Posté par gUI (Mastodon) .
Évalué à 3 (+0/-0).
Dernière modification le 29 juin 2024 à 18:46.
Si qqu'un maîtrise le truc…
J'ai pfSense chez moi, et dans System/General Setup j'ai aucun paramètre de DNS. Il me semble donc qu'il attaque donc les DNS root directement. Qqu'un peut confirmer ?
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
pfSense n'a pas grand chose à voir la dedans à ma connaissance.
Tu à forcément un DNS configuré. Ce qui est possible c'est que tu sois en DHCP et donc que la configuration soit prise sur le réseau : c'est alors le DNS de ta box qui fonctionne.
Tu ne peux pas être directement sur un DNS root. En gros le DNS root te dis juste ".org" c'est par là. Mais qu'en est il de "linuxfr.org" ? En gros, ils n'ont pas les informations.
Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.
Pour moi un DNS root dis "Pour .com il tu peux te renseigner ici, ici ou la". Ensuite il faut donc interroger un de ces sous DNS pour avoir "google.com". OpenDNS et consort servent de cache et ont une accréditation au niveau des DNS root que tu n'a pas.
Je me trompe sans doute quelques part, mais je ne pense pas pour autant que tu puisse simplement interroger les DNS Root facilement. sinon, ils satureraient. Enfin, je veux dire, c'est tout l'intérêt des sous-DNS. C'est pas seulement d'avoir des DNS menteur pour blacklister.
Si j'ai bien compris : OpenDNS (service fourni par Cisco) est sollicité pour faire du filtrage pour des questions de droit. OpenDNS ne veut pas s'embêter à mettre ce filtrage en place et préfère donc ne plus être utilisable du tout en France.
Cette lecture a été l'occasion de (re) découvrir l'existence du code HTTP 451 : « Unavailable For Legal Reasons ».
Cette lecture a été l'occasion de (re) découvrir l'existence du code HTTP 451 : « Unavailable For Legal Reasons ».
A noter qu'il devient alors un DNS menteur : pour tous les sites non interdit par la justice, il ment en disant que c'est pour des raisons légales alors qu'en réalité c'est qu'ils ne veulent pas faire la différence entre légal (ça devrait être un autre code retour que 451 si on ne veut pas mentir car rien de légal leur impose de bloquer) et pas légal (code retour 451 correct car c'est bien la loi qui impose de rejeter la demande).
Donc techniquement parlant ça devient un DNS menteur :).
La plupart d'entre vous doit déjà savoir tout ça, les autres ne pourront plus l'ignorer ;)
Pareil, vous ne pouvez plus dire de bonne foi que openDNS est un DNS non menteur :-D.
Une raison de plus pour militer
- D'un côté contre les DNS menteurs : contre la censure.
- Contre les systèmes fermés (closed-source ou a minima sans documentation complète et ouverte).
PS: Tu n'as pas à t'excuser de citer X.
Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.
# pfSense
Posté par gUI (Mastodon) . Évalué à 3 (+0/-0). Dernière modification le 29 juin 2024 à 18:46.
Si qqu'un maîtrise le truc…
J'ai pfSense chez moi, et dans
System/General Setup
j'ai aucun paramètre de DNS. Il me semble donc qu'il attaque donc les DNS root directement. Qqu'un peut confirmer ?En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: pfSense
Posté par abriotde (site web personnel, Mastodon) . Évalué à 3 (+2/-0). Dernière modification le 30 juin 2024 à 06:50.
pfSense n'a pas grand chose à voir la dedans à ma connaissance.
Tu à forcément un DNS configuré. Ce qui est possible c'est que tu sois en DHCP et donc que la configuration soit prise sur le réseau : c'est alors le DNS de ta box qui fonctionne.
Tu ne peux pas être directement sur un DNS root. En gros le DNS root te dis juste ".org" c'est par là. Mais qu'en est il de "linuxfr.org" ? En gros, ils n'ont pas les informations.
Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.
[^] # Re: pfSense
Posté par gUI (Mastodon) . Évalué à 3 (+0/-0). Dernière modification le 30 juin 2024 à 09:57.
Non je ne le suis pas. Il est en IP fixe dans la DMZ de ma box. Et il n'y a aucun DNS paramétré nulle part.
Il me semble bien que si justement. C'est ni interdit ni même déconseillé.
EDIT : je confirme que c'est bien le cas : https://docs.netgate.com/pfsense/en/latest/services/dns/resolver-modes.html
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: pfSense
Posté par Psychofox (Mastodon) . Évalué à 6 (+3/-0). Dernière modification le 30 juin 2024 à 10:19.
Et comment crois-tu que font ton FAI, opendns, google, cloudflare, FDN, ou toute autre entité/personne hébergeant un serveur DNS?
[^] # Re: pfSense
Posté par abriotde (site web personnel, Mastodon) . Évalué à 1 (+0/-0).
Pour moi un DNS root dis "Pour .com il tu peux te renseigner ici, ici ou la". Ensuite il faut donc interroger un de ces sous DNS pour avoir "google.com". OpenDNS et consort servent de cache et ont une accréditation au niveau des DNS root que tu n'a pas.
Je me trompe sans doute quelques part, mais je ne pense pas pour autant que tu puisse simplement interroger les DNS Root facilement. sinon, ils satureraient. Enfin, je veux dire, c'est tout l'intérêt des sous-DNS. C'est pas seulement d'avoir des DNS menteur pour blacklister.
https://fr.wikipedia.org/wiki/Serveur_racine_du_DNS
Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.
[^] # Re: pfSense
Posté par Pol' uX (site web personnel) . Évalué à 2 (+0/-0).
Pas spécialement quelque part.
Adhérer à l'April, ça vous tente ?
# Pour résumer...
Posté par LeBouquetin (site web personnel, Mastodon) . Évalué à 10 (+12/-1).
Si j'ai bien compris : OpenDNS (service fourni par Cisco) est sollicité pour faire du filtrage pour des questions de droit. OpenDNS ne veut pas s'embêter à mettre ce filtrage en place et préfère donc ne plus être utilisable du tout en France.
Cette lecture a été l'occasion de (re) découvrir l'existence du code HTTP 451 : « Unavailable For Legal Reasons ».
Le code 451 fait référence au roman Fahrenheit 451.
451°F est la température d'auto-inflammation du papier (232,8°C).
La plupart d'entre vous doit déjà savoir tout ça, les autres ne pourront plus l'ignorer ;)
[^] # Re: Pour résumer...
Posté par Zenitram (site web personnel) . Évalué à 5 (+6/-3).
Pour le fun :
A noter qu'il devient alors un DNS menteur : pour tous les sites non interdit par la justice, il ment en disant que c'est pour des raisons légales alors qu'en réalité c'est qu'ils ne veulent pas faire la différence entre légal (ça devrait être un autre code retour que 451 si on ne veut pas mentir car rien de légal leur impose de bloquer) et pas légal (code retour 451 correct car c'est bien la loi qui impose de rejeter la demande).
Donc techniquement parlant ça devient un DNS menteur :).
Pareil, vous ne pouvez plus dire de bonne foi que openDNS est un DNS non menteur :-D.
# Conséquences amusantes
Posté par jeanas (site web personnel, Mastodon) . Évalué à 6 (+5/-0).
Il y en a qui ne peuvent plus allumer la lumière chez eux à cause de ça :
https://x.com/bortzmeyer/status/1806760064302072050
(désolé, je n'ai pas trouvé l'info ailleurs que sur 𝕏).
[^] # Re: Conséquences amusantes
Posté par cg . Évalué à 5 (+3/-0).
Ici :
[^] # Re: Conséquences amusantes
Posté par abriotde (site web personnel, Mastodon) . Évalué à 1 (+0/-0). Dernière modification le 01 juillet 2024 à 23:39.
Une raison de plus pour militer
- D'un côté contre les DNS menteurs : contre la censure.
- Contre les systèmes fermés (closed-source ou a minima sans documentation complète et ouverte).
PS: Tu n'as pas à t'excuser de citer X.
Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.