Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?

Thu, 08 Dec 2011 07:29:00 -0800 

> Je viens de tomber sur un truc bizarre.
> A ce que je constate, les resolvers de free ne répondent pas a une query de 
> type A quand la réponse est une ip privée.

Idem chez Orange depuis bien longtemps ("c'est pour vous protéger des méchants 
pirates Mme Michu!").
On en a parlé ici-même il y a une quinzaine de jours je crois, l'archive de la 
liste est ton amie ...

> Démonstration en interrogeant le grand 8.8.8.8:
> 
> -----------------------------------------------------------------
> [salim@dedix ~]# dig switch48.sdv.fr. @8.8.8.8
> ; <<>> DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 <<>> switch48.sdv.fr. @8.8.8.8
> ;; global options:  printcmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47131
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
> 
> ;; QUESTION SECTION:
> ;switch48.sdv.fr.        IN    A
> 
> ;; ANSWER SECTION:
> switch48.sdv.fr.    86169    IN    A    172.20.1.48
> 
> ;; Query time: 82 msec
> ;; SERVER: 8.8.8.8#53(8.8.8.8)
> ;; WHEN: Thu Dec  8 16:12:29 2011
> ;; MSG SIZE  rcvd: 49
> -----------------------------------------------------------------
> 
> On voit bien que Google a répondu 172.20.1.48, ce qui est correct.
> Posons la même question a dns1.proxad.net:
> 
> -----------------------------------------------------------------
> [salim@dedix ~]# dig switch48.sdv.fr. @dns1.proxad.net
> 
> ; <<>> DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 <<>> switch48.sdv.fr. 
> @dns1.proxad.net
> ;; global options:  printcmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41696
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
> 
> ;; QUESTION SECTION:
> ;switch48.sdv.fr.        IN    A
> 
> ;; Query time: 9 msec
> ;; SERVER: 212.27.40.240#53(212.27.40.240)
> ;; WHEN: Thu Dec  8 16:13:53 2011
> ;; MSG SIZE  rcvd: 33
> -----------------------------------------------------------------
> 
> La réponse est vide.
> J'ai testé avec plusieurs IP privées dans plusieurs domaines, cela semble 
> généralisé.
> 
> Question subsidiaire : Combien de RFC ce comportement viole t'il ?

Cordialement,

--
Pierre-Yves


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à