logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 05-05-2018 10:29:43

d33p
Membre
Lieu : Cantal
Distrib. : Debian bookworm 64bits
Noyau : Linux 5.16.0-5-amd64
(G)UI : GNOME
Inscription : 01-12-2015

Servers DNS

Hello,

J'ai changé, je suis passé des DNS google à QUAD9.
https://www.quad9.net/
Est-ce bien, pas bien ....

A voir...

Un petit débat?

merci.

JC

Dernière modification par d33p (28-05-2018 15:12:44)


science sans conscience n'est que ruine de l'âme...

Hors ligne

#2 05-05-2018 10:48:08

d33p
Membre
Lieu : Cantal
Distrib. : Debian bookworm 64bits
Noyau : Linux 5.16.0-5-amd64
(G)UI : GNOME
Inscription : 01-12-2015

Re : Servers DNS

poste d'origine modifié.

Dernière modification par d33p (05-05-2018 10:59:11)


science sans conscience n'est que ruine de l'âme...

Hors ligne

#3 28-05-2018 15:12:05

d33p
Membre
Lieu : Cantal
Distrib. : Debian bookworm 64bits
Noyau : Linux 5.16.0-5-amd64
(G)UI : GNOME
Inscription : 01-12-2015

Re : Servers DNS

hello,

est-il interessant de passer directement par les root server DNS ?
http://www.root-servers.org/
https://fr.wikipedia.org/wiki/Serveur_racine_du_DNS

quelqu'un a testé?

sinon derriere le dns google, il semble y avoir ceci:
https://fr.wikipedia.org/wiki/Defense_I … ems_Agency
à confirmer/checker.

server root qui semble correct, niveau ethique
https://www.isc.org/f-root/

JC

science sans conscience n'est que ruine de l'âme...

Hors ligne

#4 28-05-2018 15:25:07

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : Servers DNS

Moi j'utilise le DNS de FDN depui un bon moment - https://www.fdn.fr/actions/dns/
FDN, pour un poil soyeux et luisant.

Ça faisait nettement moins tâche que d'utiliser celui de Google. C'était l'époque où les sites de torrent et quelques autres étaient bloqué via la plupart des DNS d'opérateur français. ...Je crois même que ça continue, mais je suis plus au courant, pour le coup. De fait.

Dernière modification par otyugh (28-05-2018 15:29:09)


virtue_signaling.pngpalestine.png

En ligne

#5 28-05-2018 15:30:03

anonyme
Invité

Re : Servers DNS

Bonjour
moi j'utilise celui d'Orange avec un poil terne hmm
avec un petit DNS local mais au final la résolution se fait sur celui d'Orange .

#6 28-05-2018 15:37:47

raleur
Membre
Inscription : 03-10-2014

Re : Servers DNS

d33p a écrit :

est-il interessant de passer directement par les root server DNS ?


Les serveurs DNS raciness ne sont pas récursifs. Ils ne renseignent que sur le contenu de la zone racine, et pas sur le contenu des différents TLD (com, net, org, fr...) ni leurs sous-domaines.
On ne peut donc pas les déclarer dans /etc/resolv.conf pour le résolveur local. On ne les utilise qu'à travers un serveur DNS récursif (bind9, unbound...) qui va également interroger les serveurs DNS des TLD, ceux de leurs sous-domaines...


Il vaut mieux montrer que raconter.

Hors ligne

#7 28-05-2018 17:44:13

d33p
Membre
Lieu : Cantal
Distrib. : Debian bookworm 64bits
Noyau : Linux 5.16.0-5-amd64
(G)UI : GNOME
Inscription : 01-12-2015

Re : Servers DNS

hello,

merci pour vos participations.

ah ouais raleur, j'avais vu ceci au boulot, en surface, je commançais à vouloir faire les tests ce soir, tu as raison.

c'est delicat leur histoires de DNS là, on sait pas trop chez qui on peut être tranquille, je veux dire pas de sniffe de profil à but commercial ou que sais-je encore...

JC

science sans conscience n'est que ruine de l'âme...

Hors ligne

#8 28-05-2018 17:47:51

d33p
Membre
Lieu : Cantal
Distrib. : Debian bookworm 64bits
Noyau : Linux 5.16.0-5-amd64
(G)UI : GNOME
Inscription : 01-12-2015

Re : Servers DNS

EDNS compliance Tester:

http://ednscomp.isc.org/ednscomp

Bon après faut savoir/pouvoir interpreter tongue

science sans conscience n'est que ruine de l'âme...

Hors ligne

#9 28-05-2018 17:50:20

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : Servers DNS

d33p a écrit :

on sait pas trop chez qui on peut être tranquille, je veux dire pas de sniffe de profil à but commercial ou que sais-je encore...


Tu sous-entends qu'un FDN cacherai son jeu ? Mhm. yikes


virtue_signaling.pngpalestine.png

En ligne

#10 28-05-2018 17:55:25

d33p
Membre
Lieu : Cantal
Distrib. : Debian bookworm 64bits
Noyau : Linux 5.16.0-5-amd64
(G)UI : GNOME
Inscription : 01-12-2015

Re : Servers DNS

orange:

EDNS Compliance Tester
Checking: 'orange.fr' as at 2018-05-28T16:47:19Z

orange.fr @80.10.201.224 (ns1.orange.fr.): edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok docookie=ok edns@512tcp=ok optlist=ok
orange.fr @2a01:cb04:2040:2::1 (ns1.orange.fr.): edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok docookie=ok edns@512tcp=timeout optlist=ok

orange.fr @80.10.202.224 (ns2.orange.fr.): edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok docookie=ok edns@512tcp=ok optlist=ok
orange.fr @2a01:cb14:2040::1 (ns2.orange.fr.): edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok docookie=ok edns@512tcp=timeout optlist=ok
The Following Tests Failed

Warning: test failures may indicate that some DNS clients cannot resolve the zone or will get a unintended answer or resolution will be slower than necessary.

Warning: failure to address issues identified here may make future DNS extensions that you want to use ineffective. In particular echoing back unknown EDNS options and unknown EDNS flags will break future signaling between DNS client and DNS server. We already have examples of this were you cannot depend on the AD flag bit meaning anything in replies because too many DNS servers just echo it back. Similarly the EDNS Client Subnet (ECS) option cannot just be sent to everyone in part because of servers just echoing it back.

    EDNS - over TCP Response (edns@512tcp)

    dig +vc +nocookie +norec +noad +edns +dnssec +bufsize=512 dnskey zone @server
    expect: NOERROR
    expect: OPT record with version set to 0
    See RFC5966 and See RFC6891

Codes

    ok - test passed.
    timeout - lookup timed out.
 



quad9:

EDNS Compliance Tester
Checking: 'quad9.net' as at 2018-05-28T16:49:26Z

quad9.net @204.61.216.4 (anyns.pch.net.): edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok docookie=ok edns@512tcp=ok optlist=nsid ("3.pao.pch")
quad9.net @2001:500:14:6004:ad::1 (anyns.pch.net.): edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok docookie=ok edns@512tcp=ok optlist=nsid ("7.pao.pch")

quad9.net @204.42.254.5 (ns2.pch.net.): edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok docookie=ok edns@512tcp=ok optlist=ok
quad9.net @2001:418:3f4::5 (ns2.pch.net.): edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok docookie=ok edns@512tcp=ok optlist=ok

quad9.net @206.220.231.3 (ns3.pch.net.): edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok docookie=ok edns@512tcp=ok optlist=ok
quad9.net @2620:0:872::231:3 (ns3.pch.net.): edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok docookie=ok edns@512tcp=ok optlist=ok
All Ok
Codes

    ok - test passed.
    nsid - NSID supported [RFC5001].
 



test google:

EDNS Compliance Tester
Checking: 'google.com' as at 2018-05-28T16:49:58Z

google.com @216.239.32.10 (ns1.google.com.): edns=noopt edns1=status,noopt,soa edns@512=noopt ednsopt=noopt edns1opt=status,noopt,soa do=noopt ednsflags=noopt docookie=noopt edns@512tcp=noopt optlist=subnet
google.com @2001:4860:4802:32::a (ns1.google.com.): edns=noopt,ipv6 edns1=status,noopt,soa edns@512=noopt ednsopt=noopt edns1opt=status,noopt,soa do=noopt ednsflags=noopt docookie=noopt edns@512tcp=noopt optlist=subnet

google.com @216.239.34.10 (ns2.google.com.): edns=noopt edns1=status,noopt,soa edns@512=noopt ednsopt=noopt edns1opt=status,noopt,soa do=noopt ednsflags=noopt docookie=noopt edns@512tcp=noopt optlist=subnet
google.com @2001:4860:4802:34::a (ns2.google.com.): edns=noopt,ipv6 edns1=status,noopt,soa edns@512=noopt ednsopt=noopt edns1opt=status,noopt,soa do=noopt ednsflags=noopt docookie=noopt edns@512tcp=noopt optlist=subnet

google.com @216.239.36.10 (ns3.google.com.): edns=noopt edns1=status,noopt,soa edns@512=noopt ednsopt=noopt edns1opt=status,noopt,soa do=noopt ednsflags=noopt docookie=noopt edns@512tcp=noopt optlist=subnet
google.com @2001:4860:4802:36::a (ns3.google.com.): edns=noopt,ipv6 edns1=status,noopt,soa edns@512=noopt ednsopt=noopt edns1opt=status,noopt,soa do=noopt ednsflags=noopt docookie=noopt edns@512tcp=noopt optlist=subnet

google.com @216.239.38.10 (ns4.google.com.): edns=noopt edns1=status,noopt,soa edns@512=noopt ednsopt=noopt edns1opt=status,noopt,soa do=noopt ednsflags=noopt docookie=noopt edns@512tcp=noopt optlist=subnet
google.com @2001:4860:4802:38::a (ns4.google.com.): edns=noopt,ipv6 edns1=status,noopt,soa edns@512=noopt ednsopt=noopt edns1opt=status,noopt,soa do=noopt ednsflags=noopt docookie=noopt edns@512tcp=noopt optlist=subnet
The Following Tests Failed

Warning: test failures may indicate that some DNS clients cannot resolve the zone or will get a unintended answer or resolution will be slower than necessary.

Warning: failure to address issues identified here may make future DNS extensions that you want to use ineffective. In particular echoing back unknown EDNS options and unknown EDNS flags will break future signaling between DNS client and DNS server. We already have examples of this were you cannot depend on the AD flag bit meaning anything in replies because too many DNS servers just echo it back. Similarly the EDNS Client Subnet (ECS) option cannot just be sent to everyone in part because of servers just echoing it back.

    Plain EDNS (edns)

    This is the style of the initial query that BIND 9.0.x sends.

    dig +nocookie +norec +noad +edns=0 soa zone @server
    expect: SOA
    expect: NOERROR
    expect: OPT record with version set to 0
    expect: EDNS over IPv6
    See RFC6891
    EDNS - Unknown Version Handling (edns1)

    dig +nocookie +norec +noad +edns=1 +noednsneg soa zone @server
    expect: BADVERS
    expect: OPT record with version set to 0
    expect: not to see SOA
    See RFC6891, 6.1.3. OPT Record TTL Field Use
    EDNS - Truncated Response (edns@512)

    dig +nocookie +norec +noad +dnssec +bufsize=512 +ignore dnskey zone @server
    expect: NOERROR
    expect: OPT record with version set to 0
    expect: UDP DNS message size to be less than or equal to 512 bytes
    See RFC6891, 7. Transport Considerations
    EDNS - Unknown Option Handling (ednsopt)

    dig +nocookie +norec +noad +ednsopt=100 soa zone @server
    expect: SOA
    expect: NOERROR
    expect: OPT record with version set to 0
    expect: that the option will not be present in response
    See RFC6891, 6.1.2 Wire Format
    EDNS - Unknown Version with Unknown Option Handling (edns1opt)

    dig +nocookie +norec +noad +edns=1 +noednsneg +ednsopt=100 soa zone @server
    expect: BADVERS
    expect: OPT record with version set to 0
    expect: not to see SOA
    expect: that the option will not be present in response
    See RFC6891
    EDNS - DNSSEC (do)

    This is the style of then initial query that BIND 9.1.0 - BIND 9.10.x sends.

    dig +nocookie +norec +noad +dnssec soa zone @server
    expect: SOA
    expect: NOERROR
    expect: OPT record with version set to 0
    expect: DO flag in response if RRSIG is present in response
    See RFC3225
    EDNS - Unknown Flag Handling (ednsflags)

    dig +nocookie +norec +noad +ednsflags=0x80 soa zone @server
    expect: SOA
    expect: NOERROR
    expect: OPT record with version set to 0
    expect: Z bits to be clear in response
    See RFC6891, 6.1.4 Flags
    EDNS - DNSSEC with DNS COOKIE Option (docookie)

    This is the style of the initial query that BIND 9.11.0 and BIND 9.10.4 Windows onwards send.

    dig +cookie +norec +noad +dnssec soa zone @server
    expect: SOA
    expect: NOERROR
    expect: OPT record with version set to 0
    expect: DO flag in response if RRSIG is present in response
    See RFC3225, RFC6891, and RFC7873.
    EDNS - over TCP Response (edns@512tcp)

    dig +vc +nocookie +norec +noad +edns +dnssec +bufsize=512 dnskey zone @server
    expect: NOERROR
    expect: OPT record with version set to 0
    See RFC5966 and See RFC6891

Codes

    ok - test passed.
    subnet - EDNS Client Subnet supported [RFC7871].
    soa - SOA record found when not expected.
    ipv6 - no EDNS over IPv6 as required by IPv6 node requirements.
    noopt - OPT record not found when expected.
    status - expected rcode status code not found.
 



fdn.fr

EDNS Compliance Tester
Checking: 'fdn.fr' as at 2018-05-28T16:54:58Z

fdn.fr @80.67.169.26 (gchq.fdn.fr.): edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok docookie=ok edns@512tcp=ok optlist=ok
fdn.fr @2001:910:800::26 (gchq.fdn.fr.): edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok docookie=ok edns@512tcp=ok optlist=ok

fdn.fr @80.67.169.25 (nsa.fdn.fr.): edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok docookie=ok edns@512tcp=ok optlist=ok
fdn.fr @2001:910:800::25 (nsa.fdn.fr.): edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok docookie=ok edns@512tcp=ok optlist=ok

fdn.fr @193.51.24.1 (soleil.uvsq.fr.): edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok docookie=ok edns@512tcp=ok optlist=expire
All Ok
Codes

    ok - test passed.
    expire - EDNS EXPIRE supported [RFC7314].
 


science sans conscience n'est que ruine de l'âme...

Hors ligne

#11 28-05-2018 17:56:51

d33p
Membre
Lieu : Cantal
Distrib. : Debian bookworm 64bits
Noyau : Linux 5.16.0-5-amd64
(G)UI : GNOME
Inscription : 01-12-2015

Re : Servers DNS

otyugh a écrit :

d33p a écrit :

on sait pas trop chez qui on peut être tranquille, je veux dire pas de sniffe de profil à but commercial ou que sais-je encore...


Tu sous-entends qu'un FDN cacherai son jeu ? Mhm. yikes



non pas forcement eux, je ne ciblais pas, mais en fait on sait jamais qui est derriere quoi tongue

en plus ils ont l'air de bien s'en sortir sur le test de compliance tongue


science sans conscience n'est que ruine de l'âme...

Hors ligne

#12 28-05-2018 18:08:48

Erutluc
Membre
Inscription : 25-12-2017

Re : Servers DNS

Salut. Le protocole DNS ne chiffre pas les requêtes entre le client et le serveurs DNS.

Hors ligne

#13 28-05-2018 18:30:34

tophechris94
Membre
Lieu : val de marne ( 94)
Distrib. : debian unstable
Noyau : 5.10.0-8-686-pae
(G)UI : openbox
Inscription : 08-07-2016
Site Web

Re : Servers DNS

Salut a tous , il y a aussi maradns comme serveur dns => http://maradns.samiam.org/

sparkylinux-ver-fluxbox-icewm=> https://mega.nz/file/jJ8hiJBD#rhy5o3GzC … RFSeokkwFo
je viens en paix , pas taper sur la tete .

Hors ligne

#14 28-05-2018 19:17:07

d33p
Membre
Lieu : Cantal
Distrib. : Debian bookworm 64bits
Noyau : Linux 5.16.0-5-amd64
(G)UI : GNOME
Inscription : 01-12-2015

Re : Servers DNS

hello,
merci pour l'info tophechris.
Erutluc, yes, mais des outils comme ceci existent:
https://dnscrypt.info/
j'ai pas encore testé _:P

JC

science sans conscience n'est que ruine de l'âme...

Hors ligne

#15 28-05-2018 22:15:30

raleur
Membre
Inscription : 03-10-2014

Re : Servers DNS

d33p a écrit :

EDNS compliance Tester:


Qu'attends-tu de ce test ? Un rapport avec

d33p a écrit :

pas de sniffe de profil à but commercial ou que sais-je encore


?


Il vaut mieux montrer que raconter.

Hors ligne

#16 29-05-2018 05:43:07

d33p
Membre
Lieu : Cantal
Distrib. : Debian bookworm 64bits
Noyau : Linux 5.16.0-5-amd64
(G)UI : GNOME
Inscription : 01-12-2015

Re : Servers DNS

hello,

pour le test, ça peut servir à quelqu'un qui saurait interpreter.

je ne comprends pas bien le concept du soa : " soa - SOA record found when not expected." (ds le test google)

raleur, aucun lien/rapport entre les deux, je n'ai pas dit ceci...

JC

Dernière modification par d33p (29-05-2018 05:46:37)


science sans conscience n'est que ruine de l'âme...

Hors ligne

Pied de page des forums