Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?
Le 05/01/2012 22:59, Alexandre Archambault a écrit : > Aux dernières nouvelles, la fameuse liste sera établie sous forme d'URL (au > sens http://blogchelou.kikolol.com/repairedupedonazi/pagequiderange.html) > charge ensuite aux opérateurs de se débrouiller pour transcrire ça. Voire https:// comme pour Copwatch je suppose... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?
Le 5 janv. 2012 à 09:48, Spyou a écrit : > Une liste d'IP, oui. Pas forcément évident de remonter aux noms de domaines > permettant > d’accéder aux contenus :) Aux dernières nouvelles, la fameuse liste sera établie sous forme d'URL (au sens http://blogchelou.kikolol.com/repairedupedonazi/pagequiderange.html) charge ensuite aux opérateurs de se débrouiller pour transcrire ça. Sont en effet persuadés Place Beauvau que c'est possible de descendre au niveau de l'URL. La preuve, les Scandinaves (qui comme chacun sait ont les réseaux les plus avancées et pas du tout centralisés) le font très bien. #BackTo1996 -- Alec --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?
Marrant, cela fait plusieurs jours que je pensais poster ce problème sur dns-fr et voilà que quelqu'un signale le problème sur FRNOG... > On Thu, 8 Dec 2011 16:59:30 +0100 (CET), Frédéric GANDER > said: >> Alors là j'ai envie de dire, en quoi le filtrage DNS par l'ISP >> répond à cette problématique ? >> Le mec assez intelligent pour monter un VPN IPSEC est également >> assez intelligent pour se monter un BIND/unbound non ? Frédéric> oui je suis d'accord donc pourquoi il le font pas ? ;) Parce que cela fait du boulot supplémentaire à déployer sur tous les clients, plus le contournement du filtrage de DNS chez certains FAI, etc. Frédéric> sinon l'isp lui il veut éviter que les mecs qui font des Frédéric> javascript et qui par exemple vont prober le serveur http Frédéric> interne de la box / ou de tout autre serveur interne de Frédéric> l'abonnée pour essayer de choper des informations Frédéric> personnelles/transmettre des virus etc. Si la machine de l'utilisateur final en est à ce niveau de déchéance, elle peut tout aussi bien aller taper n'importe où sur Internet. Donc il faut filtrer le reste aussi. :-) Si le but est vraiment d'éviter de renvoyer des adresses locales à l'abonné pour éviter un réel conflit, ce serait bien de se limiter à cette tranche d'adresses réellement utilisées en locale, pas plus. Frédéric> donc en résumer l'isp filtre pour éviter que les abonnés Frédéric> ont des problèmes et les mec qui veulent faire un VPN ils Frédéric> installent un unbound résursif dans le VPN Le problème se complique lorsqu'il y a plusieurs VPN en parallèle, gérés par différentes entités. :-( Bon, on suppose néanmoins que ces diffrents VPN n'utilisent pas les mêmes tranches d'adresses privées... :-) -- Ronan KERYELL |\/ Phone: +1 408 844 4720 Wild Systems / HPC Project, Inc. |/) Cell: +33 613 143 766 5201 Great America Parkway #3241 Kronan.kery...@hpc-project.com Santa Clara, CA 95054 |\ skype:keryell USA| \ http://hpc-project.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?
Le 9 décembre 2011 12:03, Radu-Adrian Feurdean a écrit : > > On Fri, 9 Dec 2011 11:02:44 +0100, "Pascal Rullier" > said: > >> Cependant, lors de traceroute où l'on voit des adresses RFC1918, cela >> peut inciter à mettre dans les dns de telles entrées et reversées en plus... > > ? > > Oui, tu peux mettre ca dans une zone accesible uniquement en interne, > mais j'ai du mal a voir comment tu vas avoir une delegation publique > globalement accessible pour, disons, 10.in-addr.arpa. > > Ah, oups, ca c'etait le troll de vendredi ? Pas réellement, pour la reverse, pique d'humour... Quand je vois à ma grande stupeur, des IP RFC1918 qui trainent dans les routes, je me dis : - soient que les routeurs sont configurés avec les pieds. - soient que l'opérateur veut faire l'économie d'ipv4, possible... - soient pour ne pas atteindre son routeur sur ces adresses là sur le net - soient pour une autre raison qui m'échappe totalement. d'où peut être le besoin d'avoir des resolvers qui sachent résoudre le A en RFC1918 Cdlt, -- PR. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?
On 9 Dec 2011, remibo...@gmail.com wrote: > Puisqu'on en parle, c'est surtout un mésusage: "Cdt" signifie "Commandant", > une > meilleure abréviation de "Cordialement" serait "Cdlt". > > Mes 2 cents. Ça serait bien que ce genre de messages aillent sur [TROLL] ou autre mais pas [TECH]. frnog devient très difficile à lire à cause du rapport signal/troll ou messages inutiles en tous genres, merci de ne pas en rajouter. J'étais à 2 doigts de me désabonner avant qu'on ajoute ce filtrage. Un grand merci à ce sujet. Ici c'est frnog, pas la machine à café. Merci -- Cyril Bouthors - Administration Système, Infogérance ISVTEC SARL, 14 avenue de l'Opéra, 75001 Paris 1 rue Émile Zola, 69002 Lyon Tél : 08 92 16 00 88 - Fax : 01 77 72 57 24 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?
On Fri, 9 Dec 2011 11:02:44 +0100, "Pascal Rullier" said: > Cependant, lors de traceroute où l'on voit des adresses RFC1918, cela > peut inciter à mettre dans les dns de telles entrées et reversées en plus... ? Oui, tu peux mettre ca dans une zone accesible uniquement en interne, mais j'ai du mal a voir comment tu vas avoir une delegation publique globalement accessible pour, disons, 10.in-addr.arpa. Ah, oups, ca c'etait le troll de vendredi ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?
Le 09/12/2011 11:10, MM a écrit : Cdt, Puisqu'on est vendredi, je fais la remarque :) Abréger une formule de politesse ... c'est moyen non ? ;) Puisqu'on en parle, c'est surtout un mésusage: "Cdt" signifie "Commandant", une meilleure abréviation de "Cordialement" serait "Cdlt". Mes 2 cents. Rémi. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?
Bonjour, >> Moralité, publier des adresses ambiguës et/ou inaccessible est en soi >> un problème qui représente une cause à traiter, avant de passer au >> traitement de la conséquence avec les multiples dispositifs aussi >> complexes les uns que les autres :-) >> > > Cependant, lors de traceroute où l'on voit des adresses RFC1918, cela > peut inciter à mettre > dans les dns de telles entrées et reversées en plus... Sauf que dans ce cas, le DNS est censé être dans une zone privée d'entreprise. Et être utilisé par les machines locales - notamment pour éviter que les cache du FAI se tappent des requêtes reverse sur des IP privées ... > Cdt, Puisqu'on est vendredi, je fais la remarque :) Abréger une formule de politesse ... c'est moyen non ? ;) Cordialement, Mathieu --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?
Le 9 décembre 2011 10:51, Mohsen Souissi a écrit : > Curieusement, plein de réponse sur le fait qu'il soit conforme ou pas > aux bonnes pratiques de faire du filtrage DNS sur les RR qui pointent > vers des adresses RFC1918, mais très peu de réponse sur la pratique en > amont : celle de la publication - dans le DNS public - de telles > ressources. > [...] > Moralité, publier des adresses ambiguës et/ou inaccessible est en soi > un problème qui représente une cause à traiter, avant de passer au > traitement de la conséquence avec les multiples dispositifs aussi > complexes les uns que les autres :-) > Cependant, lors de traceroute où l'on voit des adresses RFC1918, cela peut inciter à mettre dans les dns de telles entrées et reversées en plus... Cdt, -- PR --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?
Curieusement, plein de réponse sur le fait qu'il soit conforme ou pas aux bonnes pratiques de faire du filtrage DNS sur les RR qui pointent vers des adresses RFC1918, mais très peu de réponse sur la pratique en amont : celle de la publication - dans le DNS public - de telles ressources. Il y a plus de 9 ans cette dernière pratique avait été identifiée comme source de problèmes, pour en dire le moins. Un draft (très largement expiré, mais que j'exhume ici) y était consacré : https://datatracker.ietf.org/doc/draft-ietf-dnsop-dontpublish-unreachable/ Ce draft n'avait pas débouché sur un RFC (essentiellement manque de volontaires et divergence sur la hiérachisation des arguments entre "unreachable" et "ambiguous" et non par manque d'intérêt pour cette idée). Je le dis donc tout de suite, je n'invoque pas comme RÉFÉRENCE NORMATIVE ! Pour ceux qui sont curieux de savoir les raisons : http://www.ietf.org/mail-archive/web/dnsop/current/msg03010.html Moralité, publier des adresses ambiguës et/ou inaccessible est en soi un problème qui représente une cause à traiter, avant de passer au traitement de la conséquence avec les multiples dispositifs aussi complexes les uns que les autres :-) Mohsen. On 08 Dec, Salim Gasmi wrote: | Bonjour, | | Je viens de tomber sur un truc bizarre. | A ce que je constate, les resolvers de free ne répondent pas a une query | de type A quand la réponse est une ip privée. | | Démonstration en interrogeant le grand 8.8.8.8: | | - | [salim@dedix ~]# dig switch48.sdv.fr. @8.8.8.8 | ; <<>> DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 <<>> switch48.sdv.fr. @8.8.8.8 | ;; global options: printcmd | ;; Got answer: | ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47131 | ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 | | ;; QUESTION SECTION: | ;switch48.sdv.fr.INA | | ;; ANSWER SECTION: | switch48.sdv.fr.86169INA172.20.1.48 | | ;; Query time: 82 msec | ;; SERVER: 8.8.8.8#53(8.8.8.8) | ;; WHEN: Thu Dec 8 16:12:29 2011 | ;; MSG SIZE rcvd: 49 | - | | On voit bien que Google a répondu 172.20.1.48, ce qui est correct. | Posons la même question a dns1.proxad.net: | | - | [salim@dedix ~]# dig switch48.sdv.fr. @dns1.proxad.net | | ; <<>> DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 <<>> switch48.sdv.fr. | @dns1.proxad.net | ;; global options: printcmd | ;; Got answer: | ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41696 | ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 | | ;; QUESTION SECTION: | ;switch48.sdv.fr.INA | | ;; Query time: 9 msec | ;; SERVER: 212.27.40.240#53(212.27.40.240) | ;; WHEN: Thu Dec 8 16:13:53 2011 | ;; MSG SIZE rcvd: 33 | - | | La réponse est vide. | J'ai testé avec plusieurs IP privées dans plusieurs domaines, cela | semble généralisé. | | Question subsidiaire : Combien de RFC ce comportement viole t'il ? | | Cordialement, | | Salim | | -- | Salim Gasmi -- Directeur Technique -- SdV Plurimedia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?
On Thu, 08 Dec 2011 16:49:26 +0100, "Damien Fleuriot" said: > Le mec assez intelligent pour monter un VPN IPSEC est également assez > intelligent pour se monter un BIND/unbound non ? Et tant mieux pour lui. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?
On Thu, 8 Dec 2011 16:47:31 +0100 (CET), "Frédéric GANDER" said: > en gros car les gens font des vpn ipsec over (ou autre) adsl grand > publique, et quand ils veulent pouvoir se connecter via le vpn pour > certain site web et via internet pour d'autre, > on répond une ip privé via dns et sur le routeur tu configure le domaine > d'encryption sur un prefix donné, et pouf dans le tunnel > > par contre niveau secu c'est pas top car en gros des petits malin sur des > sites web mettent des url dans des javascript qui résolvent des ip > privées et tu te retrouves avec des programmes qui probe ton réseau > privé (via ton vpn) > > le problème peut être régler en fournissant un DNS récursif via le vpn Quand tu fais du VPN : - soit tu utilises un/produit/solution qui te file des DNS qui sont derriere le VPN (deja dit) - soit su est assez grand pour utiliser un DNS "qui te va bien" (8.8.x.x, resolver local, .) Mme Michu, si elle se trouve a utiliser un VPN, elle tombe generalement dans la premiere categorie. Ou alors elle risque de ne pas etre capable de monter le tunnel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?
Pour éviter la grosse attaque par DNS rebinding comme déjà dit pas tout le monde ! L'avantage c'est qu'avec les mashups, CORS et autres conneries défonçant la SOP, on arrive à des aberrations ou ce comportement de DNS pinning ou anti-rebinding ne sert à rien sur les DNS FAI ;) http://beufa.net/ping.php http://beufa.net/log.txt Merci CORS et autre dév' anti-SOP à la con ;) Vivement qu'un chercheur qui n'a rien à faire invente l'anti-anti-anti DNS Rebinding ou pinning ;) *Fabien VINCENT* --- Twitter : @beufanet Mail : fab...@beufa.net Mail : fabvinc...@gmail.com --- 2011/12/8 Damien Fleuriot > > > On 12/8/11 4:59 PM, Frédéric GANDER wrote: > > > >> Alors là j'ai envie de dire, en quoi le filtrage DNS par l'ISP répond > >> à > >> cette problématique ? > >> > >> Le mec assez intelligent pour monter un VPN IPSEC est également assez > >> intelligent pour se monter un BIND/unbound non ? > >> > > > > oui je suis d'accord > > donc pourquoi il le font pas ? ;) > > > > sinon l'isp lui il veut éviter que les mecs qui font des javascript et > qui par exemple vont prober le serveur http interne de la box / ou de tout > autre serveur interne de l'abonnée pour essayer de choper des informations > personnelles/transmettre des virus etc. > > > > donc en résumer l'isp filtre pour éviter que les abonnés ont des > problèmes et les mec qui veulent faire un VPN ils installent un unbound > résursif dans le VPN > > > > > > > On est bien d'accords ^^ > > > Mais du coup, pourquoi vous renvoyez une réponse vide, plutôt que je > sais pas, un refused ? > > Ca serait quand même plus parlant :/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?
On 12/8/11 4:59 PM, Frédéric GANDER wrote: > >> Alors là j'ai envie de dire, en quoi le filtrage DNS par l'ISP répond >> à >> cette problématique ? >> >> Le mec assez intelligent pour monter un VPN IPSEC est également assez >> intelligent pour se monter un BIND/unbound non ? >> > > oui je suis d'accord > donc pourquoi il le font pas ? ;) > > sinon l'isp lui il veut éviter que les mecs qui font des javascript et qui > par exemple vont prober le serveur http interne de la box / ou de tout autre > serveur interne de l'abonnée pour essayer de choper des informations > personnelles/transmettre des virus etc. > > donc en résumer l'isp filtre pour éviter que les abonnés ont des problèmes et > les mec qui veulent faire un VPN ils installent un unbound résursif dans le > VPN > > On est bien d'accords ^^ Mais du coup, pourquoi vous renvoyez une réponse vide, plutôt que je sais pas, un refused ? Ca serait quand même plus parlant :/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?
Le 08/12/2011 16:54, MM a écrit : Intelligent, peut être, mais quand tu dois supporter des OS à la con (pas forcément la dernière version, on alors la dernière mais ton client ne marche pas bien, etc ...) où ton client vpn te demande les droits admin pour le faire, ou ça ne remet pas le DNS en place quand la connexion tombe, etc ... ça complexifie la chose :) Ceci était une solution simple - qui a existé (et existe toujours) notamment dans des grands groupes cotés en bourse (peut être qu'on retrouvera leurs bases de données se promener sur le net un de ces 4 ...). Ça ne serait ni les premiers, ni les derniers. Filtrage DNS ou pas. D'ailleurs, si chaque fois qu'un piratage est rendu public, les "victimes" prenaient soin de publier la façon dont ils se sont fait avoir, après correction évidemment, ça permettrait de juger de la relative efficacité des mesures de protection type "le DNS ne donne pas les IP RFC1918". Rémi. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?
> Alors là j'ai envie de dire, en quoi le filtrage DNS par l'ISP répond > à > cette problématique ? > > Le mec assez intelligent pour monter un VPN IPSEC est également assez > intelligent pour se monter un BIND/unbound non ? > oui je suis d'accord donc pourquoi il le font pas ? ;) sinon l'isp lui il veut éviter que les mecs qui font des javascript et qui par exemple vont prober le serveur http interne de la box / ou de tout autre serveur interne de l'abonnée pour essayer de choper des informations personnelles/transmettre des virus etc. donc en résumer l'isp filtre pour éviter que les abonnés ont des problèmes et les mec qui veulent faire un VPN ils installent un unbound résursif dans le VPN > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ -- Frédéric GANDER fgan...@corp.free.fr http://www.free.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?
Hello, > Alors là j'ai envie de dire, en quoi le filtrage DNS par l'ISP répond à > cette problématique ? > > Le mec assez intelligent pour monter un VPN IPSEC est également assez > intelligent pour se monter un BIND/unbound non ? Intelligent, peut être, mais quand tu dois supporter des OS à la con (pas forcément la dernière version, on alors la dernière mais ton client ne marche pas bien, etc ...) où ton client vpn te demande les droits admin pour le faire, ou ça ne remet pas le DNS en place quand la connexion tombe, etc ... ça complexifie la chose :) Ceci était une solution simple - qui a existé (et existe toujours) notamment dans des grands groupes cotés en bourse (peut être qu'on retrouvera leurs bases de données se promener sur le net un de ces 4 ...). Mathieu --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?
On 12/8/11 4:47 PM, Frédéric GANDER wrote: > > - Mail original - > >> De: "Thomas Mangin" >> À: "Salim Gasmi" >> Cc: "Liste FRnoG" >> Envoyé: Jeudi 8 Décembre 2011 16:35:11 >> Objet: Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ? >> >>> J'ai testé avec plusieurs IP privées dans plusieurs domaines, cela >> semble généralisé. >>> Question subsidiaire : Combien de RFC ce comportement viole t'il ? >> >> Autre question subsidiaire : >> - quel est la raison pour ce comportement >> > > en gros car les gens font des vpn ipsec over (ou autre) adsl grand publique, > et quand ils veulent pouvoir se connecter via le vpn pour certain site web et > via internet pour d'autre, > on répond une ip privé via dns et sur le routeur tu configure le domaine > d'encryption sur un prefix donné, et pouf dans le tunnel > > par contre niveau secu c'est pas top car en gros des petits malin sur des > sites web mettent des url dans des javascript qui résolvent des ip privées et > tu te retrouves avec des programmes qui probe ton réseau privé (via ton vpn) > > le problème peut être régler en fournissant un DNS récursif via le vpn > > A+ Alors là j'ai envie de dire, en quoi le filtrage DNS par l'ISP répond à cette problématique ? Le mec assez intelligent pour monter un VPN IPSEC est également assez intelligent pour se monter un BIND/unbound non ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?
On 8 Dec 2011, at 15:45, Stephane Bortzmeyer wrote: > On Thu, Dec 08, 2011 at 03:35:11PM +, > Thomas Mangin wrote > a message of 13 lines which said: > >> - quel est la raison pour ce comportement > > http://www.bortzmeyer.org/dns-rebinding-pinning.html Merci Stephane,. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?
- Mail original - > De: "Thomas Mangin" > À: "Salim Gasmi" > Cc: "Liste FRnoG" > Envoyé: Jeudi 8 Décembre 2011 16:35:11 > Objet: Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ? > > > J'ai testé avec plusieurs IP privées dans plusieurs domaines, cela > semble généralisé. > > Question subsidiaire : Combien de RFC ce comportement viole t'il ? > > Autre question subsidiaire : > - quel est la raison pour ce comportement > en gros car les gens font des vpn ipsec over (ou autre) adsl grand publique, et quand ils veulent pouvoir se connecter via le vpn pour certain site web et via internet pour d'autre, on répond une ip privé via dns et sur le routeur tu configure le domaine d'encryption sur un prefix donné, et pouf dans le tunnel par contre niveau secu c'est pas top car en gros des petits malin sur des sites web mettent des url dans des javascript qui résolvent des ip privées et tu te retrouves avec des programmes qui probe ton réseau privé (via ton vpn) le problème peut être régler en fournissant un DNS récursif via le vpn A+ > Thomas > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ -- Frédéric GANDER fgan...@corp.free.fr http://www.free.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?
Should != must - non ? :) Effectivement, vu du 1918 c'est recommandé ... Mathieu Le 8 déc. 2011 à 16:32, Frédéric GANDER a écrit : > En tout cas il semble pas que ça viole la RFC 1918 : > > Indirect references to such addresses should be contained within the > enterprise. Prominent examples of such references are DNS Resource > Records and other information referring to internal private > addresses. In particular, Internet service providers should take > easures to prevent such leakage. > > A+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?
Bonsoir, Je confirme, je leur avais remonté le problème, c'est à cause des attaques de DNS rebind qu'ils ont mis ceci en place. De la part d'un ISP grand public, ça se discute ... techniquement parlant c'est moyen effectivement (le RFC autorisant les adresses privées) A l'époque, ils avaient 2 resolvers sur 3 qui répondaient "vide" - du coup je m'arrachais les cheveux en pensant que le pb venait d'ailleurs. J'ai eu confirmation que c'était volontaire de leur part, et de leur côté mon contact avait remonté l'info aux admins DNS pour qu'ils mettent à niveau de fonctionnalité le dernier DNS. C'est effectivement pénible dans certains cas ... Du coup j'ai passé les DNS concernés sur les connexions VPN qu'on utilisait pour joindre les serveurs privés - c'est de toute façon plus carré. Autre solution : 8.8.8.8 et 8.8.4.4 :) (ou opendns par exemple) Mathieu --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?
> J'ai testé avec plusieurs IP privées dans plusieurs domaines, cela semble > généralisé. > Question subsidiaire : Combien de RFC ce comportement viole t'il ? Autre question subsidiaire : - quel est la raison pour ce comportement Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?
En tout cas il semble pas que ça viole la RFC 1918 : Indirect references to such addresses should be contained within the enterprise. Prominent examples of such references are DNS Resource Records and other information referring to internal private addresses. In particular, Internet service providers should take easures to prevent such leakage. A+ - Mail original - > De: "Salim Gasmi" > À: "Liste FRnoG" > Envoyé: Jeudi 8 Décembre 2011 16:22:40 > Objet: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ? > > Bonjour, > > Je viens de tomber sur un truc bizarre. > A ce que je constate, les resolvers de free ne répondent pas a une > query > de type A quand la réponse est une ip privée. > > Démonstration en interrogeant le grand 8.8.8.8: > > - > [salim@dedix ~]# dig switch48.sdv.fr. @8.8.8.8 > ; <<>> DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 <<>> switch48.sdv.fr. > @8.8.8.8 > ;; global options: printcmd > ;; Got answer: > ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47131 > ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 > > ;; QUESTION SECTION: > ;switch48.sdv.fr.INA > > ;; ANSWER SECTION: > switch48.sdv.fr.86169INA172.20.1.48 > > ;; Query time: 82 msec > ;; SERVER: 8.8.8.8#53(8.8.8.8) > ;; WHEN: Thu Dec 8 16:12:29 2011 > ;; MSG SIZE rcvd: 49 > - > > On voit bien que Google a répondu 172.20.1.48, ce qui est correct. > Posons la même question a dns1.proxad.net: > > - > [salim@dedix ~]# dig switch48.sdv.fr. @dns1.proxad.net > > ; <<>> DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 <<>> switch48.sdv.fr. > @dns1.proxad.net > ;; global options: printcmd > ;; Got answer: > ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41696 > ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 > > ;; QUESTION SECTION: > ;switch48.sdv.fr.INA > > ;; Query time: 9 msec > ;; SERVER: 212.27.40.240#53(212.27.40.240) > ;; WHEN: Thu Dec 8 16:13:53 2011 > ;; MSG SIZE rcvd: 33 > - > > La réponse est vide. > J'ai testé avec plusieurs IP privées dans plusieurs domaines, cela > semble généralisé. > > Question subsidiaire : Combien de RFC ce comportement viole t'il ? > > Cordialement, > > Salim > > -- > Salim Gasmi -- Directeur Technique -- SdV Plurimedia > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ -- Frédéric GANDER fgan...@corp.free.fr http://www.free.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?
On 08.12.2011 16:22, Salim Gasmi wrote: Question subsidiaire : Combien de RFC ce comportement viole t'il ? la derniere fois, ca bricolait les TTL aussi Salim Raphael --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Free expérimente t'il le filtrage DNS ?
> Je viens de tomber sur un truc bizarre.
> A ce que je constate, les resolvers de free ne répondent pas a une query de
> type A quand la réponse est une ip privée.
Idem chez Orange depuis bien longtemps ("c'est pour vous protéger des méchants
pirates Mme Michu!").
On en a parlé ici-même il y a une quinzaine de jours je crois, l'archive de la
liste est ton amie ...
> Démonstration en interrogeant le grand 8.8.8.8:
>
> -
> [salim@dedix ~]# dig switch48.sdv.fr. @8.8.8.8
> ; <<>> DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 <<>> switch48.sdv.fr. @8.8.8.8
> ;; global options: printcmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47131
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
>
> ;; QUESTION SECTION:
> ;switch48.sdv.fr.INA
>
> ;; ANSWER SECTION:
> switch48.sdv.fr.86169INA172.20.1.48
>
> ;; Query time: 82 msec
> ;; SERVER: 8.8.8.8#53(8.8.8.8)
> ;; WHEN: Thu Dec 8 16:12:29 2011
> ;; MSG SIZE rcvd: 49
> -
>
> On voit bien que Google a répondu 172.20.1.48, ce qui est correct.
> Posons la même question a dns1.proxad.net:
>
> -
> [salim@dedix ~]# dig switch48.sdv.fr. @dns1.proxad.net
>
> ; <<>> DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 <<>> switch48.sdv.fr.
> @dns1.proxad.net
> ;; global options: printcmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41696
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
>
> ;; QUESTION SECTION:
> ;switch48.sdv.fr.INA
>
> ;; Query time: 9 msec
> ;; SERVER: 212.27.40.240#53(212.27.40.240)
> ;; WHEN: Thu Dec 8 16:13:53 2011
> ;; MSG SIZE rcvd: 33
> -
>
> La réponse est vide.
> J'ai testé avec plusieurs IP privées dans plusieurs domaines, cela semble
> généralisé.
>
> Question subsidiaire : Combien de RFC ce comportement viole t'il ?
Cordialement,
--
Pierre-Yves
---
Liste de diffusion du FRnOG
http://www.frnog.org/
