Connexion Register

[OpenBSD] Création d'un serveur DNS menteur
#1
Question 
Bonjour.

Je viens de créer un serveur DNS local (sur mon LAN) avec cache (unbound) sur un système OpenBSD virtualisé. Pour ce faire, j'ai suivi les explications de mes camarades d'obsd4a (PengouinBSD pour être exact que je remercie pour son excellent tutoriel) :

https://obsd4a.net/wiki/doku.php?id=netw...und_dnssec

Mon prochain objectif serait de créer mon serveur DNS menteur. Pourquoi ? Pour la bonne cause : mes enfants. Je sais que Cyrille avait déjà mis en place des techniques pour "protéger" ses enfants du grand méchant Nain Ternet ! Wink Mais je ne pense pas qu'il aie déjà mis cela en place : un serveur DNS menteur.

Qu'en pensez-vous ?
Répondre
#2
Pour nourrir notre réflexion sur ce sujet quelque peu... "sensible" !

http://www.bortzmeyer.org/dns-menteur.html
https://quentin.demouliere.eu/index.php?...9-8-et-rpz
http://www.bortzmeyer.org/rpz-faire-ment...r-dns.html

Un avis dans le cadre que j'ai exposé ci-dessus ? (Le cadre général est bien évidement plus complexe.)
Répondre
#3
Je ne comprends pas leur usage dans le cadre des enfants. Tu peux préciser le fonctionnement par rapport à des solutions plus classiques ?
Répondre
#4
(12-25-2016, 06:34 PM)cep a écrit : Je ne comprends pas leur usage dans le cadre des enfants. Tu peux préciser le fonctionnement par rapport à des solutions plus classiques ?

Salut Cep Smile

En fait, je ne peux pas te répondre précisément. Je suis en cours d'apprentissage sur tous ces aspects. A priori, il me faut installer un serveur DNS plus performant (BIND) en lieu et place de unbound. D'après ce que j'ai compris, ce serveur DNS BIND sait interdire (censurer !) certains domaines, sous-domaines, une liste de liens bien précis. Donc, je me dis que si je parviens à trouver une liste toute faite de liens "interdits" (quitte à la modifier pour l'adapter à mes besoins), je serais en mesure de créer un service DNS "sécurisé" pour mes enfants. Je serais plus "tranquille" lorsque mes enfants iront sur le Web. Mais soyons clair (et honnête), cela ne m'empêchera pas de leur apprendre, de les guider, de les conseiller et de les suivre dans le domaine de l'informatique. Si cette technique de "censure" fonctionne, ce serait très efficace je pense pour des enfants qui n'auront ni les droits (ni même l'idée d'ailleurs) d'aller changer les IP des serveurs DNS de la machine cliente Debian GNU/Linux. Mais je peux me tromper. Peut-être est-ce une idée "foireuse" ! Enfin je me dis aussi que si des FAI ou certains états utilisent actuellement cette technique pour créer des serveurs DNS menteurs, ce n'est pas pour rien.

Alors, que penses-tu du principe par rapport à mon contexte ?

ps : Quelles sont les méthodes classiques : parefeux, proxy, ... ? Parce que a priori, ce n'est pas incompatible. Nous pouvons cumuler toutes ces techniques, je pense.
Répondre
#5
Salut et bon Noël,

Je ne me prononcerai pas sur le principe, ne le connaissant pas mais je trouve cela compliqué à entretenir dans le cadre d'un contrôle parental si l'on veut bloquer un nombre conséquent de sites à moins de pouvoir y incorporer des listes déjà établies.

Voir aussi les avantages et inconvénients par rapport à des solutions comme e2Guardian et Squid ou autres.
Si tu poursuis tu pourras alimenter la comparaison Smile
https://cyrille-borne.com/forum/showthread.php?tid=810
Répondre
#6
La seule solution à l'heure actuelle qui fonctionne c'est effectivement la gestion des DNS c'est d'ailleurs ce qui est préconisé directement chez ipfire puisqu'avec la migration massive des sites sous https il apparaît qu'on ne filtre plus rien ou pas grand chose.

A l'âge de mes gosses maintenant j'ai trouvé d'autres solutions, celles qui consistent notamment à supprimer tous les appareils électroniques parce que j'en ai marre de ne pas être obéi et d'avoir des gamins qui passent leur temps à regarder n'importe quoi sur leur écran.
Répondre
#7
Il existe des listes "noires" de sites web pour squid (proxy), c'est peut-être ça qu'utilise ipfire.
Il doit être possible d'adapter cette liste pour bind ou unbound.
Sysadmin de l'école du chat.
Répondre
#8
Depuis que je suis passé à la borne wifi qui filtre tout sauf les applications des tablettes, je me dis qu'à moins de 20 € je n'ai plus questions trop techniques à me poser.
Répondre
#9
d'ailleurs j'utilise opendns, ce qui est très très très très vilain de ma part mais ça a le mérite de patienter jusqu'à ce que les gosses soient suffisamment grands pour regarder ce qu'ils veulent c'est à dire quand ils auront un appartement et qu'ils auront quitté mon domicile Big Grin
Répondre
#10
L'internet de chez Cyrille est un internet sans porn ? Il ne doit plus rester grand chose.
Sysadmin de l'école du chat.
Répondre


Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)