transmission:dns

DNS

Pour éviter de se farcir les adresses IPs à la main, on utilise un annuaire, le DNS (Domain Name System), qui traduit www.ffdn.org en 141.255.128.13 + 2a01:474::13.

Différents membres de la fédération fournissent des résolveurs ouverts, que l'on peut donc utiliser depuis n'importe où dans le monde, pourvu que le port 53 soit ouvert:

* Alsace Réseau Neutre :
  * 89.234.141.66
  * 2a00:5881:8100:1000::3
* Aquilenet :
  * 141.255.128.100
  * 141.255.128.101
  * 2a01:474::100
  * 2a01:474::101
* FDN :
  * 80.67.169.12
  * 80.67.169.40
  * 2001:910:800::12
  * 2001:910:800::40
* LDN:
  * 80.67.188.188
  * 2001:913::8

Une autre liste est disponible sur https://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver

Pour faire votre propre résolveur ouvert:

  • Avec bind:
    • mettre dans named.conf.options les options recursion yes; et allow-query { any; };
  • Attention à limiter les requêtes, car sinon vous risquez de participer à des DDoS basés sur DNS
    • Limiter à 20/seconde par /28 en v4:
iptables -N dns_limit
iptables -A INPUT -d $VOTRE_IP -p tcp -m tcp --dport 53 -j dns_limit
iptables -A dns_limit -s $VOTRE_RESEAU -j ACCEPT
iptables -A dns_limit -m hashlimit --hashlimit-above 20/sec --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name DNS --hashlimit-srcmask 28 -j DROP
iptables -A dns_limit -j ACCEPT
* de même par /56 en v6:
ip6tables -N dns_limit
ip6tables -A INPUT -d $VOTRE_IP_6 -p tcp -m tcp --dport 53 -j dns_limit
ip6tables -A dns_limit -s $VOTRE_RESEAU_6 -j ACCEPT
ip6tables -A dns_limit -m hashlimit --hashlimit-above 20/sec --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name DNS --hashlimit-srcmask 56 -j DROP
ip6tables -A dns_limit -j ACCEPT
  • transmission/dns.1474829972.txt.gz
  • Dernière modification: 2016/09/25 20:59
  • de sthibaul