**Ceci est une ancienne révision du document !**
DNS
Pour éviter de se farcir les adresses IPs à la main, on utilise un annuaire, le DNS (Domain Name System), qui traduit www.ffdn.org en 141.255.128.13 + 2a01:474::13.
Voir aussi...
Vidéo Geek
Travaux de la fédé
Différents membres de la fédération fournissent des résolveurs ouverts, que l'on peut donc utiliser depuis n'importe où dans le monde, pourvu que le port 53 soit ouvert:
FAI | IPv4 | IPv6 | TLS available |
---|---|---|---|
Alsace Réseau Neutre | 89.234.141.66 | 2a00:5881:8100:1000::3 | ? |
Aquilenet | 141.255.128.100 | 2a01:474::100 | ? |
Aquilenet | 141.255.128.101 | 2a01:474::101 | ? |
FDN | 80.67.169.12 | 2001:910:800::12 | ? |
FDN | 80.67.169.40 | 2001:910:800::40 | ? |
LDN | 80.67.188.188 | 2001:913::8 | ? |
Une autre liste est disponible sur https://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver
Documentation
Pour faire votre propre résolveur ouvert:
- Avec bind:
- mettre dans
named.conf.options
les optionsrecursion yes;
etallow-query { any; };
- Attention à limiter les requêtes, car sinon vous risquez de participer à des DDoS basés sur DNS
- Limiter à 20/seconde par /28 en v4:
iptables -N dns_limit iptables -A INPUT -d $VOTRE_IP -p tcp -m tcp --dport 53 -j dns_limit iptables -A dns_limit -s $VOTRE_RESEAU -j ACCEPT iptables -A dns_limit -m hashlimit --hashlimit-above 20/sec --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name DNS --hashlimit-srcmask 28 -j DROP iptables -A dns_limit -j ACCEPT
* de même par /56 en v6:
ip6tables -N dns_limit ip6tables -A INPUT -d $VOTRE_IP_6 -p tcp -m tcp --dport 53 -j dns_limit ip6tables -A dns_limit -s $VOTRE_RESEAU_6 -j ACCEPT ip6tables -A dns_limit -m hashlimit --hashlimit-above 20/sec --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name DNS --hashlimit-srcmask 56 -j DROP ip6tables -A dns_limit -j ACCEPT