transmission:dns

DNS

Pour éviter de se farcir les adresses IPs à la main, on utilise un annuaire, le DNS (Domain Name System), qui traduit www.ffdn.org en 141.255.128.13 + 2a01:474::13.

Différents membres de la fédération fournissent des résolveurs ouverts, que l'on peut donc utiliser depuis n'importe où dans le monde, pourvu que le port 53 soit ouvert:

FAI IPv4 IPv6 validation DNSSEC disponible en TLS
Alsace Réseau Neutre 89.234.141.66 2a00:5881:8100:1000::3 ? ?
Aquilenet 141.255.128.100 2a01:474::100 ? ?
Aquilenet 141.255.128.101 2a01:474::101 ? ?
FDN 80.67.169.12 2001:910:800::12 ? ?
FDN 80.67.169.40 2001:910:800::40 ? ?
Grifon 89.234.186.18 2a00:5884:8218::1 Oui Non
LDN 80.67.188.188 2001:913::8 ? ?

Une autre liste est disponible sur https://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver


Pour faire votre propre résolveur ouvert:

  • Avec bind:
    • mettre dans named.conf.options les options recursion yes; et allow-query { any; };
  • Attention à limiter les requêtes, car sinon vous risquez de participer à des DDoS basés sur DNS
    • Limiter à 20/seconde par /28 en v4:
iptables -N dns_limit
iptables -A INPUT -d $VOTRE_IP -p tcp -m tcp --dport 53 -j dns_limit
iptables -A dns_limit -s $VOTRE_RESEAU -j ACCEPT
iptables -A dns_limit -m hashlimit --hashlimit-above 20/sec --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name DNS --hashlimit-srcmask 28 -j DROP
iptables -A dns_limit -j ACCEPT
* de même par /56 en v6:
ip6tables -N dns_limit
ip6tables -A INPUT -d $VOTRE_IP_6 -p tcp -m tcp --dport 53 -j dns_limit
ip6tables -A dns_limit -s $VOTRE_RESEAU_6 -j ACCEPT
ip6tables -A dns_limit -m hashlimit --hashlimit-above 20/sec --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name DNS --hashlimit-srcmask 56 -j DROP
ip6tables -A dns_limit -j ACCEPT
  • transmission/dns.1474835703.txt.gz
  • Dernière modification: 2016/09/25 22:35
  • de alarig