====== DNS ======

Pour éviter de se farcir les [[transmission:ip|adresses IPs]] à la main, on utilise un annuaire, le DNS (Domain Name System), qui traduit par exemple www.ffdn.org en 185.233.100.13 + 2a0c:e300::13.  Cela fonctionne donc exactement comme l'annuaire téléphonique: on cherche un nom, cela donne un numéro. On peut en plus regarder à l'envers: depuis le numéro, obtenir le nom correspondant (reverse DNS, rDNS).
===== Voir aussi... =====

[[transmission:mail|Mail]],
[[transmission:web]],
[[transmission:ip]],
[[transmission:neutralite|Neutralité du net]],
[[transmission:cdn]],

===== Articles grand public =====

  * [[http://blog.spyou.org/wordpress-mu/2010/05/10/internet-base-sur-un-enorme-annuaire-6/|Internet, basé sur un énorme annuaire]]

===== Vidéo grand public =====

  * Le laisser-passer A38 d'Internet (DNS) - système de nom de domaines - Monsieur Bidouille

[[https://www.youtube.com/watch?v=xhP_guPY1CM|Partie 1]]

[[https://www.youtube.com/watch?v=MH0cdiggpb8|Partie 2]]

  * [[https://www.youtube.com/watch?v=uxCeG-XpLdU|14 personnes contrôlent Internet - Goat In The Shell #0010]] (spoiler: non !)


===== Tutoriel =====

  * Éventuellement des liens ou vidéos vers des tutoriels

===== Vidéo Geek =====

  * //DNS & Mail// (2h30), le 15/10/2011 à Nancy, par B. Bayart : [[http://muscat.kafe-in.net/stuff/netcamp-dns-bayart-nancy-151011.ogv.torrent|Torrent]] / [[http://wiki.ldn-fai.net/wiki/Benjamin_Bayart_%C3%A0_l%27ESIAL_%28Mail/DNS%29|Miroirs]] / {{::netcamp-dns-bayart-nancy-151011.pdf|slides}}

===== Travaux de la fédé =====


Différents membres de la fédération fournissent des résolveurs ouverts, que l'on peut donc utiliser depuis n'importe où dans le monde, pourvu que le port 53 soit ouvert:


^FAI ^IPv4 ^IPv6 ^validation DNSSEC ^disponible en TLS |
|Alsace Réseau Neutre |89.234.141.66 |2a00:5881:8100:1000::3 |Oui |Non |
|Aquilenet |45.67.81.23 | 2a0c:e300::1337 | Oui | [DoH](https://fr.wikipedia.org/wiki/DNS_over_HTTPS) et [DoT](https://fr.wikipedia.org/wiki/DNS_over_TLS) voir http://dns.aquilenet.fr|
|Aquilenet |185.233.100.100 |2a0c:e300::100 |? |? |
|Aquilenet |185.233.100.101 |2a0c:e300::101 |? |? |
|FDN |80.67.169.12 |2001:910:800::12 |? |? |
|FDN |80.67.169.40 |2001:910:800::40 |? |? |




Une autre liste est disponible sur [[https://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver|https://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver]]


\\

===== Documentation =====

  * [[documentation:dns_federes|Documentations des fédérés]]
  * [[https://atelier.aquilenet.fr/projects/dns-ouvert/wiki|Aquilenet: Documentation du DNS récursif ouvert en DOH DOT]]
  * [[https://chiliproject.tetaneutral.net/projects/tetaneutral/wiki/DNS|documentation tetaneutral DNS]]
  * [[https://chiliproject.tetaneutral.net/projects/tetaneutral/wiki/Bind|documentation tetaneutral serveur DNS Bind]]
  * [[https://chiliproject.tetaneutral.net/projects/tetaneutral/wiki/DNSSEC|documentation tetaneutral DNSSEC]]
  * [[https://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver#setup_your_own_local_dns_resolver|documentation DIY ISP]]
  * [[http://www.bortzmeyer.org/rate-limiting-dns-open-resolver.html|blog Bortzmeyer]]
  * [[https://www.guiguishow.info/2014/08/23/comment-mettre-en-place-un-serveur-dns-recursif-cache-ouvert-dans-de-bonnes-conditions/|doc ARN]]

Pour faire votre propre résolveur ouvert:

  * Avec bind:
    * mettre dans ''named.conf.options'' les options ''recursion yes;'' et ''allow-query { any; };''

  * Attention à limiter les requêtes, car sinon vous risquez de participer à des DDoS basés sur DNS
    * Limiter à 20/seconde par /28 en v4, et à 1/s pour les requêtes ANY:

<code>
iptables -N dns_limit
iptables -A INPUT -d $VOTRE_IP -p tcp -m tcp --dport 53 -j dns_limit
iptables -A dns_limit -s $VOTRE_RESEAU -j ACCEPT
-A dns_limit -m hashlimit --hashlimit-above 20/sec --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name DNS --hashlimit-srcmask 28 -m comment --comment "RATE-LIMIT DNS 10/src burst 100" -j DROP
-A dns_limit -m string --algo bm --hex-string "|00 00 ff 00 01|" --from 28 -m hashlimit --hashlimit-above 1/sec --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name RL-DNS-ANY-v4 --hashlimit-srcmask 28 -m comment --comment "RATE-LIMIT DNS ANY QTYPE 1/s burst 2" -j DROP
iptables -A dns_limit -j ACCEPT
</code>

  * de même par /56 en v6:

<code>
ip6tables -N dns_limit
ip6tables -A INPUT -d $VOTRE_IP_6 -p tcp -m tcp --dport 53 -j dns_limit
ip6tables -A dns_limit -s $VOTRE_RESEAU_6 -j ACCEPT
-A dns_limit -m hashlimit --hashlimit-above 20/sec --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name DNS --hashlimit-srcmask 56 -m comment --comment "RATE-LIMIT DNS 10/s burst 100" -j DROP
-A dns_limit -m string --algo bm --hex-string "|00 00 ff 00 01|" --from 48 -m hashlimit --hashlimit-above 1/sec --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name RL-DNS-ANY-v6 --hashlimit-srcmask 56 -m comment --comment "RATE-LIMIT DNS ANY QTYPE 1/s burst 2" -j DROP
ip6tables -A dns_limit -j ACCEPT
</code>