Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.
On dimanche 20 novembre 2016 19:12:53 CET Michel Py - michel@arneill- py.sacramento.ca.us wrote: > > Emmanuel Bourguin a écrit : > Force est de reconaitre qu'au fil des ans, je n'ai pas vu de DNS de FAI qui > n'aie pas eu de problème un jour ou l'autre, alors que 8.8.8.8 > historiquement a toujours marché pour moi; j'ai récemment changé > d'employeur et découver que mon prédécesseur utilise pour les besoins de > 'entreprise8.8.8.8. Le problème principal d'utiliser les services de google n'est pas celui des performances mais encore une fois une question de vie privée. LE collecte et l'exploitation de données supplémentaire par google. Ce problème est devenu tellement répandu que j'ai fini par installer et configurer unbound sur mes machines pour contourner les choix douteux des admins réseaux locaux. > > Une fois admis la bêtise d'utiliser les services d'entreprises > > Nord-Américaines** > > :P moi je m'en fous, et en plus je travaille pour une entreprise > :Nord-Américaine (pas celle-là, cedi dit) C'est bien là le problème, les personnes en position de faire ce qu'il faut qui s'en foutent et font le contraire. C'est à voir si le boss de ton entreprise nord américaine serait content de savoir que son réseau est configuré pour donner à google la liste horodatée de tous les domaines visités depuis son entreprise. De mon point de vue de personne qui ne s'en fout pas, utiliser les serveurs DNS de google c'est une marque d'ignorance et d'incompétence avec une pointe d'irresponsabilité. > > reste un seul argument : « oui mais 8.8.8.8 c'est facile à retenir ». > > C'est un peu superficiel; moi 8.8.8.8 je m'en sers parce que çà marche > mieux que les autres. C'est tout aussi superficiel, à moins de préciser quels autres ainsi que le protocole expérimental pour arriver à cette conclusion. vu d'ici ceux des russes de yandex m'ont l'air tout aussi rapides et fiables, et facile à se rappeler: 77.88.8.8 https://dns.yandex.com/advanced/ > Michel. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.
On vendredi 18 novembre 2016 17:35:53 CET Emmanuel Bourguin - t...@chezmanu.eu.org wrote: > Les deux dernières blagounettes d'Orange en matière de DNS* ont poussé > pas mal de gens autour de moi à s'auto-proclamer experts en DNS et à > suggérer le sacro-saint « 8.8.8.8 » Il y a justement un article là dessus: https://www.shaftinc.fr/arretez-google-dns.html > Effectivement c'est plus facile à retenir que les URL de wiki listant > des resolvers ouvert non-menteurs***. il y en a d'autres: http://censurfridns.dk/ https://www.opennicproject.org/ http://servers.opennicproject.org/ https://www.opennicproject.org/nearest-servers/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.
Le 19/11/2016 à 12:17, Pierre Colombier a écrit : J'ai posé ça sur la machine qui me sert de firewall mais pour évaluer le niveau de charge induit sur une machine dédiée, une raspberry pi est probablement suffisante pour fournir ce type de service à une grosse PME. Il y a quelques années, j'avais monté un "cluster" Bind9 sur des cartes Alix (CPU AMD Geode) pour un maximum de résilience sur l'infra de la boite qui m'employait à l'époque. L'infra comportait quelques milliers de machines réparties sur 3 sites, chaque site embarquait une paire de cartes Alix pour assumer les résolutions du site (domaines locaux + internet). Coté soft c'était du GNU/Linux Debian + Bind 9 et elles étaient loin d'être au taquet ! mes 2 cents -- Eric Belhomme aka Rico --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.
8.8.8.8 s’est vautré il y’a deux ou trois mois (p-e plus) pourtant. > On 20 Nov 2016, at 20:12, Michel Py > wrote: > >> Emmanuel Bourguin a écrit : >> Les deux dernières blagounettes d'Orange en matière de DNS* ont poussé pas >> mal de gens autour de moi à s'auto-proclamer >> experts en DNS et à suggérer le sacro-saint « 8.8.8.8 » (voire « 4.2.2.1 » >> pour les personnes les plus curieuses) > > Force est de reconaitre qu'au fil des ans, je n'ai pas vu de DNS de FAI qui > n'aie pas eu de problème un jour ou l'autre, alors que 8.8.8.8 historiquement > a toujours marché pour moi; j'ai récemment changé d'employeur et découver > que mon prédécesseur utilise pour les besoins de 'entreprise8.8.8.8. > > >> Une fois admis la bêtise d'utiliser les services d'entreprises >> Nord-Américaines** > > :P moi je m'en fous, et en plus je travaille pour une entreprise > Nord-Américaine (pas celle-là, cedi dit) > > >> reste un seul argument : « oui mais 8.8.8.8 c'est facile à retenir ». > > C'est un peu superficiel; moi 8.8.8.8 je m'en sers parce que çà marche mieux > que les autres. > > Michel. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.
> Emmanuel Bourguin a écrit : > Les deux dernières blagounettes d'Orange en matière de DNS* ont poussé pas > mal de gens autour de moi à s'auto-proclamer > experts en DNS et à suggérer le sacro-saint « 8.8.8.8 » (voire « 4.2.2.1 » > pour les personnes les plus curieuses) Force est de reconaitre qu'au fil des ans, je n'ai pas vu de DNS de FAI qui n'aie pas eu de problème un jour ou l'autre, alors que 8.8.8.8 historiquement a toujours marché pour moi; j'ai récemment changé d'employeur et découver que mon prédécesseur utilise pour les besoins de 'entreprise8.8.8.8. > Une fois admis la bêtise d'utiliser les services d'entreprises > Nord-Américaines** :P moi je m'en fous, et en plus je travaille pour une entreprise Nord-Américaine (pas celle-là, cedi dit) > reste un seul argument : « oui mais 8.8.8.8 c'est facile à retenir ». C'est un peu superficiel; moi 8.8.8.8 je m'en sers parce que çà marche mieux que les autres. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.
En lisant les échanges, c'est exactement le type de solution qui me traversait l'esprit pour compenser le faible nombre de requêtes locales et donc la forte latence à la 1ère requête. En revanche, il ne me semble pas avoir vu de mécanisme de purge du cache ; j'ai loupé quelque chose ? Ça ne génèrerait pas un cache démentiel qui aurait la mauvaise idée de conserver toutes les entrées requêtées depuis l'uptime ? Cordialement, Cédric Houzé. Cordialement, Cédric Houzé. 06 72 20 31 60 Le 19 nov. 2016 23:41, "Paul Rolland (ポール・ロラン)" a écrit : > Bonjour, > > On Sat, 19 Nov 2016 22:00:22 +0100 > Jérémie Bouillon wrote: > > > Le 19/11/2016 à 12:17, Pierre Colombier a écrit : > > > seul défaut : Il faut admettre que le temps de résolution est un peu > > > plus long sur les domaines qui ont des TTL court car il y a moins de > > > chances qu'un autre utilisateur l'ai déjà mis en cache. > > > > Question probablement stupide, mais personne n'a essayé de mettre une > > liste des disons 300 plus gros sites qui ont justement des TTL trop > > courts, avec un ping en cron de 1 ou 5 minutes depuis la machine > > resolver ? Ça ne doit pas prendre grand chose en ressources, et sur ces > > sites en tout cas résoudre le problème de délai, non ? > > Et pourquoi pas ca : > https://deepthought.isc.org/article/AA-01122/0/Early- > refresh-of-cache-records-cache-prefetch-in-BIND-9.10.html > > Paul > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.
Bonjour, On Sat, 19 Nov 2016 22:00:22 +0100 Jérémie Bouillon wrote: > Le 19/11/2016 à 12:17, Pierre Colombier a écrit : > > seul défaut : Il faut admettre que le temps de résolution est un peu > > plus long sur les domaines qui ont des TTL court car il y a moins de > > chances qu'un autre utilisateur l'ai déjà mis en cache. > > Question probablement stupide, mais personne n'a essayé de mettre une > liste des disons 300 plus gros sites qui ont justement des TTL trop > courts, avec un ping en cron de 1 ou 5 minutes depuis la machine > resolver ? Ça ne doit pas prendre grand chose en ressources, et sur ces > sites en tout cas résoudre le problème de délai, non ? Et pourquoi pas ca : https://deepthought.isc.org/article/AA-01122/0/Early-refresh-of-cache-records-cache-prefetch-in-BIND-9.10.html Paul --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.
Le 19/11/2016 à 12:17, Pierre Colombier a écrit : seul défaut : Il faut admettre que le temps de résolution est un peu plus long sur les domaines qui ont des TTL court car il y a moins de chances qu'un autre utilisateur l'ai déjà mis en cache. Question probablement stupide, mais personne n'a essayé de mettre une liste des disons 300 plus gros sites qui ont justement des TTL trop courts, avec un ping en cron de 1 ou 5 minutes depuis la machine resolver ? Ça ne doit pas prendre grand chose en ressources, et sur ces sites en tout cas résoudre le problème de délai, non ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.
On Sat Nov 19 12:36:40 2016, Solarus wrote: > > ce qui induit la question suivante : > > > > Comment font les services comme 8.8.8.8 pour ne pas relayer ce type > > d'attaques ? > > > > De façon générale, est-il possible d'être un free resolver sans pour > > autant constituer une nuisance pour le net ? > > > Salut. > > La solution est de mettre du rate-limiting soit au niveau réseau sur > UDP, soit au niveau applicatif avec RRL. > https://kb.isc.org/article/AA-01000/0/A-Quick-Introduction-to-Response-Rate-Limiting.html > > Le rate-limiting UDP est utile partout, notamment sur le port 123 pour NTP. Salut, Un truc pratique est de forcer un fallback vers TCP dès que la réponse dépasse une taille donnée (admettons 1 ou 2 Ko). Ainsi, le client devra faire un 3way TCP et ce sera beaucoup plus compliqué d’usurper l’IP source. -- alarig signature.asc Description: Digital signature
Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.
Le 19/11/2016 à 12:17, Pierre Colombier a écrit : > > > ce qui induit la question suivante : > > Comment font les services comme 8.8.8.8 pour ne pas relayer ce type > d'attaques ? > > De façon générale, est-il possible d'être un free resolver sans pour > autant constituer une nuisance pour le net ? > Salut. La solution est de mettre du rate-limiting soit au niveau réseau sur UDP, soit au niveau applicatif avec RRL. https://kb.isc.org/article/AA-01000/0/A-Quick-Introduction-to-Response-Rate-Limiting.html Le rate-limiting UDP est utile partout, notamment sur le port 123 pour NTP. -- Solarus Clé PGP: 0x02C29734 signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.
> PAR CONTRE > > il est important que ton résolveur n'écoute pas sur l'ip publique. > Sinon > tu va te retrouver dans les listes d'attaques par amplification DNS. > eh ? c'est quoi le rapport ? > > ce qui induit la question suivante : > > Comment font les services comme 8.8.8.8 pour ne pas relayer ce type > d'attaques ? > en faisant ce qu'un fai ne peut pas faire sans être taxer de censure ratelimit ou blacklist, --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.
Oui, c'est ce que j'ai fait chez moi il y a déjà presque 10ans Au départ, c'était juste que je voulais un reverse dns sur les IP RFC1918 de mon lan, et que le rendre resolveur ne prennait que quelques minutes de plus. J'ai posé ça sur la machine qui me sert de firewall mais pour évaluer le niveau de charge induit sur une machine dédiée, une raspberry pi est probablement suffisante pour fournir ce type de service à une grosse PME. seul défaut : Il faut admettre que le temps de résolution est un peu plus long sur les domaines qui ont des TTL court car il y a moins de chances qu'un autre utilisateur l'ai déjà mis en cache. PAR CONTRE il est important que ton résolveur n'écoute pas sur l'ip publique. Sinon tu va te retrouver dans les listes d'attaques par amplification DNS. ce qui induit la question suivante : Comment font les services comme 8.8.8.8 pour ne pas relayer ce type d'attaques ? De façon générale, est-il possible d'être un free resolver sans pour autant constituer une nuisance pour le net ? On 18/11/2016 22:42, Jacques Lav!gnotte. wrote: Le 18/11/2016 à 18:26, Carroussel Informatique a écrit : Est il pertinent/utile/intéressant pour un particulier avec une machine, voire trois au grand max, de s'installer son propre resolveur DNS ? Réponse courte et non-argumentée : OUI Et dans le cas de la machine dédiée, un rasperry pi est il suffisant ? OUI c.f. chez moi. Merci. ES JL --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.
Le 18/11/2016 à 18:42, Hugues VOITURIER a écrit : > Concernant la charge de travail : aucune, une fois que c'est installé, ça > tourne. Gaffe aux ACL par contre, pour pas l'ouvrir à la terre entière. Installer un « resolver cache only » i.e. unbound JL. -- GnuPg : C8F5B1E3 WeUsePGP Because privacy matters http://weusepgp.info/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.
Le 18/11/2016 à 18:26, Carroussel Informatique a écrit : > Est il pertinent/utile/intéressant pour un particulier avec une machine, > voire trois au grand max, de s'installer son propre resolveur DNS ? Réponse courte et non-argumentée : OUI > Et dans le cas de la machine dédiée, un rasperry pi est il suffisant ? OUI c.f. chez moi. > > Merci. > ES JL -- GnuPg : C8F5B1E3 WeUsePGP Because privacy matters http://weusepgp.info/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.
On 18/11/2016 18:43, David Ponzone wrote: Oui largement suffisant pour tes besoins persos. Sur un Linux, c’est également simple (quand je dis simple, je veux dire que l’install et le setup de base prend exactement 1 min). Il y a un package pour Synology aussi. Sous OSX, facile aussi. Au niveau de la fiabilité de DNS on a eu notre lot d'incident ces derniers temps... Une installation d'unbound (le meilleur resolveur à mon sens en ce moment), 2 minutes de configuration et te voila déjà débarrassé des resolveurs de tes fai(s) qui font soit des choses bizarres, soit tombent en carafes. D'ailleurs pour revenir sur l'attaque de Dyn je me demande pourquoi les gros resolveurs n'utilisent pas un stale cache (et je ne suis visiblement pas le seul voir https://pdfs.semanticscholar.org/16f5/2ba58eabf88044b99717947019cf2e554288.pdf et https://people.mpi-sws.org/~francis/hotnets06-simple.pdf). Cela briserait certes certaines propriétés du protocole tel qu'il a été pensé à l’origine, mais pour un gain véritable de résilience en cas de grosse panne/attaque de serveurs faisant autorité. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.
carrous...@wanadoo.fr s'exprima en ces termes : > Est il pertinent/utile/intéressant pour un particulier avec une > machine, voire trois au grand max, de s'installer son propre > resolveur DNS ? Un article plutôt bien étayé sur la comparaison de performance entre les deux : https://www.shaftinc.fr/comparaison-dns-fai-perso.html -- Emmanuel BOURGUIN ✆ 06 17 09 12 05 pgp1cTfK4rfmS.pgp Description: Signature digitale OpenPGP
Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.
Concernant la charge de travail : aucune, une fois que c'est installé, ça tourne. Gaffe aux ACL par contre, pour pas l'ouvrir à la terre entière. Et un RPi suffit très largement :) Sent from my iPhone > On 18 Nov 2016, at 18:26, Carroussel Informatique > wrote: > > Bonsoir > > J'en profite vu que c'est le sujet et que c'est trolldi, pour poser une > question stupide. Ne me remerciez pas, c'est ma tournée ! > > Voila : > > Est il pertinent/utile/intéressant pour un particulier avec une machine, > voire trois au grand max, de s'installer son propre resolveur DNS ? > > Comme je n'arrive pas à me représenter la charge de travail que peu demander > un tel équipement, j'hésite entre installer une machine dédiée, et installer > le service sur ma machine... > Et dans le cas de la machine dédiée, un rasperry pi est il suffisant ? > > Merci. > ES > > > >> Le 18/11/2016 à 17:35, Emmanuel Bourguin a écrit : >> Les deux dernières blagounettes d'Orange en matière de DNS* ont poussé >> pas mal de gens autour de moi à s'auto-proclamer experts en DNS et à >> suggérer le sacro-saint « 8.8.8.8 » >> (voire « 4.2.2.1 » pour les personnes les plus curieuses). >> >> Une fois admis la bêtise d'utiliser les services d'entreprises >> Nord-Américaines**, reste un seul argument : >> « oui mais 8.8.8.8 c'est facile à retenir ». >> >> Effectivement c'est plus facile à retenir que les URL de wiki listant >> des resolvers ouvert non-menteurs***. >> >> Pour remédier au problème « trouver l'info rapidement en période de >> crise » j'ai mis en champs A et de « mondns.eu.org » les IP de >> tels resolvers. >> >> Donc un simple host mondns.eu.org et on a la liste sous les yeux. >> Prévoir plutôt dig mondns.eu.org @80.67.179.144 si l'accès sur lequel >> on est a justement son DNS cassé, mais du coup on perds le coté « >> facile à retenir ». >> >> >> Si ça peut servir à quelques personne ici à l'occasion, c'est cadeau. >> >> >> * une fois à cause de la mauvaise gestion de >> leur /etc/hosts.cazeneuve, l'autre restant sans explications… >> >> ** Bah quoi, on est Trolldi non ? >> >> *** http://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver >> https://www.ffdn.org/wiki/doku.php?id=formations:dns >> > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.
Oui largement suffisant pour tes besoins persos. Sur un Linux, c’est également simple (quand je dis simple, je veux dire que l’install et le setup de base prend exactement 1 min). Il y a un package pour Synology aussi. Sous OSX, facile aussi. Et pour Windows, Unbound est dispo donc facile aussi. Bref, pas vraiment de raison de pas le faire. > Le 18 nov. 2016 à 18:26, Carroussel Informatique a > écrit : > > Bonsoir > > J'en profite vu que c'est le sujet et que c'est trolldi, pour poser une > question stupide. Ne me remerciez pas, c'est ma tournée ! > > Voila : > > Est il pertinent/utile/intéressant pour un particulier avec une machine, > voire trois au grand max, de s'installer son propre resolveur DNS ? > > Comme je n'arrive pas à me représenter la charge de travail que peu demander > un tel équipement, j'hésite entre installer une machine dédiée, et installer > le service sur ma machine... > Et dans le cas de la machine dédiée, un rasperry pi est il suffisant ? > > Merci. > ES > > > > Le 18/11/2016 à 17:35, Emmanuel Bourguin a écrit : >> Les deux dernières blagounettes d'Orange en matière de DNS* ont poussé >> pas mal de gens autour de moi à s'auto-proclamer experts en DNS et à >> suggérer le sacro-saint « 8.8.8.8 » >> (voire « 4.2.2.1 » pour les personnes les plus curieuses). >> >> Une fois admis la bêtise d'utiliser les services d'entreprises >> Nord-Américaines**, reste un seul argument : >> « oui mais 8.8.8.8 c'est facile à retenir ». >> >> Effectivement c'est plus facile à retenir que les URL de wiki listant >> des resolvers ouvert non-menteurs***. >> >> Pour remédier au problème « trouver l'info rapidement en période de >> crise » j'ai mis en champs A et de « mondns.eu.org » les IP de >> tels resolvers. >> >> Donc un simple host mondns.eu.org et on a la liste sous les yeux. >> Prévoir plutôt dig mondns.eu.org @80.67.179.144 si l'accès sur lequel >> on est a justement son DNS cassé, mais du coup on perds le coté « >> facile à retenir ». >> >> >> Si ça peut servir à quelques personne ici à l'occasion, c'est cadeau. >> >> >> * une fois à cause de la mauvaise gestion de >> leur /etc/hosts.cazeneuve, l'autre restant sans explications… >> >> ** Bah quoi, on est Trolldi non ? >> >> *** http://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver >> https://www.ffdn.org/wiki/doku.php?id=formations:dns >> > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.
Bonsoir J'en profite vu que c'est le sujet et que c'est trolldi, pour poser une question stupide. Ne me remerciez pas, c'est ma tournée ! Voila : Est il pertinent/utile/intéressant pour un particulier avec une machine, voire trois au grand max, de s'installer son propre resolveur DNS ? Comme je n'arrive pas à me représenter la charge de travail que peu demander un tel équipement, j'hésite entre installer une machine dédiée, et installer le service sur ma machine... Et dans le cas de la machine dédiée, un rasperry pi est il suffisant ? Merci. ES Le 18/11/2016 à 17:35, Emmanuel Bourguin a écrit : Les deux dernières blagounettes d'Orange en matière de DNS* ont poussé pas mal de gens autour de moi à s'auto-proclamer experts en DNS et à suggérer le sacro-saint « 8.8.8.8 » (voire « 4.2.2.1 » pour les personnes les plus curieuses). Une fois admis la bêtise d'utiliser les services d'entreprises Nord-Américaines**, reste un seul argument : « oui mais 8.8.8.8 c'est facile à retenir ». Effectivement c'est plus facile à retenir que les URL de wiki listant des resolvers ouvert non-menteurs***. Pour remédier au problème « trouver l'info rapidement en période de crise » j'ai mis en champs A et de « mondns.eu.org » les IP de tels resolvers. Donc un simple host mondns.eu.org et on a la liste sous les yeux. Prévoir plutôt dig mondns.eu.org @80.67.179.144 si l'accès sur lequel on est a justement son DNS cassé, mais du coup on perds le coté « facile à retenir ». Si ça peut servir à quelques personne ici à l'occasion, c'est cadeau. * une fois à cause de la mauvaise gestion de leur /etc/hosts.cazeneuve, l'autre restant sans explications… ** Bah quoi, on est Trolldi non ? *** http://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver https://www.ffdn.org/wiki/doku.php?id=formations:dns --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] [semi-troll] Pallier aux bêtises des pieds nickelés qui gèrent le DNS chez Orange.
Les deux dernières blagounettes d'Orange en matière de DNS* ont poussé pas mal de gens autour de moi à s'auto-proclamer experts en DNS et à suggérer le sacro-saint « 8.8.8.8 » (voire « 4.2.2.1 » pour les personnes les plus curieuses). Une fois admis la bêtise d'utiliser les services d'entreprises Nord-Américaines**, reste un seul argument : « oui mais 8.8.8.8 c'est facile à retenir ». Effectivement c'est plus facile à retenir que les URL de wiki listant des resolvers ouvert non-menteurs***. Pour remédier au problème « trouver l'info rapidement en période de crise » j'ai mis en champs A et de « mondns.eu.org » les IP de tels resolvers. Donc un simple host mondns.eu.org et on a la liste sous les yeux. Prévoir plutôt dig mondns.eu.org @80.67.179.144 si l'accès sur lequel on est a justement son DNS cassé, mais du coup on perds le coté « facile à retenir ». Si ça peut servir à quelques personne ici à l'occasion, c'est cadeau. * une fois à cause de la mauvaise gestion de leur /etc/hosts.cazeneuve, l'autre restant sans explications… ** Bah quoi, on est Trolldi non ? *** http://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver https://www.ffdn.org/wiki/doku.php?id=formations:dns -- Emmanuel BOURGUIN ✆ 06 17 09 12 05 pgpFAOoC17iaF.pgp Description: Signature digitale OpenPGP