Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 25-10-2018 09:47:24

LaFouine
Membre
Distrib. : Debian testing strech
Noyau : 4.9.0-2-amd64
(G)UI : Xfce
Inscription : 10-04-2017

serveur DNS pour filtrer ou pas ?

Bonjours,


J'envisage d'utiliser bin9 pour un serveur  local, je compte m'en servir pour filtrer ce qui dérange .
si en ipv4 c'est facile avec iptables, il en va autrement pour l'ipv6, car me taper de la lecture en hexadecimal c'est vraiment trop pénible

Je résume :
bind9 filtre sur nom de domaine et/ou sur url complètes. surtout pour l'ipv6 est -ce possible?

c'est contournable en local mai depuis l’extérieur est ce que c'est possible de subire des nuisances    ?

je pensais utilise les tutoriel situer ici

https://wiki.debian.org/fr/Bind9

celui de debianfacile date de 2014

https://debian-facile.org/atelier:chant … sur-wheezy

Merci d'avance

Debian strech, 2 x nvidia 980 gtx sli, cm asurock 16 gb ram

Hors ligne

#2 25-10-2018 10:55:26

raleur
Membre
Inscription : 03-10-2014

Re : serveur DNS pour filtrer ou pas ?

LaFouine a écrit :

je compte m'en servir pour filtrer ce qui dérange


Qu'entends-tu par "ce qui dérange" ?

LaFouine a écrit :

si en ipv4 c'est facile avec iptables, il en va autrement pour l'ipv6


Le filtrage fonctionne de la même manière pour des paquets IPv4 avec des règles iptables ou des paquets IPv6 avec des règles ip6tables.

LaFouine a écrit :

bind9 filtre sur nom de domaine et/ou sur url complètes


Non, pas des URL. Un serveur DNS n'est pas un proxy HTTP. Quel nom de domaine ? Celui du RRset de la requête DNS ? Du reverse DNS du client ? Et BIND ne filtre pas vraiment. On peut en faire une utilisation détournée pour ne pas faire suivre les requêtes pour des domaines donnés.

LaFouine a écrit :

c'est contournable en local mai depuis l’extérieur est ce que c'est possible de subire des nuisances ?


Qu'entends-tu par "en local" et "de l'extérieur" ?
Il suffit d'interroger un autre serveur DNS pour contourner un "filtrage" sur les noms de domaine des requêtes. Si on contrôle l'accès internet on peut bloquer les requêtes DNS envoyées à d'autres serveurs extérieurs DNS, ou les rediriger vers le serveur DNS "filtrant".

Dernière modification par raleur (25-10-2018 10:55:51)

En ligne

#3 25-10-2018 20:37:21

LaFouine
Membre
Distrib. : Debian testing strech
Noyau : 4.9.0-2-amd64
(G)UI : Xfce
Inscription : 10-04-2017

Re : serveur DNS pour filtrer ou pas ?


Qu'entends-tu par "ce qui dérange" ?
 



publiciter, site inapproprié etc . bon ben je verrai peut être plus tard pour mettre en place un serveur dns.

pour ce qui est de l'ipv6, le coter pénible c est la longueur d'une ip a retenir.


8 groupes de 2 octets (16 bits par groupe) sont séparés par un signe deux-points :
    2001:0db8:0000:85a3:0000:0000:ac1f:8001
 


Sans compter les variantes 001:0db8:0000:85a3::ac1f:8001 

Merci pour ta réponse smile


Debian strech, 2 x nvidia 980 gtx sli, cm asurock 16 gb ram

Hors ligne

#4 25-10-2018 21:35:56

raleur
Membre
Inscription : 03-10-2014

Re : serveur DNS pour filtrer ou pas ?

LaFouine a écrit :

publiciter, site inapproprié etc


Pour cela je pense qu'un proxy web filtrant serait plus approprié.

LaFouine a écrit :

pour ce qui est de l'ipv6, le coter pénible c est la longueur d'une ip a retenir


Pourquoi diable as-tu besoin de retenir une adresse IPv6 ?

En ligne

#5 26-10-2018 04:09:14

LaFouine
Membre
Distrib. : Debian testing strech
Noyau : 4.9.0-2-amd64
(G)UI : Xfce
Inscription : 10-04-2017

Re : serveur DNS pour filtrer ou pas ?

Je ne suis pas fan du proxy  car les client doive être modifier.

pour l'ipv6 si tu veux bloquer un site particulier le nomdedomaine.com dans iptables tu a le choix entre l'ipv4 et l'ipv6 il n'y a pas la posibiliter de rentrer le nom de domaine. peut être dans le future smile

je vais finalement quand même mettre un dns car les site ou je vais sont quand même souvent les mêmes sa peux donc être bénéfique:)

Debian strech, 2 x nvidia 980 gtx sli, cm asurock 16 gb ram

Hors ligne

#6 26-10-2018 09:30:06

raleur
Membre
Inscription : 03-10-2014

Re : serveur DNS pour filtrer ou pas ?

LaFouine a écrit :

Je ne suis pas fan du proxy  car les client doive être modifier.


Un proxy peut être transparent pour le HTTP. Pour le HTTPS, c'est plus délicat. Tu peux utiliser la configuration automatique de proxy via proxy.pac.

LaFouine a écrit :

pour l'ipv6 si tu veux bloquer un site particulier le nomdedomaine.com dans iptables tu a le choix entre l'ipv4 et l'ipv6 il n'y a pas la posibiliter de rentrer le nom de domaine


On peut utiliser un nom de domaine à la place d'une adresse IP comme source ou destination dans une règle iptables ou ip6tables. Mais elle sera résolue lors de la création de la règle (ou des règles si le nom a plusieurs adresses) et c'est l'adresse IP qui sera enregistrée dans la règle.
Mais je ne vois toujours pas le lien avec le besoin de retenir une adresse IPv6.

En ligne

#7 26-10-2018 22:42:20

kawer
Adhérent(e)
Lieu : Quelque part vers Gallifrey
Distrib. : Archlinux
Noyau : Current
(G)UI : xfce4
Inscription : 08-10-2013

Re : serveur DNS pour filtrer ou pas ?

Si un serveur proxy ne t'intéresse pas, tu a des générateur de fichier hosts comme https://github.com/penthium2/adkill/blo … /adkill.sh il va te générer un fichier hosts interdisant la majorité des sites à caractère sensible et publicitaire. Après à toi d'adapter. Mais avec les acl de squid3 par exemple, tu peu faire une configuration par client.

Ce n'est pas un signe de bonne santé mentale d'être bien adapté à une société malade -Cit. Jiddu Krishnamurti

Hors ligne

#8 28-10-2018 18:17:26

LaFouine
Membre
Distrib. : Debian testing strech
Noyau : 4.9.0-2-amd64
(G)UI : Xfce
Inscription : 10-04-2017

Re : serveur DNS pour filtrer ou pas ?

raleur:
Pour la notation ipv6 va donc le post A à un post B (pas sur la même machine) pour y mettre une configuration à la main ben bon courage sachant que l'ipv6 monte a 32 caractère même si c est souvent moins que cela.
si sa ne suffi pas. disons que tu as la machine A qu veux ping une ip sur B pour savoir si le réseaux est ok. ben va taper les caractères. bref c est pas pratique.

kawer
C'est intéressant je ne connaissais pas merci smile

Merci pour l'aide apportée:)

Debian strech, 2 x nvidia 980 gtx sli, cm asurock 16 gb ram

Hors ligne

#9 28-10-2018 18:50:31

raleur
Membre
Inscription : 03-10-2014

Re : serveur DNS pour filtrer ou pas ?

LaFouine a écrit :

Pour la notation ipv6 va donc le post A à un post B (pas sur la même machine) pour y mettre une configuration à la main ben bon courage sachant que l'ipv6 monte a 32 caractère même si c est souvent moins que cela.


On a inventé les noms d'hôtes pour éviter de devoir se rappeler et taper des adresses IP.

En ligne

#10 02-11-2018 12:53:20

LaFouine
Membre
Distrib. : Debian testing strech
Noyau : 4.9.0-2-amd64
(G)UI : Xfce
Inscription : 10-04-2017

Re : serveur DNS pour filtrer ou pas ?

raleur a écrit :

LaFouine a écrit :

Pour la notation ipv6 va donc le post A à un post B (pas sur la même machine) pour y mettre une configuration à la main ben bon courage sachant que l'ipv6 monte a 32 caractère même si c est souvent moins que cela.


On a inventé les noms d'hôtes pour éviter de devoir se rappeler et taper des adresses IP.






Merci pour ta réponse, je vais plutôt acheter de la doc en espérant trouver un livre orienter sur le sujet:)


Debian strech, 2 x nvidia 980 gtx sli, cm asurock 16 gb ram

Hors ligne

#11 02-11-2018 15:53:18

raleur
Membre
Inscription : 03-10-2014

Re : serveur DNS pour filtrer ou pas ?

Pas besoin d'acheter quoi que ce soit, la documentation abonde sur le web.

En ligne

#12 03-11-2018 07:40:47

LaFouine
Membre
Distrib. : Debian testing strech
Noyau : 4.9.0-2-amd64
(G)UI : Xfce
Inscription : 10-04-2017

Re : serveur DNS pour filtrer ou pas ?

Oui cela abonde mai bon c est pas aussi pratique qu'un bon livre, en plus c est pénible car il faut filtrer les information par exemple si elle sont a jour, quand elle ne sont pas incomplète etc.

Debian strech, 2 x nvidia 980 gtx sli, cm asurock 16 gb ram

Hors ligne

Pied de page des forums