Posté par gUI (Mastodon) .
Évalué à 3.
Dernière modification le 29 juin 2024 à 18:46.
Si qqu'un maîtrise le truc…
J'ai pfSense chez moi, et dans System/General Setup j'ai aucun paramètre de DNS. Il me semble donc qu'il attaque donc les DNS root directement. Qqu'un peut confirmer ?
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
pfSense n'a pas grand chose à voir la dedans à ma connaissance.
Tu à forcément un DNS configuré. Ce qui est possible c'est que tu sois en DHCP et donc que la configuration soit prise sur le réseau : c'est alors le DNS de ta box qui fonctionne.
Tu ne peux pas être directement sur un DNS root. En gros le DNS root te dis juste ".org" c'est par là. Mais qu'en est il de "linuxfr.org" ? En gros, ils n'ont pas les informations.
Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.
Pour moi un DNS root dis "Pour .com il tu peux te renseigner ici, ici ou la". Ensuite il faut donc interroger un de ces sous DNS pour avoir "google.com". OpenDNS et consort servent de cache et ont une accréditation au niveau des DNS root que tu n'a pas.
Je me trompe sans doute quelques part, mais je ne pense pas pour autant que tu puisse simplement interroger les DNS Root facilement. sinon, ils satureraient. Enfin, je veux dire, c'est tout l'intérêt des sous-DNS. C'est pas seulement d'avoir des DNS menteur pour blacklister.
Posté par cg .
Évalué à 4.
Dernière modification le 02 juillet 2024 à 13:34.
Les intérêts d'utiliser les résolveurs de son FAI sont :
la vitesse : les noms souvent demandés sont en cache, ça répond beaucoup plus vite
la répartition de charge : comme tu le dis si bien, ça évite la saturation
la conformité à la loi : (spécieux) utiliser des serveurs sur le territoire permet de se conformer à la loi en respectant le blocage administratif de certains domaines.
Pour les deux premiers cas, avoir un résolveur local qui fait cache permet de limiter pas mal le problème.
Mais les serveurs racine sont bels et bien publics.
Voici par exemple comment faire pour linuxfr.org depuis chez moi (Free grand public) :
D'abord, comment interroger .org ? On demande à un serveur racine.
~ $ dig -t ns org. @2001:7fd::1
; <<>> DiG 9.18.27 <<>> -t ns org. @2001:7fd::1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40870
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 6, ADDITIONAL: 13
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;org. IN NS
;; AUTHORITY SECTION:
org. 172800 IN NS a0.org.afilias-nst.info.
org. 172800 IN NS a2.org.afilias-nst.info.
org. 172800 IN NS b0.org.afilias-nst.org.
org. 172800 IN NS b2.org.afilias-nst.org.
org. 172800 IN NS c0.org.afilias-nst.info.
org. 172800 IN NS d0.org.afilias-nst.org.
;; ADDITIONAL SECTION:
a0.org.afilias-nst.info. 172800 IN AAAA 2001:500:e::1
a2.org.afilias-nst.info. 172800 IN AAAA 2001:500:40::1
b0.org.afilias-nst.org. 172800 IN AAAA 2001:500:c::1
b2.org.afilias-nst.org. 172800 IN AAAA 2001:500:48::1
c0.org.afilias-nst.info. 172800 IN AAAA 2001:500:b::1
d0.org.afilias-nst.org. 172800 IN AAAA 2001:500:f::1
a0.org.afilias-nst.info. 172800 IN A 199.19.56.1
a2.org.afilias-nst.info. 172800 IN A 199.249.112.1
b0.org.afilias-nst.org. 172800 IN A 199.19.54.1
b2.org.afilias-nst.org. 172800 IN A 199.249.120.1
c0.org.afilias-nst.info. 172800 IN A 199.19.53.1
d0.org.afilias-nst.org. 172800 IN A 199.19.57.1
;; Query time: 6 msec
;; SERVER: 2001:7fd::1#53(2001:7fd::1) (UDP)
;; WHEN: Tue Jul 02 13:28:56 CEST 2024
;; MSG SIZE rcvd: 434
Posté par gUI (Mastodon) .
Évalué à 6.
Dernière modification le 02 juillet 2024 à 14:43.
la conformité à la loi : (spécieux) utiliser des serveurs sur le territoire permet de se conformer à la loi en respectant le blocage administratif de certains domaines.
Ouais alors attention à ce point. Il me semble bien que la loi n'interdit pas d'accéder à ces sites. La loi demande à des opérateurs précis de les blacklister. C'est vraiment différent (et ça pourrait peut-être changer).
FDN par exemple respecte parfaitement la loi en continuant de proposer l'accès à ces sites blacklistés.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
Si j'ai bien compris : OpenDNS (service fourni par Cisco) est sollicité pour faire du filtrage pour des questions de droit. OpenDNS ne veut pas s'embêter à mettre ce filtrage en place et préfère donc ne plus être utilisable du tout en France.
Cette lecture a été l'occasion de (re) découvrir l'existence du code HTTP 451 : « Unavailable For Legal Reasons ».
Cette lecture a été l'occasion de (re) découvrir l'existence du code HTTP 451 : « Unavailable For Legal Reasons ».
A noter qu'il devient alors un DNS menteur : pour tous les sites non interdit par la justice, il ment en disant que c'est pour des raisons légales alors qu'en réalité c'est qu'ils ne veulent pas faire la différence entre légal (ça devrait être un autre code retour que 451 si on ne veut pas mentir car rien de légal leur impose de bloquer) et pas légal (code retour 451 correct car c'est bien la loi qui impose de rejeter la demande).
Donc techniquement parlant ça devient un DNS menteur :).
La plupart d'entre vous doit déjà savoir tout ça, les autres ne pourront plus l'ignorer ;)
Pareil, vous ne pouvez plus dire de bonne foi que openDNS est un DNS non menteur :-D.
Posté par gUI (Mastodon) .
Évalué à 4.
Dernière modification le 02 juillet 2024 à 09:20.
Le code 451 fait référence au roman Fahrenheit 451.
Ah bin ça va me faire ma lecture de l'été ça. Après 1984, je vais attaquer un autre roman dont on fait régulièrement référence mais que j'avais jamais lu.
T'as également Le meilleur des mondes, de Huxley, si tu ne l'as pas déjà lu, c'est un grand classique de la dystopie qui fait référence. Au programme : formation par manipulation génétique de castes humaines.
Évidemment, 1984 est plus percutant et s'inscrit mieux dans l'époque actuelle, Orwell était bien sensibilisé au problème, et avait compris durant sa participation à la révolution espagnole que les deux formes de capitalisme allaient fusionner dans le futur. Il s'est juste trompé sur celle qui allait prévaloir, et pensait que c'était le capitalisme d'État (sous sa forme stalinienne) qui allait intégrer (absorber) le capitalisme libéral, alors que c'est le contraire qui s'est passé.
Posté par gUI (Mastodon) .
Évalué à 3.
Dernière modification le 03 juillet 2024 à 10:42.
T'as également Le meilleur des mondes
Noté, merci !
Il s'est juste trompé sur celle qui allait prévaloir
Oui, mais je me demande si ça peut pas rebasculer dans ce sens. Une fois l'appareil d'État repris par la 2e forme, il peut sans soucis infuser vers la 1ere (afin de s'y asseoir définitivement)
Réponse dans quelques mois/années… :(
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
Une raison de plus pour militer
- D'un côté contre les DNS menteurs : contre la censure.
- Contre les systèmes fermés (closed-source ou a minima sans documentation complète et ouverte).
PS: Tu n'as pas à t'excuser de citer X.
Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.
En plus de la doc, il serait éventuellement utile de disposer d'un moyen de lever d'éventuels verrous logiciels : savoir comment ça fonctionne, sachant qu'une bonne vieille clef maîtresse non divulguée RSA de 8192 bits verrouille le tout, ça peut limiter l'intérêt des informations.
# pfSense
Posté par gUI (Mastodon) . Évalué à 3. Dernière modification le 29 juin 2024 à 18:46.
Si qqu'un maîtrise le truc…
J'ai pfSense chez moi, et dans
System/General Setupj'ai aucun paramètre de DNS. Il me semble donc qu'il attaque donc les DNS root directement. Qqu'un peut confirmer ?En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: pfSense
Posté par abriotde (site web personnel, Mastodon) . Évalué à 3. Dernière modification le 30 juin 2024 à 06:50.
pfSense n'a pas grand chose à voir la dedans à ma connaissance.
Tu à forcément un DNS configuré. Ce qui est possible c'est que tu sois en DHCP et donc que la configuration soit prise sur le réseau : c'est alors le DNS de ta box qui fonctionne.
Tu ne peux pas être directement sur un DNS root. En gros le DNS root te dis juste ".org" c'est par là. Mais qu'en est il de "linuxfr.org" ? En gros, ils n'ont pas les informations.
Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.
[^] # Re: pfSense
Posté par gUI (Mastodon) . Évalué à 3. Dernière modification le 30 juin 2024 à 09:57.
Non je ne le suis pas. Il est en IP fixe dans la DMZ de ma box. Et il n'y a aucun DNS paramétré nulle part.
Il me semble bien que si justement. C'est ni interdit ni même déconseillé.
EDIT : je confirme que c'est bien le cas : https://docs.netgate.com/pfsense/en/latest/services/dns/resolver-modes.html
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: pfSense
Posté par Psychofox (Mastodon) . Évalué à 6. Dernière modification le 30 juin 2024 à 10:19.
Et comment crois-tu que font ton FAI, opendns, google, cloudflare, FDN, ou toute autre entité/personne hébergeant un serveur DNS?
[^] # Re: pfSense
Posté par abriotde (site web personnel, Mastodon) . Évalué à 0.
Pour moi un DNS root dis "Pour .com il tu peux te renseigner ici, ici ou la". Ensuite il faut donc interroger un de ces sous DNS pour avoir "google.com". OpenDNS et consort servent de cache et ont une accréditation au niveau des DNS root que tu n'a pas.
Je me trompe sans doute quelques part, mais je ne pense pas pour autant que tu puisse simplement interroger les DNS Root facilement. sinon, ils satureraient. Enfin, je veux dire, c'est tout l'intérêt des sous-DNS. C'est pas seulement d'avoir des DNS menteur pour blacklister.
https://fr.wikipedia.org/wiki/Serveur_racine_du_DNS
Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.
[^] # Re: pfSense
Posté par Pol' uX (site web personnel) . Évalué à 3.
Pas spécialement quelque part.
Adhérer à l'April, ça vous tente ?
[^] # Re: pfSense
Posté par Benoît Sibaud (site web personnel) . Évalué à 6.
Un peu de doc :
https://www.bortzmeyer.org/resolveur-dns.html
https://www.bortzmeyer.org/choix-resolveur-dns.html
[^] # Re: pfSense
Posté par cg . Évalué à 4. Dernière modification le 02 juillet 2024 à 13:34.
Les intérêts d'utiliser les résolveurs de son FAI sont :
Pour les deux premiers cas, avoir un résolveur local qui fait cache permet de limiter pas mal le problème.
Mais les serveurs racine sont bels et bien publics.
Voici par exemple comment faire pour linuxfr.org depuis chez moi (Free grand public) :
D'abord, comment interroger .org ? On demande à un serveur racine.
Ensuite, comment interroger linuxfr.org ?
Enfin, on peut demander l'IPv4 du site au bon serveur :
[^] # Re: pfSense
Posté par gUI (Mastodon) . Évalué à 6. Dernière modification le 02 juillet 2024 à 14:43.
Ouais alors attention à ce point. Il me semble bien que la loi n'interdit pas d'accéder à ces sites. La loi demande à des opérateurs précis de les blacklister. C'est vraiment différent (et ça pourrait peut-être changer).
FDN par exemple respecte parfaitement la loi en continuant de proposer l'accès à ces sites blacklistés.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: pfSense
Posté par cg . Évalué à 2.
Merci pour la précision ! Je n'étais pas certain, alors j'ai mis (spécieux).
# Pour résumer...
Posté par LeBouquetin (site web personnel, Mastodon) . Évalué à 10.
Si j'ai bien compris : OpenDNS (service fourni par Cisco) est sollicité pour faire du filtrage pour des questions de droit. OpenDNS ne veut pas s'embêter à mettre ce filtrage en place et préfère donc ne plus être utilisable du tout en France.
Cette lecture a été l'occasion de (re) découvrir l'existence du code HTTP 451 : « Unavailable For Legal Reasons ».
Le code 451 fait référence au roman Fahrenheit 451.
451°F est la température d'auto-inflammation du papier (232,8°C).
La plupart d'entre vous doit déjà savoir tout ça, les autres ne pourront plus l'ignorer ;)
#tracim pour la collaboration d'équipe __ #galae pour la messagerie email __ dirigeant @ algoo
[^] # Re: Pour résumer...
Posté par Zenitram (site web personnel) . Évalué à 5.
Pour le fun :
A noter qu'il devient alors un DNS menteur : pour tous les sites non interdit par la justice, il ment en disant que c'est pour des raisons légales alors qu'en réalité c'est qu'ils ne veulent pas faire la différence entre légal (ça devrait être un autre code retour que 451 si on ne veut pas mentir car rien de légal leur impose de bloquer) et pas légal (code retour 451 correct car c'est bien la loi qui impose de rejeter la demande).
Donc techniquement parlant ça devient un DNS menteur :).
Pareil, vous ne pouvez plus dire de bonne foi que openDNS est un DNS non menteur :-D.
[^] # Re: Pour résumer...
Posté par gUI (Mastodon) . Évalué à 4. Dernière modification le 02 juillet 2024 à 09:20.
Ah bin ça va me faire ma lecture de l'été ça. Après 1984, je vais attaquer un autre roman dont on fait régulièrement référence mais que j'avais jamais lu.
Et ensuite ce sera le Guide du voyageur galactique tiens.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Pour résumer...
Posté par sebas . Évalué à 4.
T'as également Le meilleur des mondes, de Huxley, si tu ne l'as pas déjà lu, c'est un grand classique de la dystopie qui fait référence. Au programme : formation par manipulation génétique de castes humaines.
Évidemment, 1984 est plus percutant et s'inscrit mieux dans l'époque actuelle, Orwell était bien sensibilisé au problème, et avait compris durant sa participation à la révolution espagnole que les deux formes de capitalisme allaient fusionner dans le futur. Il s'est juste trompé sur celle qui allait prévaloir, et pensait que c'était le capitalisme d'État (sous sa forme stalinienne) qui allait intégrer (absorber) le capitalisme libéral, alors que c'est le contraire qui s'est passé.
[^] # Re: Pour résumer...
Posté par gUI (Mastodon) . Évalué à 3. Dernière modification le 03 juillet 2024 à 10:42.
Noté, merci !
Oui, mais je me demande si ça peut pas rebasculer dans ce sens. Une fois l'appareil d'État repris par la 2e forme, il peut sans soucis infuser vers la 1ere (afin de s'y asseoir définitivement)
Réponse dans quelques mois/années… :(
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Pour résumer...
Posté par Claude SIMON (site web personnel) . Évalué à 5.
Dans la même veine, il y a aussi La Ferme de animaux, du même sieur Orwell…
Pour nous émanciper des géants du numérique : Zelbinium !
# Conséquences amusantes
Posté par jeanas (site web personnel, Mastodon) . Évalué à 6.
Il y en a qui ne peuvent plus allumer la lumière chez eux à cause de ça :
https://x.com/bortzmeyer/status/1806760064302072050
(désolé, je n'ai pas trouvé l'info ailleurs que sur 𝕏).
[^] # Re: Conséquences amusantes
Posté par cg . Évalué à 5.
Ici :
[^] # Re: Conséquences amusantes
Posté par abriotde (site web personnel, Mastodon) . Évalué à 2. Dernière modification le 01 juillet 2024 à 23:39.
Une raison de plus pour militer
- D'un côté contre les DNS menteurs : contre la censure.
- Contre les systèmes fermés (closed-source ou a minima sans documentation complète et ouverte).
PS: Tu n'as pas à t'excuser de citer X.
Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.
[^] # Re: Conséquences amusantes
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 3.
En plus de la doc, il serait éventuellement utile de disposer d'un moyen de lever d'éventuels verrous logiciels : savoir comment ça fonctionne, sachant qu'une bonne vieille clef maîtresse non divulguée RSA de 8192 bits verrouille le tout, ça peut limiter l'intérêt des informations.
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.