00000001 00000000 = 192 168 1 0 = adresse du reseau de l'ip
tu complete par des 1 tous les champs qui sont libres: 11000000 10101000 00000001 01111111 = 192.168.1.127 = adresse de broadcast

11000000 10101000 00000001 01100100 (192 168 1 100)
ET
11111111 11111111 11111111 11000000 (255 255 255 192)
=
11000000 10101000 00000001 01000000 = 192 168 1 64 = adresse du reseau de l'ip
tu complete par des 1 tous les champs qui sont libres: 11000000 10101000 00000001 01111111 = 192.168.1.127 = adresse de broadcast

donc on voit bien que t'as moins d'ip dans le 2e cas

pmarion

Pour nous les humains la notation d'un masque est en décimal (mais avec une séparation par des «.» : 255.255.255.0 ou /24 (nombre de bits significatifs)
La pile IP raisonne en binaire pur.

Pour faire des conversion decimal=>binaire
echo "obase=2;192" | bc
11000000

Pour faire des conversion binaire=>decimal
echo "ibase=2;11000000" | bc
192

Exemple de conversion de 255.255.255.192
echo "obase=2;$((255*256*256*256+255*256*256+255*256+192))" | bc
11111111111111111111111111000000

26 bits de masque (et 6 bits non marques) donc on peut utiliser la notation /26 et cela donne 2**6 donc 64 adresses dont 62 utiles.

Essaie de bien te roder en IPV4 car IPV6 arrive (16 octets au lieu des 4 d'IPV4)

Page suivante »