transmission:dns

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
transmission:dns [2016/09/25 21:00]
sthibaul [Documentation]
transmission:dns [2023/12/10 17:54] (Version actuelle)
lotusbleu
Ligne 1: Ligne 1:
 ====== DNS ====== ====== DNS ======
  
-Pour éviter de se farcir les adresses IPs à la main, on utilise un annuaire, le DNS (Domain Name System), qui traduit www.ffdn.org en 141.255.128.13 + 2a01:474::13. +Pour éviter de se farcir les [[transmission:ip|adresses IPs]] à la main, on utilise un annuaire, le DNS (Domain Name System), qui traduit par exemple www.ffdn.org en 185.233.100.13 + 2a0c:e300::13.  Cela fonctionne donc exactement comme l'annuaire téléphonique: on cherche un nom, cela donne un numéro. On peut en plus regarder à l'envers: depuis le numéro, obtenir le nom correspondant (reverse DNS, rDNS).
 ===== Voir aussi... ===== ===== Voir aussi... =====
  
-[[formations:mail|Mail]], [[formations:web]]+[[transmission:mail|Mail]], 
 +[[transmission:web]]
 +[[transmission:ip]], 
 +[[transmission:neutralite|Neutralité du net]], 
 +[[transmission:cdn]], 
 + 
 +===== Articles grand public ===== 
 + 
 +  * [[http://blog.spyou.org/wordpress-mu/2010/05/10/internet-base-sur-un-enorme-annuaire-6/|Internet, basé sur un énorme annuaire]] 
 + 
 +===== Vidéo grand public ===== 
 + 
 +  * Le laisser-passer A38 d'Internet (DNS) - système de nom de domaines - Monsieur Bidouille 
 + 
 +[[https://www.youtube.com/watch?v=xhP_guPY1CM|Partie 1]] 
 + 
 +[[https://www.youtube.com/watch?v=MH0cdiggpb8|Partie 2]] 
 + 
 +  * [[https://www.youtube.com/watch?v=uxCeG-XpLdU|14 personnes contrôlent Internet - Goat In The Shell #0010]] (spoiler: non !) 
 + 
 + 
 +===== Tutoriel ===== 
 + 
 +  * Éventuellement des liens ou vidéos vers des tutoriels 
 ===== Vidéo Geek ===== ===== Vidéo Geek =====
  
Ligne 16: Ligne 39:
  
  
-    * Alsace Réseau Neutre +^FAI ^IPv4 ^IPv6 ^validation DNSSEC ^disponible en TLS | 
-      * 89.234.141.66 +|Alsace Réseau Neutre |89.234.141.66 |2a00:5881:8100:1000::|Oui |Non | 
-      * 2a00:5881:8100:1000::+|Aquilenet |45.67.81.23 | 2a0c:e300::1337 | Oui | [DoH](https://fr.wikipedia.org/wiki/DNS_over_HTTPS) et [DoT](https://fr.wikipedia.org/wiki/DNS_over_TLS) voir http://dns.aquilenet.fr| 
-    Aquilenet : +|Aquilenet |185.233.100.100 |2a0c:e300::100 |? |? | 
-      * 141.255.128.100 +|Aquilenet |185.233.100.101 |2a0c:e300::101 |? |? | 
-      * 141.255.128.101 +|FDN |80.67.169.12 |2001:910:800::12 |? |? | 
-      * 2a01:474::100 +|FDN |80.67.169.40 |2001:910:800::40 |? |? | 
-      * 2a01:474::101 + 
-    FDN + 
-      * 80.67.169.12 + 
-      * 80.67.169.40 + 
-      * 2001:910:800::12 +Une autre liste est disponible sur [[https://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver|https://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver]] 
-      2001:910:800::40 +
-    * LDN: +
-      * 80.67.188.188 +
-      * 2001:913::8+
  
-Une autre liste est disponible sur https://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver+\\
  
 ===== Documentation ===== ===== Documentation =====
  
 +  * [[documentation:dns_federes|Documentations des fédérés]]
 +  * [[https://atelier.aquilenet.fr/projects/dns-ouvert/wiki|Aquilenet: Documentation du DNS récursif ouvert en DOH DOT]]
   * [[https://chiliproject.tetaneutral.net/projects/tetaneutral/wiki/DNS|documentation tetaneutral DNS]]   * [[https://chiliproject.tetaneutral.net/projects/tetaneutral/wiki/DNS|documentation tetaneutral DNS]]
   * [[https://chiliproject.tetaneutral.net/projects/tetaneutral/wiki/Bind|documentation tetaneutral serveur DNS Bind]]   * [[https://chiliproject.tetaneutral.net/projects/tetaneutral/wiki/Bind|documentation tetaneutral serveur DNS Bind]]
   * [[https://chiliproject.tetaneutral.net/projects/tetaneutral/wiki/DNSSEC|documentation tetaneutral DNSSEC]]   * [[https://chiliproject.tetaneutral.net/projects/tetaneutral/wiki/DNSSEC|documentation tetaneutral DNSSEC]]
-  * [[https://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver|documentation DIY ISP]]+  * [[https://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver#setup_your_own_local_dns_resolver|documentation DIY ISP]] 
 +  * [[http://www.bortzmeyer.org/rate-limiting-dns-open-resolver.html|blog Bortzmeyer]] 
 +  * [[https://www.guiguishow.info/2014/08/23/comment-mettre-en-place-un-serveur-dns-recursif-cache-ouvert-dans-de-bonnes-conditions/|doc ARN]]
  
 Pour faire votre propre résolveur ouvert: Pour faire votre propre résolveur ouvert:
Ligne 48: Ligne 72:
  
   * Attention à limiter les requêtes, car sinon vous risquez de participer à des DDoS basés sur DNS   * Attention à limiter les requêtes, car sinon vous risquez de participer à des DDoS basés sur DNS
-    * Limiter à 20/seconde par /28 en v4:+    * Limiter à 20/seconde par /28 en v4, et à 1/s pour les requêtes ANY:
  
 <code> <code>
Ligne 54: Ligne 78:
 iptables -A INPUT -d $VOTRE_IP -p tcp -m tcp --dport 53 -j dns_limit iptables -A INPUT -d $VOTRE_IP -p tcp -m tcp --dport 53 -j dns_limit
 iptables -A dns_limit -s $VOTRE_RESEAU -j ACCEPT iptables -A dns_limit -s $VOTRE_RESEAU -j ACCEPT
-iptables -A dns_limit -m hashlimit --hashlimit-above 20/sec --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name DNS --hashlimit-srcmask 28 -j DROP+-A dns_limit -m hashlimit --hashlimit-above 20/sec --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name DNS --hashlimit-srcmask 28 -m comment --comment "RATE-LIMIT DNS 10/src burst 100" -j DROP 
 +-A dns_limit -m string --algo bm --hex-string "|00 00 ff 00 01|" --from 28 -m hashlimit --hashlimit-above 1/sec --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name RL-DNS-ANY-v4 --hashlimit-srcmask 28 -m comment --comment "RATE-LIMIT DNS ANY QTYPE 1/s burst 2" -j DROP
 iptables -A dns_limit -j ACCEPT iptables -A dns_limit -j ACCEPT
 </code> </code>
  
-    * de même par /56 en v6:+  * de même par /56 en v6:
  
 <code> <code>
Ligne 64: Ligne 89:
 ip6tables -A INPUT -d $VOTRE_IP_6 -p tcp -m tcp --dport 53 -j dns_limit ip6tables -A INPUT -d $VOTRE_IP_6 -p tcp -m tcp --dport 53 -j dns_limit
 ip6tables -A dns_limit -s $VOTRE_RESEAU_6 -j ACCEPT ip6tables -A dns_limit -s $VOTRE_RESEAU_6 -j ACCEPT
-ip6tables -A dns_limit -m hashlimit --hashlimit-above 20/sec --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name DNS --hashlimit-srcmask 56 -j DROP+-A dns_limit -m hashlimit --hashlimit-above 20/sec --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name DNS --hashlimit-srcmask 56 -m comment --comment "RATE-LIMIT DNS 10/s burst 100" -j DROP 
 +-A dns_limit -m string --algo bm --hex-string "|00 00 ff 00 01|" --from 48 -m hashlimit --hashlimit-above 1/sec --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name RL-DNS-ANY-v6 --hashlimit-srcmask 56 -m comment --comment "RATE-LIMIT DNS ANY QTYPE 1/s burst 2" -j DROP
 ip6tables -A dns_limit -j ACCEPT ip6tables -A dns_limit -j ACCEPT
 </code> </code>
  • transmission/dns.1474830021.txt.gz
  • Dernière modification: 2016/09/25 21:00
  • de sthibaul