DNS

Pour éviter de se farcir les adresses IPs à la main, on utilise un annuaire, le DNS (Domain Name System), qui traduit www.ffdn.org en 141.255.128.13 + 2a01:474::13.

Mail, web

• DNS & Mail (2h30), le 15/10/2011 à Nancy, par B. Bayart : Torrent / Miroirs / slides

Différents membres de la fédération fournissent des résolveurs ouverts, que l'on peut donc utiliser depuis n'importe où dans le monde, pourvu que le port 53 soit ouvert:

• Aquilenet:
  • 141.255.128.100
  • 141.255.128.101
• FDN:
  • 80.67.169.12
  • 80.67.169.40

Pour faire votre propre résolveur ouvert:

• Avec bind:
  • mettre dans named.conf.options les options recursion yes; et allow-query { any; };
  • limiter les requêtes à 20/seconde en v4:

<pre> iptables -N dnslimit iptables -A INPUT -d $VOTREIP -p tcp -m tcp –dport 53 -j dnslimit iptables -A dnslimit -s $VOTRERESEAU -j ACCEPT iptables -A dnslimit -m hashlimit –hashlimit-above 20/sec –hashlimit-burst 100 –hashlimit-mode srcip –hashlimit-name DNS –hashlimit-srcmask 28 -j DROP iptables -A dnslimit -p udp -m string –hex-string “|03697363036f726700|” –algo bm –to 65535 -j DROP iptables -A dnslimit -j ACCEPT </pre>

* de même en v6:

<pre> ip6tables -N dnslimit ip6tables -A INPUT -d $VOTREIP6 -p tcp -m tcp –dport 53 -j dnslimit ip6tables -A dnslimit -s $VOTRERESEAU6 -j ACCEPT ip6tables -A dnslimit -m hashlimit –hashlimit-above 20/sec –hashlimit-burst 100 –hashlimit-mode srcip –hashlimit-name DNS –hashlimit-srcmask 28 -j DROP ip6tables -A dnslimit -p udp -m string –hex-string “|03697363036f726700|” –algo bm –to 65535 -j DROP ip6tables -A dnslimit -j ACCEPT </pre>