Bonjour,
 
Cela fait un moment que je cherche, mais je ne trouve rien de concluant : à savoir s'il existe un moyen avec bind de supprimer certaines IP ou plages dans les réponses ?  
 
J'ai vu qu'il existait la fonction deny-answer-addresses à la base pour lutter contre le DNS rebinding, mais celle-ci bloque la réponse entière, et ne laisse pas passer le reste si la réponse contient plusieurs enregistrements. Cette fonction doit me servir à ne pas retourner des records IPv6 GUA, mais uniquement ULA dans un domaine active directory, afin de ne pas dépendre du préfixe public qui peut changer et m'obliger à update toute la config.
 
Sinon si vous avez une meilleur solution afin d'utiliser quand même les GUA sans refaire la config à chaque changement de préfixe, je prends.
 
Merci  

C'est difficile de te répondre sans une idée plus précise de l'architecture.
En particulier, à qui ton serveur DNS s'adresse pour avoir les réponses que tu cherches à filtrer.

ta description me fait penser à du split horizon où tu vas gérer localement la zone et répondre uniquement ce que tu veux. Après, je connais mal BIND (j'utilise unbound pour mon réseau perso) donc pas sur que je puisse être beaucoup plus utile.

Merci pour ta réponse. Alors non ce n'est pas réellement du split. Je cherche à palier un manque de config des machines sous windows qui enregistrent toutes leurs IP dans le DNS de l'AD. Je voudrais avoir un réseau IPv6 privé, sans me préoccuper de mon préfixe public susceptible de changer au bon vouloir de mon FAI.

Pour la description du réseau en détail (et ce qui me pose problème) :

J'ai un VPN site-to-site entre mon LAN et celui de mes parents, avec de chaque côté un contrôleur de domaine. Chaque LAN est en dualstack. Pour des raisons pratiques, je ne souhaiterais router entre les deux que les préfixes ULA et pas GUA, sauf que : Toutes les IP remontant dans l'AD, lors d'une résolution, les IPv6 GUA étant prioritaires, les machines tentent une connexion... par internet, qui n’aboutit évidemment pas. Ensuite il faut attendre que ça fallback en IPv4 ce qui prend plusieurs secondes et plombe les performances, déjà maigres (merci l'ADSL).

C'est pour ça que je cherche à supprimer les GUA des réponses, en mettant bind en proxy (comme je le fait maintenant avec le module filter-aaaa-on-v4/v6 qui supprime l'ensemble des record AAAA). Même si je suis conscient que dans ce cas, IPv4 sera utilisé en priorité, à moins de passer en v6 only ou de changer la précédence.

J'espère que c'est un peu plus clair  

Bon, par curiosité, j'ai cherché un peu et le seul truc proche de ce que tu cherches pourrait être les Response Policy Zone ( https://www.isc.org/docs/BIND_RPZ.pdf ) mais sans certitude, ça m'a l'air de supprimer complètement la réponse et pas qu'un morceau. à voir.
 
sinon, je me suis aussi demandé si on ne pouvait pas empêcher les GUA de s'enregistrer dans ton domaine mais ça n'a pas l'air d'être possible :
https://serverfault.com/questions/1 [...] -addresses
 
 

Merci pour les recherches.

Je connais les RPZ, je m'en sers déjà comme bloqueur de pub et de la télémétrie de windows et non ça ne convient pas malheureusement (les record sont dynamiques à cause du SLAAC, sinon c'est pas drôle et je ne me vois pas faire du DHCPv6 en plus).

Et oui j'ai bien cherché sur le serveur DNS de windows directement ou une clé dans le registre, mais ça n'a pas l'air possible non plus.

Les deux seuls solutions que je vois et qui sont loin d’être parfaites :

-Faire avec et router les GUA (et que par ex le 1er /64 de chaque LAN soit inutilisé afin qu'on puisse toujours y accéder par internet pour pouvoir monter le VPN)
-Supprimer à interval régulier les enregistrements GUA du DNS avec un script powershell (possible entrée par entrée, mais faut spécifer les adresses entières, j’espère que ça peut s’automatiser)