Un "nouveau" serveur DNS anonyme

Bonsoir à tous,

Je découvre à l’instant l’existence de FreeNom, un serveur DNS qui se revendique anonyme et respectueux. Vous le connaissiez déjà ? Quid de sa réputation, et de la réalité de son service ?

Ça ne répond pas à ta question, mais si c’est pour un usage personnel, pourquoi pas configurer ton propre serveur DNS dans un container?

Pourquoi dans un conteneur ? Sur Linuxfr il y a eu un journal et un sondage justement sur les DNS.
Pour Freenom je viens de le découvrir aussi, il font aussi les nom de domaine de premier niveau en .tk, .ga, .ml, … gratuitement.
Je ne sais pas vraiment si on peu leur faire confiance pour l’anonymisation, mais pour rendre service ça peut le faire.

Free a aussi eu des problème de DNS dernièrement …

Pour ma part j’ai installé BIND comme cache local, et je tape chez OpenNIC pour remplir mon cache. Je n’ai jamais vraiment pris le temps de regarder comment monter un résolveur à la maison :slight_smile:.

Je pensais à Bind9, et il est préconisé de le chroot-er au vu des problèmes de sécurite de par le passé… Chez moi je l’ai containerisé avec systemd-nspawn, ça fait très bien le travail, et je sais que toutes mes requetes passent par ce serveur DNS directement aux serveurs root DNS, et ce quel que soit l’endroit d’où je me connecte (c’est un laptop).

le tout pour le prix d’un debootstrap de Debian dans un dossier, l’installation de Bind9 et qq trucs accessoires (environ 500Mo).

Moi, j’utilise unbound, c’est un resolveur récursif qui gère DNSSEC. Et pour le cache, je met un dnsmasq devant qui me sert aussi de serveur DHCP et netboot.

En quoi est-il “anonyme” ?
Respectueux de quoi ? Des standards, de la neutralité du réseau… ?

Pas vraiment. Les serveurs racines ne connaissent que les noms et adresses des serveurs DNS de la racine et des domaines de premier niveau (TLD) comme fr, com, org… Le DNS est hiérarchique non seulement dans sa structure de données mais aussi dans sa structure “physique”.

1 J'aime

On est d’accord :slight_smile:. D’où mes questions. Parce que leur site vitrine ne nous en apprend pas beaucoup sur les points qui importent vraiment.

Bon, la FAQ du site répond à ces questions.

  • l’adresse IP source des requêtes n’est pas enregistrée dans les logs ;
  • pas de filtrage ni modification des requêtes ni des réponses.

Qu’en est-il de la réalité, je n’en sais rien.

Oui c’est vrai tu as raison encore une fois, j’ai simplifié encore une fois ce que je voulais dire mais tu dois avoir l’habitude maintenant avec moi (ou peut-être pas :joy: ).

Ce que je voulais dire c’est que, d’après ce que j’ai compris (et si j’ai bien compris, enfin je pense avoir bien compris), BIND “interroge directement” les serveurs root (A,B,C…) puis la requête se poursuit recursivement de sous-domaine en sous-domaine jusqu’à atteindre la cible de l’adresse complète…
Le fait d’avoir donc son propre serveur DNS évite donc de tomber dans les méandres d’aller consulter les serveurs cache de nos FAI qui peuvent contenir des DNS menteurs, ou être sujet à la censure internet dans certains pays par exemple…? Pareil pour les logs, rien ne devrait rester chez qui que ce soit en dehors de la chaîne recursive à partir des serveurs root?

Si je me trompe qq part, sens toi libre de corriger comme d’hab… :smiley:

1 J'aime

ciao @Almtesh :wink: AngeL de PG !? ^^ !oL

Hein ?

Heu… rien :s @Almtesh :wink:

Certains FAI ont trouvé la parade : ils interceptent les requêtes DNS et les redirigent vers leurs propres serveurs. Il paraît que ça se fait chez les opérateurs mobiles.

Oui, à toi de décider chez qui tu préfères laisser des traces.

Si je comprends bien, même si t’as ton propre serveur qui est censé communiquer directement avec les serveurs root d’abord selon la hiérarchie que j’ai évoqué ci-dessus, certains FAI peuvent detourner cette requête à la sortie de la box vers leurs serveurs?
Si oui comment peut-on vérifier si c’est le cas? A l’aide de traceroute?

Si on passe par son propre serveur DNS bind, dans ce cas reste t-il des logs au niveau des serveurs root (et de la chaîne récursive en aval), à condition que l’hypothèse ci-dessus soit invalidée…?

Sinon finalement, sachant que certains des serveurs root appartenaient (ou appartiennent toujours? ) à des agences gouvernementales américaines (NASA, departement de la Defense, departement de la recherche militaire, …) est-ce que ce n’est pas simplement déplacer le problème d’un endroit à un autre, car j’imagine qu’ils ne sont pas innocents non plus en matière d’espionnage et de filtrage (enfin on connait la nature portée des services américains là-dessus…)?