Différences

Ci-dessous, les différences entre deux révisions de la page.

--- transmission:dns [2016/09/25 20:04]
sthibaul [Travaux de la fédé]
+++ transmission:dns [2023/12/10 17:54] (Version actuelle)
lotusbleu
@@ Ligne 1: / Ligne 1: @@
 ====== DNS ======
-Pour éviter de se farcir les adresses IPs à la main, on utilise un annuaire, le DNS (Domain Name System), qui traduit www.ffdn.org en 141.255.128.13 + 2a01:474::13.
+Pour éviter de se farcir les [[transmission:ip|adresses IPs]] à la main, on utilise un annuaire, le DNS (Domain Name System), qui traduit par exemple www.ffdn.org en 185.233.100.13 + 2a0c:e300::13.  Cela fonctionne donc exactement comme l'annuaire téléphonique: on cherche un nom, cela donne un numéro. On peut en plus regarder à l'envers: depuis le numéro, obtenir le nom correspondant (reverse DNS, rDNS).
 ===== Voir aussi... =====
-[[formations:mail|Mail]], [[formations:web]]
+[[transmission:mail|Mail]],
+[[transmission:web]],
+[[transmission:ip]],
+[[transmission:neutralite|Neutralité du net]],
+[[transmission:cdn]],
+===== Articles grand public =====
+  * [[http://blog.spyou.org/wordpress-mu/2010/05/10/internet-base-sur-un-enorme-annuaire-6/|Internet, basé sur un énorme annuaire]]
+===== Vidéo grand public =====
+  * Le laisser-passer A38 d'Internet (DNS) - système de nom de domaines - Monsieur Bidouille
+[[https://www.youtube.com/watch?v=xhP_guPY1CM|Partie 1]]
+[[https://www.youtube.com/watch?v=MH0cdiggpb8|Partie 2]]
+  * [[https://www.youtube.com/watch?v=uxCeG-XpLdU|14 personnes contrôlent Internet - Goat In The Shell #0010]] (spoiler: non !)
+===== Tutoriel =====
+  * Éventuellement des liens ou vidéos vers des tutoriels
 ===== Vidéo Geek =====
@@ Ligne 11: / Ligne 34: @@
 ===== Travaux de la fédé =====
 Différents membres de la fédération fournissent des résolveurs ouverts, que l'on peut donc utiliser depuis n'importe où dans le monde, pourvu que le port 53 soit ouvert:
-  * Aquilenet:
-    * 141.255.128.100
-    * 141.255.128.101
+^FAI ^IPv4 ^IPv6 ^validation DNSSEC ^disponible en TLS |
-  * FDN:
+|Alsace Réseau Neutre |89.234.141.66 |2a00:5881:8100:1000::3 |Oui |Non |
-    * 80.67.169.12
+|Aquilenet |45.67.81.23 | 2a0c:e300::1337 | Oui | [DoH](https://fr.wikipedia.org/wiki/DNS_over_HTTPS) et [DoT](https://fr.wikipedia.org/wiki/DNS_over_TLS) voir http://dns.aquilenet.fr|
-    * 80.67.169.40
+|Aquilenet |185.233.100.100 |2a0c:e300::100 |? |? |
+|Aquilenet |185.233.100.101 |2a0c:e300::101 |? |? |
+|FDN |80.67.169.12 |2001:910:800::12 |? |? |
+|FDN |80.67.169.40 |2001:910:800::40 |? |? |
+Une autre liste est disponible sur [[https://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver|https://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver]]
+\\
+===== Documentation =====
+  * [[documentation:dns_federes|Documentations des fédérés]]
+  * [[https://atelier.aquilenet.fr/projects/dns-ouvert/wiki|Aquilenet: Documentation du DNS récursif ouvert en DOH DOT]]
+  * [[https://chiliproject.tetaneutral.net/projects/tetaneutral/wiki/DNS|documentation tetaneutral DNS]]
+  * [[https://chiliproject.tetaneutral.net/projects/tetaneutral/wiki/Bind|documentation tetaneutral serveur DNS Bind]]
+  * [[https://chiliproject.tetaneutral.net/projects/tetaneutral/wiki/DNSSEC|documentation tetaneutral DNSSEC]]
+  * [[https://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver#setup_your_own_local_dns_resolver|documentation DIY ISP]]
+  * [[http://www.bortzmeyer.org/rate-limiting-dns-open-resolver.html|blog Bortzmeyer]]
+  * [[https://www.guiguishow.info/2014/08/23/comment-mettre-en-place-un-serveur-dns-recursif-cache-ouvert-dans-de-bonnes-conditions/|doc ARN]]
 Pour faire votre propre résolveur ouvert:
@@ Ligne 24: / Ligne 70: @@
   * Avec bind:
     * mettre dans ''named.conf.options'' les options ''recursion yes;'' et ''allow-query { any; };''
-    * limiter les requêtes à 20/seconde par /28 en v4:
+  * Attention à limiter les requêtes, car sinon vous risquez de participer à des DDoS basés sur DNS
+    * Limiter à 20/seconde par /28 en v4, et à 1/s pour les requêtes ANY:
 <code>
@@ Ligne 30: / Ligne 78: @@
 iptables -A INPUT -d $VOTRE_IP -p tcp -m tcp --dport 53 -j dns_limit
 iptables -A dns_limit -s $VOTRE_RESEAU -j ACCEPT
-iptables -A dns_limit -m hashlimit --hashlimit-above 20/sec --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name DNS --hashlimit-srcmask 28 -j DROP
+-A dns_limit -m hashlimit --hashlimit-above 20/sec --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name DNS --hashlimit-srcmask 28 -m comment --comment "RATE-LIMIT DNS 10/src burst 100" -j DROP
-iptables -A dns_limit -p udp -m string --hex-string "|03697363036f726700|" --algo bm --to 65535 -j DROP
+-A dns_limit -m string --algo bm --hex-string "|00 00 ff 00 01|" --from 28 -m hashlimit --hashlimit-above 1/sec --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name RL-DNS-ANY-v4 --hashlimit-srcmask 28 -m comment --comment "RATE-LIMIT DNS ANY QTYPE 1/s burst 2" -j DROP
 iptables -A dns_limit -j ACCEPT
 </code>
-    * de même par /56 en v6:
+  * de même par /56 en v6:
 <code>
@@ Ligne 41: / Ligne 89: @@
 ip6tables -A INPUT -d $VOTRE_IP_6 -p tcp -m tcp --dport 53 -j dns_limit
 ip6tables -A dns_limit -s $VOTRE_RESEAU_6 -j ACCEPT
-ip6tables -A dns_limit -m hashlimit --hashlimit-above 20/sec --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name DNS --hashlimit-srcmask 56 -j DROP
+-A dns_limit -m hashlimit --hashlimit-above 20/sec --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name DNS --hashlimit-srcmask 56 -m comment --comment "RATE-LIMIT DNS 10/s burst 100" -j DROP
-ip6tables -A dns_limit -p udp -m string --hex-string "|03697363036f726700|" --algo bm --to 65535 -j DROP
+-A dns_limit -m string --algo bm --hex-string "|00 00 ff 00 01|" --from 48 -m hashlimit --hashlimit-above 1/sec --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name RL-DNS-ANY-v6 --hashlimit-srcmask 56 -m comment --comment "RATE-LIMIT DNS ANY QTYPE 1/s burst 2" -j DROP
 ip6tables -A dns_limit -j ACCEPT
 </code>