Le blog de Dju - Mot-clé - dnsUn peu de moto, un zeste de geek, et un brin d'autres trucs ;-)2024-03-22T17:50:26+01:00Djuurn:md5:5e61426dd704534f4aef077f5b82260bDotclearLe nouveau TLD non officiel "42"urn:md5:8afa84fabcd349e679d0a1bbe85235012010-12-20T20:00:00+01:002010-12-20T23:13:14+01:00DjuInternet4242registrydnstld<p><img src="https://blog.crifo.org/public/201012/.42big_t.jpg" alt="42registery" style="float:left; margin: 0 1em 1em 0;" title="42registery, déc. 2010" />
<a href="http://42registry.org">42registry.org</a> est une association loi 1901 qui propose non officiellement un nouveau TLD (Top Level domain) DNS: la zone "42".<br />
Ce nouveau domaine vise surtout le monde libre, tout en n'étant pas attaché officiellement à l'ICANN.</p> <p><br />
Afin d'en savoir plus sur la philosophie de la zone 42, voici un petit extrait :</p>
<hr />
<p><em>Nous tenons à réunir sous le TLD .42 non seulement les libristes, mais plus globalement tout ce qui a trait aux domaines scientifiques, en excluant l'aspect industriel.</em><br />
<em>Projets de recherche, logiciels libres, sites communautaires scientifiques, nouvelles technologies : ce sont les sujets que nous voulons retrouver derrière chaque domaine en .42. L'objectif étant qu'un utilisateur visitant un site muni de ce TLD ait la garantie de trouver un contenu constructif.</em><br />
<em>En somme, le .42 est avant tout un signe de reconnaissance pour les oeuvres, les communautés, les projets axés sur les nouvelles technologies, le progrès en général. Mis en place et maintenu bénévolement, il permettra de réunir une communauté que nous jugeons nécessaire de préserver et développer.</em></p>
<hr />
<p>et pour l'intégrale, allez voir <a href="http://www.42registry.org/">les FAQ officielles</a></p>
<p>Si vous le souhaitez, vous pouvez dès maintenant vous inscrire afin d'avoir votre propre nom de domaine (gratuit) en .42, ainsi qu'effectuez une donnation pour soutenir le projet.</p>
<p>Maintenant, afin de pouvoir résoudre les noms de domaines en .42, il vous faudra :<br />
1 - soit avoir votre propre DNS dans lequel vous rajouterez une zone pour le TLD 42<br />
2 - soit utiliser un serveur DNS capable de résoudre les noms de domaine en .42</p>
<p>Si vous avez un serveur Bind, ajouter dans votre fichier named.conf les lignes suivantes :</p>
<blockquote><p>zone "42" IN {<br />
type forward;<br />
forwarders { 91.191.147.246; 91.191.147.243; 81.93.248.69; 81.93.248.68; };<br />
};</p></blockquote>
<p>Si vous avez un Unbound, ajoutez cela :</p>
<blockquote><p>stub-zone:<br />
name: "42"<br />
stub-addr: 91.191.147.246<br />
stub-addr: 91.191.147.243<br />
domain-insecure: "42"</p></blockquote>
<p>pour JDB :<br /></p>
<blockquote><p>cd /services/dnscache<br />
echo 91.191.147.246 > root/servers/42<br />
echo 91.191.147.243 >> root/servers/42<br />
svc -t /services/dnscache</p></blockquote>
<p>pour PowerDNS :<br /></p>
<blockquote><p>echo "forward-zones=42=91.191.147.246;91.191.147.243" >> /etc/powerdns/recursor.conf</p></blockquote>
<p><br /></p>
<p>SI vous n'avez pas de serveur dns et souhaitez tout de même résoudre les NDD en .42, vous pouvez utiliser les DNS de <a href="http://www.geeknode.org/">Geeknode</a> :</p>
<blockquote><p>DNS Primaire : 81.93.248.69<br />
DNS Secondaire : 81.93.248.68<br />
DNS Terciaire : 91.194.60.196</p></blockquote>
<p>Enfin, sachez que sous windows, vous ne pourrez pas par défaut résoudre un TLD uniquement numérique. Il convient pour cela de faire un petit réglage.<br />
Vous pouvez soit <a href="http://support.microsoft.com/kb/947228">télécharger le patch officiel de microsoft</a>, soit procéder à la main comme suit :<br /></p>
<blockquote><p>Cliquez dur "Démarrer", puis dans "Exécuter" (sous Windows XP) ou dans "Rechercher" (Windows Vista/7), tapez regedit<br />
Recherchez et cliquez sur la sous-clé de Registre suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters<br />
Dans le menu Edition, pointez sur Nouveau et cliquez sur Valeur DWORD.<br />
Tapez ScreenBadTlds et appuyez sur ENTREE.<br />
Cliquez avec le bouton droit sur ScreenBadTlds, puis cliquez sur Modifier<br />
Dans la zone données de la valeur, tapez 0 et cliquez sur OK.<br />
Quittez l'éditeur du Register<br />
Redémarrez votre machine (au besoin)</p></blockquote>
<p>Enfin, il ya deja pas mal de domaines en .42 enregistrés.<br />
par exemple: <a href="http://wikileaks.42">wikileaks.42</a> :D<br />
Et bientôt, crifo.42 devrait voir le jour...</p>
<p>EDIT: voila. le domaine crifo.42 existe désormais ! ce blog est donc également accessible via l'adresse <a href="http://blog.crifo.42">blog.crifo.42</a>.<br />
De même, mes 2 serveurs NTP sont accessibles à l'adresse <a href="http://ntp.crifo.42/">ntp.crifo.42</a> et <a href="http://ntp2.crifo.42">ntp2.crifo.42</a><br />
enjoy <img src="/themes/BlueSky/smilies/smile.gif" alt=":)" class="smiley" /></p>
<p>EDIT2: pour ceux qui ont une serveur web nginx, et qui se demandent tout comme moi comment avoir une page index différente suivant le nom de domaine, pour un meme vhost. voici comment faire</p>
<p>1/ copier votre page, normalement index.html vers 2 fichiers: index.org.html et index.42.html:</p>
<p>2/ editer votre config nginx :</p>
<pre>
server {
server name monsite.org www.monsite.org monsite.42 www.monsite.42;
root /var/www/monsite;
if ($host ~"monsite.org") {
set $page_index "org";
}
if ($host ~"monsite.42") {
set $page_index "42";
}
index index.$page_index.html;
}
</pre>
<p>on définit donc une variable $page_index, dans laquelle ont mettra 42 ou org, suivant le hostname.<br />
Puis on l'appelle avec index.$index_page.html</p>
<p>Votre site est donc disponible avec sous sans les www, et avec une page index différente suivant que le site soit en .org ou .42.<br />
Exemple: <a href="http://crifo.org">crifo.org</a> et <a href="http://crifo.42">crifo.42</a></p>
<p>un petit <strong>/etc/init.g/nginx reload</strong> et ça roule <img src="/themes/BlueSky/smilies/smile.gif" alt=":)" class="smiley" /></p>https://blog.crifo.org/post/2010/12/20/Le-nouveau-TLD-non-officiel-42#comment-formhttps://blog.crifo.org/feed/atom/comments/78Norton DNS: des serveurs dns publics sécurisant votre connexionurn:md5:f08773eb246abb978c38f76c18ee37912010-06-18T20:40:00+02:002010-06-18T20:40:00+02:00DjuInternetdnsgooglenortonopendnssécurité<p><img src="https://blog.crifo.org/public/200911/.http_t.jpg" alt="http" style="float:left; margin: 0 1em 1em 0;" title="http, nov. 2009" />
Depuis peu, Norton a sorti son service de DNS public, nommé simplement <a href="http://www.nortondns.com/">Norton DNS</a><br />
Ca semble être la mode en ce moment... après opendns et google, voici norton :p <br />
Voyons un peu plus en détail le fonctionnement, ainsi que ses avantages et inconvénients</p> <p>Norton DNS se veut un service de DNS censé aider à sécuriser vos ordinateurs.<br />
Pour ce faire, Norton dispose d'une liste noire dans laquelle sont inscrits tous les noms de domaine associés à des virus autres choses néfastes pour une machine<br />
Ainsi, lorsque depuis votre navigateur, vous tenterez de vous connecter sur un site malveillant, vous serez redirigé chez norton vous indiquant que le dit site est bloqué. De même si votre ordinteur est infecté par un virus, cherchant à se connecter à un serveur pour télécharger des instructions ou autres, il sera bloqué.</p>
<p>Actuellement, le service est public, dont ouvert à tous, et encore en bêta.<br />
Mais Dan Nadir, directeur des produits norton, indique que le service restera libre et public une fois la bêta terminée. Par la suite, des fonctionnalités de filtrage seront ajoutées.<br />
Il indique également que leur DNS ne collecteront pas d'informations sur ces requêtes.</p>
<p>Voici la théorie, voyons maintenant la pratique <br /></p>
<p>Afin d'utiliser les DNS de Norton, il faudra renseigner dans vos parametres réseau les 2 serveurs suivant: <strong>198.153.192.1</strong> et <strong>198.153.194.1</strong><br />
( <a href="http://www.nortondns.com/windows.html">procédure pour windows</a> | <a href="http://www.nortondns.com/osx.html">procédure pour Mac OsX</a> )<br />
Pour les unix/linux, renseignez ces 2 ip dans le fichier <strong>/etc/resolv.conf</strong> en mettant à chaque ligne <strong>nameserver ip.du.serveur.dns</strong></p>
<p>Comparons quelques dns publics: <a href="http://www.opendns.com/">OpenDns</a>, <a href="http://code.google.com/intl/fr/speed/public-dns/docs/using.html">Google</a> et <a href="http://www.nortondns.com/">Norton</a></p>
<p><ins>Test de rapidité :</ins></p>
<p>commande: dig free.fr a @serveur_dns<br />
Cette commande est faite une dizaine de fois pour estimer une moyenne.</p>
<p>- OpenDNS: 10 ms<br />
- Google: 11 ms<br />
- Norton: 13ms</p>
<p>ici, norton est un chouya moins rapide que ses 2 concurrents, mais une différence de 2 millisecondes ne se remarquera pas, à moins que vous soyez un spammeur qui essaye d'envoyer 36.000 emails par seconde :D</p>
<p><ins>Test de dns mensonger :</ins></p>
<p>ici on va interroger les serveurs DNS en leur demandant des informations pour un domaine qui n'existe pas.<br />
Le but est de savoir si ils donnent bien la bonne réponse (NXDOMAIN, alias 'domaine inexistant') ou si il nous donnent quand meme une adresse ip</p>
<p>- OpenDNS: menteur, sauf si on est inscrit et qu'on a décoché la bonne case<br />
- Google: non menteur<br />
- Norton: menteur, renvoie automatiquement vers l'IP 198.153.192.3</p>
<p>Ici, on voit que norton ne donne pas un NXDOMAIN mais une ip, sur laquelle on arrive si on est en train de surfer. On a ainsi un message nous indiquant que le site est bloqué :</p>
<p><img src="https://blog.crifo.org/public/201006/.norton_dns_blocked_m.jpg" alt="norton_dns_blocked.jpg" title="norton_dns_blocked.jpg, juin 2010" /></p>
<p>C'est bien quand le dit site est malveillant et bloqué par norton, mais inefficace, voir agaçant quand le domaine n'existe pas...%%
Si on teste le domaine inexistant sur l'enregistrement SOA, nortno ne retourne pas d'IP, mais pas de NXDOMAIN non plus...</p>
<p>Au final, ça va être utile suivant votre usage.<br />
Si vous avez derrière votre routeur un parc d'utilisateur qui surfent partout, mieux vaut les protéger. Ces serveurs DNS vous seront donc utiles.<br />
Si au contraire vous faites un usage intensif ou avancé de votre connexion et comptez beaucoup sur la véracité des dns, alors vous choisirez plutôt opendns</p>https://blog.crifo.org/post/2010/06/18/Norton-DNS-des-serveurs-dns-publics-s%C3%A9curisant-votre-connexion#comment-formhttps://blog.crifo.org/feed/atom/comments/59Google lance ses dns publicsurn:md5:1362df4b5d89a5183bad80eceda0b9c22009-12-06T18:31:00+01:002010-01-06T00:10:27+01:00DjuInternetdnsgooglepublic<p><img src="https://blog.crifo.org/public/200912/google.jpg" alt="google" style="float:left; margin: 0 1em 1em 0;" title="google, déc. 2009" />
Depuis quelque jours, google a officialisé sa nouvelle offre gratuite de dns publics.<br />
Tout comme <a href="http://www.opendns.com">OpenDns</a> (que j'utilise et apprécie <img src="/themes/BlueSky/smilies/smile.gif" alt=":)" class="smiley" /> ), tout le monde peut utiliser les dns de google.<br />
Mais cela a t il un avantage ? Et est ce bien judicieux, au niveau de la vie privée ?<br />
pas sur...</p> <p>Vous vous demandez donc à quoi cela peut servir.... à vous, comme à google <img src="/themes/BlueSky/smilies/wink.gif" alt=";)" class="smiley" /></p>
<p>Tout d'abord, comment ça marche un DNS ?<br />
C'est le serveur qui vous permet de traduire un nom tel que www.google.fr en adresse IP.<br />
Bien entendu, tous les FAI ont des serveurs dns, et permettent à leur client de les utilsier. Sans quoi ils ne pourraient pas surfer.<br />
Mais vous pouvez avoir envie de changer, car les dns de votre FAI sont lents, ou bien parcequ'il mentent.<br />
Typiquement, les DNS de certains FAI vont, lorsque vous demandez de résoudre www.domaine.com, vous indiquer une adresse ip, alors que le nom domaine.com n'existe pas.<br />
Vous vous retrouverez ainsi sur une page de votre fai vous indiquant que le dit domaine n'existe pas, et tout un tas de pub en cadeau.<br />
Pour vous je ne sais pas, mais je ne supporte pas ce genre de manipulation dans le seul but d'afficher de la pub :evil:</p>
<p>Bref, il est peut être interessant de trouver d'autres DNS, tels que OpenDns ou bien maintenant Google.</p>
<p>Les adresses IP des serveurs DNS de google sont <strong>8.8.8.8</strong> et <strong>8.8.4.4</strong><br />
Leur documentation se trouve ici (dans la lanque de shakespeare bien sur <img src="/themes/BlueSky/smilies/wink.gif" alt=";)" class="smiley" /> ) : <a href="http://code.google.com/intl/fr/speed/public-dns/docs/using.html">http://code.google.com/intl/fr/speed/public-dns/docs/using.html</a> et les différentes raisons pour lesquelles les internautes auraient interet à utiliser les dns de google se trouvent la: <a href="http://code.google.com/intl/fr/speed/public-dns/docs/intro.html">http://code.google.com/intl/fr/speed/public-dns/docs/intro.html</a><br /></p>
<p>Cela peut être donc une bonne idée car les dns de google étant relativement rapides, cela peut en effet accelerer (un peu seulement) votre naviguation.
De plus, ces dns indiquent toujours le bon résultat, et ne mentent pas (voire plus haut), et enfin se disent protégés des diverses attaques et autres spoofing que l'on peut infliger à des serveurs dns afin de rediriger les personnes serfant sur le net vers des sites non surs.</p>
<p>Mais il vous faut également savoir qu'en utilisant les dns de google, vous leur permettez de savoir absolument <strong>tous les sites</strong> que vous consultez.<br />
Puisque chaque fois que vous tapez un site dans votre navigateur, votre ordinateur ira demander à google quelle est l'adresse IP du site.<br />
Comme vous le savez également, google aime beaucoup collecter les données des utilisateurs afin de les cibler et de leur afficher une pub susceptible de leur convenir...<br />
Fort heureusement, on peut lire dans la doc google (<a href="http://code.google.com/intl/fr/speed/public-dns/faq.html#privacy">http://code.google.com/intl/fr/speed/public-dns/faq.html#privacy</a>) que la neutralité du net est préservée, et qu'ils ne loggent les données que temporairement, pour 24h maximumu <br />
Par contre, les données de location (permettant de savoir ou vous vous trouvez) sont bel et enregistrées</p>
<p>Bref, à vous de faire voir si vaut le coup, si les dns de votre fai vous conviennent ou pas, et sinon, lesquels utiliser.<br />
Beaucoup se posent ces même questions, tels que <a href="http://www.korben.info/dns-google.html">Korben</a>, ou <a href="http://www.journaldugeek.com/2009/12/04/google-lance-google-public-dns/">le journal du geek</a>et à juste titre !</p>
<p>D'autres comme OpenDns permettent en plus d'avoir certains filtres, alias, statistiques etc... en s'inscrivant gratuitement, ce qui peut être fort interessant <img src="/themes/BlueSky/smilies/wink.gif" alt=";)" class="smiley" /></p>https://blog.crifo.org/post/2009/12/06/Google-lance-ses-dns-publics#comment-formhttps://blog.crifo.org/feed/atom/comments/10Split DNS avec Bindurn:md5:81b5df7d572723a7f0f2994035d5a3cd2009-11-26T21:59:00+01:002010-01-12T00:24:54+01:00DjuServeurbinddnslinuxserveursplitsplit dns<p><img src="https://blog.crifo.org/public/200911/http.png" alt="http" style="float:left; margin: 0 1em 1em 0;" title="http, nov. 2009" /></p>
<p>Voici une petite astuce qui peut être très pratique quand vous gèrez vos DNS avec Bind, le Split DNS</p>
<p>Split DNS ? kézako ? à tes souhaits !</p>
<p>C'est en fait tout simple. Sous ce terme technico-anglo-barbare, se cache une configuration permettant d'avoir des adressages différents suivant la provenance de la requête DNS.<br />
Et voici d'ailleurs un exemple concret, qui est en place sur mon routeur perso, et qui marche à merveille <img src="/themes/BlueSky/smilies/smile.gif" alt=":-)" class="smiley" /></p> <p>Supposons que vous avez un nom de domaine domaine.com, hébergé chez vous<br />
Quand vous tapez domaine.com, d'ou que ce soit, cela vous donne toujours l'adresse IP publique.<br />
Mais vous souhaitez que quand vous êtes chez vous, ça vous donne l'adresse interne de votre serveur web<br />
No problemo !<br />
<br /></p>
<p>dans votre fichier named.conf, vous avez normalement quelques lignes qui décrivent votre zone :</p>
<pre>
zone "domaine.com" {
type master;
file "/etc/bind/db.domaine.com";
};
</pre>
<p>et votre fichier db.domaine.com qui doit ressembler à ceci</p>
<pre>
$TTL 86400
@ IN SOA ns1.domaine.com. root.domaine.com (
2009100101
8H
2H
1W
1D
)
@ IN NS ns1.domaine.com.
@ IN NS ns2.domine.com.
ns1 IN A 1.2.3.4
ns2 IN A 2.3.4.5
@ IN A 1.2.3.4
www IN CNAME domaine.com.
</pre>
<p>Donc de chez vous, vous avez une machine faisant serveur web, dont l'adresse IP interne est (par exemple) 192.168.0.2<br />
Et vous souhaitez que depuis votre ordinateur, www.domaine.com donne 192.168.0.2 plutôt que votre adresse ip publique. Voici comment faire <img src="/themes/BlueSky/smilies/wink.gif" alt=";-)" class="smiley" /></p>
<p><em>1/ Edition du fichier <strong>named.conf</strong></em></p>
<pre>
view "internal" {
match-clients { 127.0.0.1; 192.168.0.0/24; }
recursion yes;
zone "domaine.com" {
type master;
file "/etc/bind/INTERNAL/db.domaine.com";
};
};
view "external" {
match-clients { any; };
recursion no;
zone "domaine.com" {
type master;
file "/etc/bind/EXTERNAL/db.domaine.com";
};
};
</pre>
<p><em>2/ Edition du fichier <strong>INTERNAL/db.domaine.com</strong></em></p>
<pre>
$TTL 86400
@ IN SOA ns1.domaine.com. root.domaine.com (
2009100101
8H
2H
1W
1D
)
@ IN NS ns1.domaine.com.
@ IN NS ns2.domine.com.
ns1 IN A 192.168.0.254
ns2 IN A 192.168.0.253
@ IN A 192.168.0.2
www IN CNAME domaine.com.
nas IN A 192.168.0.10
</pre>
<p>Vous voyez ici que nous avons attribué l'adresse 192.168.0.2 à l'entrée domaine.com, et même défini une entrée supplémentaire "nas.domaine.com", qui ne fonctionnera qu'en interne <img src="/themes/BlueSky/smilies/wink.gif" alt=";-)" class="smiley" /></p>
<p><em>3/ Conclusion </em></p>
<p>Grâce à la commande "view", on sépare les zones suivant la provenance de la requète DNS.<br />
Ainsi, lorsque depuis un poste en interne, en adressage 192.168.0.x, vous demanderez www.domaine.com, bind ira chercher le résultat dans le fichier "INTERNAL/db.domaine.com"<br />
Et de l'exterieur, bind donnera toujours les adresses ip publiques <img src="/themes/BlueSky/smilies/smile.gif" alt=":-)" class="smiley" /><br />
Cela vous permet d'avoir ainsi des entrées DNS personnalisées, accessibles uniquement de l'intérieur de votre réseau local.</p>
<p>sources :<br /></p>
<p><a href="http://www.laboratoire-microsoft.org/articles/win/splitdns/1/">http://www.laboratoire-microsoft.org/articles/win/splitdns/1/</a>
<a href="http://www.bind9.net/manual/bind/9.3.1/Bv9ARM.ch04.html">http://www.bind9.net/manual/bind/9.3.1/Bv9ARM.ch04.html</a>
<a href="http://www.supinfo-projects.com/fr/2005/securite_dns/">http://www.supinfo-projects.com/fr/2005/securite_dns/</a></p>https://blog.crifo.org/post/2009/11/26/Split-DNS-avec-Bind#comment-formhttps://blog.crifo.org/feed/atom/comments/3