[15:03:05]
<olivier tilly> Bonjour, j'ai un Yunohost sur une VM hébergée sur ma Freebox. Je voudrais utiliser Adguard, chez moi avec le wifi de la Freebox pas de soucis. Mais impossible depuis mon smartphone Android via le réseau mobile. J'essaie de changer le DNS privé depuis mon smartphone, mais cela coupe les données mobiles. Savez-vous s'il y a une configuration particulière à faire? Merci
[15:35:08]
<Aleks (he/him/il/lui)> heuuuu moui sans doute parce que en 3G / 4G / 5G ton téléphone est pas du tout connecté au réseau local de ta box donc pas possible de pointer sur la VM
[15:35:35]
<Aleks (he/him/il/lui)> ou alors il faut exposer publiquement le port 53 et utiliser comme résolveur l'IP *publique* de ta box
[15:35:39]
<Aleks (he/him/il/lui)> (mais attention les blocklist mails kiffent pas trop les machines qui ont un port 53 public)
[15:52:44]
<lautre> Tu peux installer Adguard sur ton smartphone via Fdroid. Et, t'en servir pour les connexion avec Data.
Si tu te connectes sur le Wifi chez toi, tu peux définir via DHCP des résolveurs DNS différents, et les faire pointer vers tes services DNS de ton réseau local.
[15:54:38]
<lautre> Il n'y a pas de soucis à avoir un port 53 publique, mais il faut faire attention à ne pas permettre du DOS par amplification DNS.
Si on héberge son propre serveur email, on a aussi intérêt à avoir quelque part un serveur DNS qui répondra aux requêtes concernant les champs SPF etc.
[15:55:13]
<·☽•Nameless☆•777 · ±> C'est une très mauvaise idée de rendre un public un résolveur DNS .
[15:55:19]
<lautre> On peut configurer son serveur DNS pour ne faire de résolutions que pour certains domaines
[15:59:18]
<·☽•Nameless☆•777 · ±> C'est justement les problèmes d'abus le problème, FDN a dû fermer momentanément les siens à cause de ça.
( chez pas s'ils le sont toujours d'ailleurs )
mais ils ont laissé ouvert DOH, DOT
[16:21:09]
<lautre> Oui, résoudre pour d'autres noms de domaines pose soucis.
Je ne vois pas comment on peut parler d'auto-hébergement s'il n'y a pas quelque part un résolveur pour nos propres noms de domaines.
Si on ne fait pas de résolution pour des domaines tiers, pas de soucis. N'est ce pas?
[16:26:18]
<·☽•Nameless☆•777 · ±> C'est le protocole UDP le plus gros problème.
Tu peux te faire passer pour ta cible (spoof ip ) auprès d'une centaine de résolveurs DNS ouverts et c'est ta cible qui va se prendre la réponse d'une centaine de résolveurs DNS.
[16:29:33]
<·☽•Nameless☆•777 · ±> T'as sûrement d'autres abus possibles ciblant le serveur DNS, je ne les connais pas tous :)
[16:30:14]
<lautre> Rien n'oblige à utiliser UDP
[16:30:53]
*lautre va quand même vérifier ses réglages... son FW, aussi bien au niveau de ses Yunohost que de ses autres serveurs...
[16:32:18]
<·☽•Nameless☆•777 · ±> Tu veux utiliser quoi ?
À part avoir du DNS sur TLS ou sur HTTPS, donc en TCP ou QUIC, je ne vois pas trop
[16:33:42]
<lautre> Oui, TCP apporte un peu plus de robustesse, non?
[16:38:25]
<·☽•Nameless☆•777 · ±> Ouep mais j'avais essayé TCP pour du DNS classique à une époque, ça ne fonctionnait pas,
Chez pas pourquoi l'application ne basculer pas en TCP.
[16:39:18]
<·☽•Nameless☆•777 · ±> Peut-être qu'avec QUIC ça sera de nouveau possible d'utiliser UDP pour du DNS classique, y'a un mécanisme de protection contre le spoofing je crois.