DNS fiable et sans tracking ou collecte de datas

PengouinPdt · Avril 5, 2025, 10:04am

Utilisant OpenWRT, je fais pareil
(en priorité, du DoT, et bascule vers DoH, si besoin).
Les premiers utilisés sont ceux de la FDN. (c’est vrai qu’il y a ceux de Stephane Bortzmeyer, aussi… ainsi que ceux de Shaft)

Zargos · Avril 5, 2025, 10:15am

J’avais pensé à la FDN, mais avec ce qui se profile en France, leur indépendance va malheureusement en prendre un coup, notamment sur les obligations de filtrages.

dindoun · Avril 5, 2025, 9:18pm

les sites bloqués sur quad9 :
ilcorsaronero.la , ilcorsaronero.link , ilcorsaronero.pro , ilorsaronero.in , ilorsaronero.la , kickasstorrents.to , limetor.com , limetorents.so , limetorrents.cc , limetorrents.co , limetorrents.com , limetorrents.info , limetorrents.lol , limetorrents.net , limetorrents.pro , limetorrents.to , thecorsaronero.pro

comment savoir dans quel pays sont les serveurs d’un dns?

Zargos · Avril 5, 2025, 9:21pm

D’un DNS d’un site tu veux dire?
Si tu as l’IP tu vas dans IP Address Lookup | Geolocation

fran.b · Avril 6, 2025, 6:37am

Personnellement, j’ai mon propre DNS toujours sur le serveur dans ma cave, déclaré à mon routeur WIFI.

Zargos · Avril 6, 2025, 12:17pm

Ça ne change rien que pour aller sur internet tu dois forwarder vers des DNS public. Car je ne pense pas que tu puisses adresser les DNS root directement.

fran.b · Avril 7, 2025, 6:38am

Heureusement que les DNS root acceptent les requetes de n’importe qui. Tous les DNS que j’ai installés ne «forwardent» rien et utilisent donc les DNS racines. Je n’ai jamais eu à m’inquieter des blocages des DNS des FAI

Zargos · Avril 7, 2025, 8:11am

Qu’utilises tu comme serveur DNS?
Car à un moment ou un autre ils doivent bien être paramétrés pour aller à l’extérieur de ton domaine local.

fran.b · Avril 7, 2025, 8:48am

J’ai un serveur maitre de mon domaine, bind9 en l’occurrence,

$ cat named.conf | grep -v « ^$ » | grep -v -E " *//"
include « /etc/bind/named.conf.options »;
include « /etc/bind/named.conf.local »;
include « /etc/bind/named.conf.default-zones »;
$ cat named.conf.options | grep -v « ^$ » | grep -v -E " *//"
options {
directory « /var/cache/bind »;
dnssec-validation auto;
listen-on-v6 { any; };
};
$ cat named.conf.options | grep -v « ^$ » | grep -v -E " *//"
options {
directory « /var/cache/bind »;
dnssec-validation auto;
listen-on-v6 { any; };
};
$ cat named.conf.local | grep -v « ^$ » | grep -v -E " *//"
include « /etc/bind/zones.rfc1918 »;
zone « [mon domaine] » {
type master;
file « /etc/bind/[mon domaine].zone »;
allow-update {
none;
};
allow-transfer {[les DNS seondaires (un ami et un kimsufi OVH]};
};
zone « [moi…].42 » {
type master;
file « /etc/bind/[moi].42.zone »;
allow-update {
none;
};
};
zone « [le copain dont je suis DNS secondaire] » {
type slave;
masters { son IP de DNS maitre ; };
};

après les db.* sont les fihiers d’origine exceptés ma zone et le db.root que je met à jour par

dig +noall +answer +additional @j.root-servers.net.

Zargos · Avril 7, 2025, 8:44am

AH ce sont des DNS publics c’est pour
Donc effectivement tu n’as pas besoin d’un forwarder.

fran.b · Avril 7, 2025, 9:16am

Là c’est sur mon serveur ligne fibre free à la cave, pour que toute la maison en profite (j’ai mis ce DNS paramétré dans la freebox). Effectivement il est déclaré dans le GLU record de mon domaine. Je n’utilise aucun service de Gandi (excepté le service de comptabilité pour encaisser mes sous)
J’avais fait ça pour tous les serveurs dont je m’occupais y compris au lycée ou pour les serveurs des concours dont je m’occupais

[à titre indicatif, le cache a 5102 entrées, il y a en gros une tentative par minute pour utiliser le DNS comme relais, je précise que c’est un Fit PC 1G RAM, 6G swap 32 bits ATOM cadencé à 1GHz]

Aunisien · Avril 8, 2025, 12:35pm

Pour ma part j’ai installé Unbound ( à priori plus simple que Bind ) & Adguard Home pour mon réseau à la maison. Et pour le smartphone j’utilise les dns Mullvad.

nam1962 · Avril 15, 2025, 4:57pm

Tiens c’est marrant, je suis sur ce sujet depuis pas mal de temps et je viens justement de le compléter !

Grosso, j’utilise sur mon ordi pi-hole et unbound ou dnscrypt pour m’assurer sur tout çà.
@dindoun je vois donc bien les URL censurées que tu cites

Mon classique - Pi-hole + Unbound DoT (DNS-over-TLS), pour contrôler les résolutions de A à Z ou presque.

L’amélio anti-censure - Pi-hole + DNSCrypt-Proxy DoH (DNS-over-HTTPS), quand votre FAI se prend pour un commissaire politique de la grande époque.

Le switcher magique - un petit script qui fait passer d’une config à l’autre en un clic, parce que choisir c’est renoncer.

Vérification et tests - Guide de dépannage et d’interprétation des tests DNS.

En prod sur mon Endeavour, pas testée sur Debian à ce stade.

Retours et débuggage appécié

Zargos · Avril 15, 2025, 5:31pm

la difficulté avec DNS over HTTPS, c’estr qu’il est difficile de le différencier d’un autre flux HTTPS et peut ainsi être utilisé par des programmes/utilisateurs malveillants…

nam1962 · Avril 15, 2025, 7:31pm

Arf oui, c’est pareil pour tout HTTPS (sites web, applis, réseaux sociaux). Ce n’est pas un problème propre à DoH.

C’est comme dire que ‹ le courrier dans une enveloppe est dangereux parce qu’on ne peut pas le lire sans l’ouvrir ›.
Oui, mais… c’est précisément le but de l’enveloppe.

Ou alors, faut oublier HTTPS et revenir au web en clair et aux cartes postales ?

[Edit] en attendant je vois les corsaires !

Zargos · Avril 17, 2025, 7:43am

tout à fait.

Pas tout à fait, en fait le problème c’est que le DOH est utilisé par les logiciels malveillants. C’est là qu’est le problème.
Sur un DNS hors DOH, tu peux détecter ces logiciels malveillants, alors que tu ne le peux plus avec DOH

anonyme2 · Avril 17, 2025, 7:52am

et alors on fait quoi?? c’est le serpent qui se mord la queue; on balance tout à la déchetterie et comme ça personne ne viendra plus nous pourrir la vie?

Zargos · Avril 17, 2025, 7:59am

C’est aussi pour ça que beaucoup d’entreprise n’autorisent pas le DOH au sein de l’entreprise, c’est le cas de la mienne (partiellement).

non, il peut y avoir un contournement: mettre en place un DOH interne qui forwarde si nécessaire vers l’extérieur en DOH. Il est accessible que sur certificat reconnus (certificats internes. Ainsi les outils de sécurité comme les IDS peuvent ainsi scruter les requêtes du DNS et lever des alertes si nécessaires.

Pour le moment chez moi, j’ai paramétré mon Firefox pour utiliser des DOH, mais tous les autres systèmes (serveurs, applications serveurs) utilisent le DNS interne classique (avec DNSSEC tout de même).
Le tout en attendant que je migre mon DNS qui en Bind qui ne peut pas faire du DOH correctement ans la version déployée sur mon OPNSense.

anonyme2 · Avril 17, 2025, 11:12am

@Zargos: tout ça c’est du chinois réservé aux pros mais pour le pékin de base dont je fais partie c’est totalement incompréhensible et c’est bien là tout le problème. Comment faire pour offrir à l’utilisateur moyen un système à peu près sûr? déjà passer à linux c’est un bon point (vs M$) mais pas suffisant. A décharge depuis 20 ans que j’utilise linux debian(stable et sid) je n’ai jamais été piraté et jamais eu de pbs et c’est déjà pas mal! Je fais tout ce qui peut être fait; mots de passe non recyclés avec 25 caractères minimum; ssh avec fail2ban mais quand on sait que certains sites stockent les mdp en clair …et qu’ils tournent sous la passoire M$…
J’ai mis qad9 comme DNS.

Zargos · Avril 17, 2025, 12:12pm

Le pékin de base n’utilise pas de DOH en fait parce qu’il ne sait pas ce que c’est

piraté peut être pas mais compromis c’est possible, car tu n’en as pas forcément eu la visibilité. Et c’est justement tout le problème, du point de vue de la sécurité s’entend.

Quad9 n’est pas neutre. Ils font du filtrage judiciaire ou gouvernemental.