transmission:dns

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
transmission:dns [2016/09/25 20:02]
sthibaul [Travaux de la fédé]
transmission:dns [2023/12/10 17:54] (Version actuelle)
lotusbleu
Ligne 1: Ligne 1:
 ====== DNS ====== ====== DNS ======
  
-Pour éviter de se farcir les adresses IPs à la main, on utilise un annuaire, le DNS (Domain Name System), qui traduit www.ffdn.org en 141.255.128.13 + 2a01:474::13. +Pour éviter de se farcir les [[transmission:ip|adresses IPs]] à la main, on utilise un annuaire, le DNS (Domain Name System), qui traduit par exemple www.ffdn.org en 185.233.100.13 + 2a0c:e300::13.  Cela fonctionne donc exactement comme l'annuaire téléphonique: on cherche un nom, cela donne un numéro. On peut en plus regarder à l'envers: depuis le numéro, obtenir le nom correspondant (reverse DNS, rDNS).
 ===== Voir aussi... ===== ===== Voir aussi... =====
  
-[[formations:mail|Mail]], [[formations:web]]+[[transmission:mail|Mail]], 
 +[[transmission:web]]
 +[[transmission:ip]], 
 +[[transmission:neutralite|Neutralité du net]], 
 +[[transmission:cdn]], 
 + 
 +===== Articles grand public ===== 
 + 
 +  * [[http://blog.spyou.org/wordpress-mu/2010/05/10/internet-base-sur-un-enorme-annuaire-6/|Internet, basé sur un énorme annuaire]] 
 + 
 +===== Vidéo grand public ===== 
 + 
 +  * Le laisser-passer A38 d'Internet (DNS) - système de nom de domaines - Monsieur Bidouille 
 + 
 +[[https://www.youtube.com/watch?v=xhP_guPY1CM|Partie 1]] 
 + 
 +[[https://www.youtube.com/watch?v=MH0cdiggpb8|Partie 2]] 
 + 
 +  * [[https://www.youtube.com/watch?v=uxCeG-XpLdU|14 personnes contrôlent Internet - Goat In The Shell #0010]] (spoiler: non !) 
 + 
 + 
 +===== Tutoriel ===== 
 + 
 +  * Éventuellement des liens ou vidéos vers des tutoriels 
 ===== Vidéo Geek ===== ===== Vidéo Geek =====
  
Ligne 11: Ligne 34:
  
 ===== Travaux de la fédé ===== ===== Travaux de la fédé =====
 +
  
 Différents membres de la fédération fournissent des résolveurs ouverts, que l'on peut donc utiliser depuis n'importe où dans le monde, pourvu que le port 53 soit ouvert: Différents membres de la fédération fournissent des résolveurs ouverts, que l'on peut donc utiliser depuis n'importe où dans le monde, pourvu que le port 53 soit ouvert:
-  * Aquilenet: + 
-    * 141.255.128.100 + 
-    * 141.255.128.101 +^FAI ^IPv4 ^IPv6 ^validation DNSSEC ^disponible en TLS | 
-  * FDN+|Alsace Réseau Neutre |89.234.141.66 |2a00:5881:8100:1000::3 |Oui |Non | 
-    80.67.169.12 +|Aquilenet |45.67.81.23 | 2a0c:e300::1337 | Oui | [DoH](https://fr.wikipedia.org/wiki/DNS_over_HTTPS) et [DoT](https://fr.wikipedia.org/wiki/DNS_over_TLS) voir http://dns.aquilenet.fr| 
-    80.67.169.40+|Aquilenet |185.233.100.100 |2a0c:e300::100 |? |? | 
 +|Aquilenet |185.233.100.101 |2a0c:e300::101 |? |? | 
 +|FDN |80.67.169.12 |2001:910:800::12 |? |? | 
 +|FDN |80.67.169.40 |2001:910:800::40 |? |? | 
 + 
 + 
 + 
 + 
 +Une autre liste est disponible sur [[https://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver|https://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver]] 
 + 
 + 
 +\\ 
 + 
 +===== Documentation ===== 
 + 
 +  * [[documentation:dns_federes|Documentations des fédérés]] 
 +  * [[https://atelier.aquilenet.fr/projects/dns-ouvert/wiki|Aquilenet: Documentation du DNS récursif ouvert en DOH DOT]] 
 +  * [[https://chiliproject.tetaneutral.net/projects/tetaneutral/wiki/DNS|documentation tetaneutral DNS]] 
 +  * [[https://chiliproject.tetaneutral.net/projects/tetaneutral/wiki/Bind|documentation tetaneutral serveur DNS Bind]] 
 +  * [[https://chiliproject.tetaneutral.net/projects/tetaneutral/wiki/DNSSEC|documentation tetaneutral DNSSEC]] 
 +  * [[https://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver#setup_your_own_local_dns_resolver|documentation DIY ISP]] 
 +  * [[http://www.bortzmeyer.org/rate-limiting-dns-open-resolver.html|blog Bortzmeyer]] 
 +  * [[https://www.guiguishow.info/2014/08/23/comment-mettre-en-place-un-serveur-dns-recursif-cache-ouvert-dans-de-bonnes-conditions/|doc ARN]]
  
 Pour faire votre propre résolveur ouvert: Pour faire votre propre résolveur ouvert:
Ligne 24: Ligne 70:
   * Avec bind:   * Avec bind:
     * mettre dans ''named.conf.options'' les options ''recursion yes;'' et ''allow-query { any; };''     * mettre dans ''named.conf.options'' les options ''recursion yes;'' et ''allow-query { any; };''
-    * limiter les requêtes à 20/seconde en v4: 
  
-<pre>+  * Attention à limiter les requêtes, car sinon vous risquez de participer à des DDoS basés sur DNS 
 +    * Limiter à 20/seconde par /28 en v4, et à 1/s pour les requêtes ANY: 
 + 
 +<code>
 iptables -N dns_limit iptables -N dns_limit
 iptables -A INPUT -d $VOTRE_IP -p tcp -m tcp --dport 53 -j dns_limit iptables -A INPUT -d $VOTRE_IP -p tcp -m tcp --dport 53 -j dns_limit
 iptables -A dns_limit -s $VOTRE_RESEAU -j ACCEPT iptables -A dns_limit -s $VOTRE_RESEAU -j ACCEPT
-iptables -A dns_limit -m hashlimit --hashlimit-above 20/sec --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name DNS --hashlimit-srcmask 28 -j DROP +-A dns_limit -m hashlimit --hashlimit-above 20/sec --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name DNS --hashlimit-srcmask 28 -m comment --comment "RATE-LIMIT DNS 10/src burst 100" -j DROP 
-iptables -A dns_limit -p udp -m string --hex-string "|03697363036f726700|" --algo bm --to 65535 -j DROP+-A dns_limit -m string --algo bm --hex-string "|00 00 ff 00 01|" --from 28 -m hashlimit --hashlimit-above 1/sec --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name RL-DNS-ANY-v4 --hashlimit-srcmask 28 -m comment --comment "RATE-LIMIT DNS ANY QTYPE 1/s burst 2" -j DROP
 iptables -A dns_limit -j ACCEPT iptables -A dns_limit -j ACCEPT
-</pre>+</code>
  
-    * de même en v6:+  * de même par /56 en v6:
  
-<pre>+<code>
 ip6tables -N dns_limit ip6tables -N dns_limit
 ip6tables -A INPUT -d $VOTRE_IP_6 -p tcp -m tcp --dport 53 -j dns_limit ip6tables -A INPUT -d $VOTRE_IP_6 -p tcp -m tcp --dport 53 -j dns_limit
 ip6tables -A dns_limit -s $VOTRE_RESEAU_6 -j ACCEPT ip6tables -A dns_limit -s $VOTRE_RESEAU_6 -j ACCEPT
-ip6tables -A dns_limit -m hashlimit --hashlimit-above 20/sec --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name DNS --hashlimit-srcmask 28 -j DROP +-A dns_limit -m hashlimit --hashlimit-above 20/sec --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name DNS --hashlimit-srcmask 56 -m comment --comment "RATE-LIMIT DNS 10/s burst 100" -j DROP 
-ip6tables -A dns_limit -p udp -m string --hex-string "|03697363036f726700|" --algo bm --to 65535 -j DROP+-A dns_limit -m string --algo bm --hex-string "|00 00 ff 00 01|" --from 48 -m hashlimit --hashlimit-above 1/sec --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name RL-DNS-ANY-v6 --hashlimit-srcmask 56 -m comment --comment "RATE-LIMIT DNS ANY QTYPE 1/s burst 2" -j DROP
 ip6tables -A dns_limit -j ACCEPT ip6tables -A dns_limit -j ACCEPT
-</pre>+</code>
  • transmission/dns.1474826539.txt.gz
  • Dernière modification: 2016/09/25 20:02
  • de sthibaul