Les FAI, le filtrage et la censure

Pause Café
#1

Voilà un extrait du fil sur Ingrid Betancourt :

[quote=“mattotop”]quote="rodmov"
ce serveur donne des informations sur la peine de mort
http://www.peinedemort.org/peinedemort.php
dépêches d’actualité >>par thèmes >> les exécutions[/quote]Bah ça continue à être inaccessible chez moi: hote inconnu.
C’est bizarre. Tu as la résolution dns pour ce site, toi ?
(…)
J’hallucine: si je supprimes mes forwarders dans mon bind, ça passe…
noos ferait il du filtrage ?[/quote]
Je me pose quelques questions à propos du filtrage et j’ouvre un nouveau fil pour ne pas polluer celui d’ingrid.

Apparemment, les FAI peuvent faire du filtrage de site au niveau des DNS en empêchant les résolution de nom.
Est-ce vraiment un filtrage ou peut-on penser plutôt à des DNS surchargés côté FAI ?
Et concernant le filtrage, l’utilisation d’un proxy transparent doit être plus efficace, non ?
Si les FAI veulent nous empêcher d’accéder à un site en particulier, ils peuvent nous forcer à passer par un proxy transparent et dans ce cas-là, on l’a dans le cul, non ?

#2

Pour ce qui est du “filtrage”, c’est vrai que c’est peut être plus une mauvaise configuration.
Pour ce qui est du proxy transparent dns, je croyais que ce n’etait pas possible, mais il semble bien que tor puisse le faire, alors ça doit être possible, même si je reste dubitatif. Je n’ai pas trouvé de réfèrence.
Mais oui: si c’etait possible, on l’aurait dans le cul, sauf à utiliser un dns en dehors de la zone censurée en passant par un vpn.

#3

J’ai mis en place hier un proxy squid pour accélérer un peu le web chez moi et aussi pour voir un peu comment ça fonctionne.
Pour utiliser mon proxy, j’ai configuré mon navigateur mais j’ai lu qu’il était possible de “forcer” l’utilisation du proxy en redirigeant toutes les requêtes du port 80 (ou autre) vers celui-ci via iptables.
C’est sûr que mon petit réseau privé n’a rien à voir avec celui d’un FAI mais bon, je me disais que ça doit être possible à faire pour les pro du proxy.
Je m’occupe du site internet de l’orchestre où je bosse et je vois souvent dans les logs le proxy d’AOL :

cache-prs-ab04.proxy.aol.com www.orchestre-echeverria.com - [07/Feb/2008:17:59:10 +0100] "HEAD /jpg/pub/jpg/harmony_1.jpg HTTP/1.1" 200 0 "-" "Mozilla/4.0 (compatible; MSIE 7.0; AOL 9.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)" cache-prs-ab04.proxy.aol.com www.orchestre-echeverria.com - [07/Feb/2008:17:59:10 +0100] "HEAD /jpg/pub/jpg/eche_2.jpg HTTP/1.1" 200 0 "-" "Mozilla/4.0 (compatible; MSIE 7.0; AOL 9.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)" spider-prs-tb10.proxy.aol.com www.orchestre-echeverria.com - [07/Feb/2008:17:58:58 +0100] "GET /html/presentation.php HTTP/1.1" 302 326 "-" "Mozilla/4.0 (compatible; MSIE 7.0; AOL 9.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)" cache-prs-ab09.proxy.aol.com www.orchestre-echeverria.com - [07/Feb/2008:17:58:59 +0100] "HEAD /swf/menu3b.swf HTTP/1.1" 200 0 "-" "Mozilla/4.0 (compatible; MSIE 7.0; AOL 9.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)" cache-prs-aa01.proxy.aol.com www.orchestre-echeverria.com - [07/Feb/2008:17:58:57 +0100] "GET /html/oups.php HTTP/1.1" 200 1579 "-" "Mozilla/4.0 (compatible; MSIE 7.0; AOL 9.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)" cache-prs-aa01.proxy.aol.com www.orchestre-echeverria.com - [07/Feb/2008:17:59:08 +0100] "HEAD /jpg/pub/jpg/lune.jpg HTTP/1.1" 200 0 "-" "Mozilla/4.0 (compatible; MSIE 7.0; AOL 9.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)" cache-prs-aa01.proxy.aol.com www.orchestre-echeverria.com - [07/Feb/2008:17:59:09 +0100] "GET /html/oups.php HTTP/1.1" 200 1579 "http://www.orchestre-echeverria.com/html/pub.php" "Mozilla/4.0 (compatible; MSIE 7.0; AOL 9.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)" cache-prs-aa01.proxy.aol.com www.orchestre-echeverria.com - [07/Feb/2008:17:59:09 +0100] "GET /html/oups.php HTTP/1.1" 200 1579 "http://www.orchestre-echeverria.com/html/pub.php" "Mozilla/4.0 (compatible; MSIE 7.0; AOL 9.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)" cache-prs-aa01.proxy.aol.com www.orchestre-echeverria.com - [07/Feb/2008:18:00:28 +0100] "HEAD /livredor/signatux/smilies/bisou.gif HTTP/1.1" 200 0 "-" "Mozilla/4.0 (compatible; MSIE 7.0; AOL 9.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)" cache-prs-aa01.proxy.aol.com www.orchestre-echeverria.com - [07/Feb/2008:18:00:28 +0100] "HEAD /livredor/signatux/smilies/grrr.gif HTTP/1.1" 200 0 "-" "Mozilla/4.0 (compatible; MSIE 7.0; AOL 9.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"

Donc je me dis que l’abonné AOL qui va sur le site vois les pages que le proxy lui donne et non directement les pages du site de l’orchestre.

#4

Je viens de trouver une page sur noos et les proxy transparents :

[quote=“http://noos.free.fr/faq/6c.html”] c) Le proxy transparent.

Noos utilise des « proxys », c’est-à-dire des ordinateurs qui reçoivent nos demandes de pages Web, et avant de les chercher directement sur le réseau, vérifient s’ils ne les ont pas en mémoire. S’ils les ont en mémoire, et dans une version récente, ils nous envoient cette version, et s’ils n’en ont qu’une vieille version, ou pas de version du tout, ils vont la chercher sur Internet, l’enregistrent, et nous la transmettent. Cela permet, normalement, à l’usage, de désengorger les liaisons qui coûtent si cher à notre fournisseur.

Ce système existe d’ailleurs chez la plupart des fournisseurs d’accès à Internet, et demande généralement un réglage particulier de votre logiciel de navigation.

Chez Noos, pas besoin de réglage : les proxys sont « transparents », c’est-à-dire que toutes les requêtes passent automatiquement par eux, qu’on le veuille ou non. Ça peut simplifier les choses, mais si un proxy tombe en panne, plus d’accès au Web. Hé, oui. Les proxys de Noos ont aussi l’habitude de nous renvoyer des messages eux-mêmes quand ils n’arrivent pas à joindre un serveur, ce qui explique les pages d’erreurs qui peuvent parfois venir d’on ne sait où. [/quote]

C’est sûr que l’utilisation de ces proxys permet d’économiser de la bande passante pour le FAI. C’est peut-être grâce à ça que l’abonnement est moins cher en zone dégroupée, car le FAI a son propre matos.

#5

Pour le web/squid, oui, pas de pb pour le proxy transparent. Pareil avec ftp/frox. Et d’autres…
Pour le dns, je n’en ai jamais entendu parler.
Mais pareil, tout proxy ou filtage peut être traversé par vpn du moment qu’on a accés à l’exterieur de la zone proxyfiée/filtrée par ne serait ce qu’un seul port.

#6

et même si on ne laisse que le web avec un proxy sur une passerelle bloquante, on peut faire du http tunnel pour traverser cette passerelle.

#7

L’usage des proxy transparents (HTTP) a l’air répandu vu ce qu’en dit la page de debian.org concernant la localisation automatique du site:

us.debian.org/intro/cn#cache
us.debian.org/intro/cn.fr.html#cache (en français :slightly_smiling: )

Il semble que cela pose certains problèmes: