- Status Nouveau
- Percent Complete
- Task Type Évolution
- Category LAN
- Assigned To No-one
- Operating System Tous
- Severity High
- Priority Very Low
- Reported Version 4.8.11
- Due in Version Undecided
-
Due Date
Undecided
- Votes
- Private
Attached to Project: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Opened by reivax89 - 04/06/2024
Opened by reivax89 - 04/06/2024
FS#39516 - Pouvoir bloquer les requêtes DNS vers d'autre serveurs que ceux spécifiés
Bonjour,
Afin de sécuriser l’accès internet, il serait intéressant de pouvoir bloquer les requêtes DNS vers d’autre serveurs que ceux spécifiés. Cela permettrait de mettre en place un filtrage DNS ( par exemple des urls malicieuses et/ou adultes ).
Car si l’on peut aujourd’hui spécifier les serveurs DNS poussés par DHCP, rien n’empêche une machine d’en utiliser d’autres.
Merci.
Loading...
Available keyboard shortcuts
- Alt + ⇧ Shift + l Login Dialog / Logout
- Alt + ⇧ Shift + a Add new task
- Alt + ⇧ Shift + m My searches
- Alt + ⇧ Shift + t focus taskid search
Tasklist
- o open selected task
- j move cursor down
- k move cursor up
Task Details
- n Next task
- p Previous task
- Alt + ⇧ Shift + e ↵ Enter Edit this task
- Alt + ⇧ Shift + w watch task
- Alt + ⇧ Shift + y Close Task
Task Editing
- Alt + ⇧ Shift + s save task
Si un ado pense à aller bidouiller les paramètres réseau de son appareil, pour aller changer les DNS, c'est qu'il trouvera un moyen de contourner la limitation de serveur dns que tu proposes.
Non seulement, ça voudrait dire
- qu'il faut que Free analyse tout le trafic qui passe par ton réseau perso (et peu de gens accepteraient ça)
- mais en plus, ce que tu proposes est plutôt facile à contourner
Regarde ce que permet de faire Firefox par exemple, ils font passer les requêtes DNS en https, donc tu ne peux pas savoir que ce sont des requêtes dns :
https://support.mozilla.org/fr/kb/configurer-niveaux-protection-dns-via-https
A moins de bloquer tout trafic https, tu ne pourras pas bloquer les requêtes vers l'autre dns !
Bonjour
En lisant votre demande et la réponse tout à fait valide de @rr, je ne peux que compléter par :
Imaginez la machine de guerre qu'il faut pour inspecter 100% des flux TLS sur une ligne 10G …
Pour faire ça les entreprises ont besoin de beaucoup de hardware + d'une PKI + d'une équipe d'ingénieur en permanence pour maintenir tout ça.
Avec les ADOS et la maitrise des flux internet, privilégiez le dialogue et des échanges transparents sur les sujets que vous voudriez contrôler plutôt que de tenter de bloquer les flux.
Cordialement
nbanba
Il est question de bloquer uniquement le port 53, donc très facile à réaliser.
Et concernant le DOH, Mozilla indique bien qu'ils font quelques tests et désactivent DOH si un filtrage DNS est en place :
https://support.mozilla.org/en-US/kb/dns-over-https-doh-faqs#w_how-will-doh-impact-parental-controls
merci @reivax89 pour l'info, je ne savais pas que Mozilla avait pris ces précautions (ce n'était pas le cas avant)
Après, je ne sais pas si les autres navigateurs font la même chose ?
Demain, un simple plugin pourra peut-être permettre de contourner cette vérification, et laissera utiliser le DoH ?
Bloquer le port 53 pourrait peut-être être possible, mais en passant par un vpn (dont des vpn gratuits) par exemple, ça peut toujours se contourner
Une autre méthode :
- tu as la règle, tu la suis
- si tu essaies de faire le malin, de tricher (en changeant les DNS) ?
- il y aura des conséquences : je récupère ton appareil/smartphone, pendant que tu es à la maison
(tu le récupères le lendemain matin)
Je ne te prends pas en traître, tu es prévenu ! ;)