Classement

Préambule L'objectif de ce mini tutoriel est de vous aider à mettre en place un système de filtrage de contenu très léger (ne consommant presque pas de ressources, en tout cas nettement moins qu'un proxy). Pour cela on va mettre en place un DNS menteur avec dnsmasq afin de bloquer une partie des contenus indésirables (malwares, spywares et autres joyeusetés comme les publicités agressives ou encore les sites adultes). Dit autrement, ça fait à peu près la même chose qu'un bloqueur de publicité à quelques différences près : vous n'avez rien à installer sur vos équipements donc ça fonctionnera pour tous vos équipements (TV incluse) mais ça ne fonctionnera pas aussi bien qu'un plugin dans le navigateur ou qu'un proxy (qui peuvent modifier le contenu des pages ou filtrer les URL, pas uniquement des domaines) et ça ne vous laissera pas faire d'exception (autoriser temporairement un site par exemple ne sera pas possible, c'est tout ou rien) Avant d'aller plus loin, merci de lire ces quelques points : faire un filtrage DNS n'est pas une pratique louable : lorsqu’un état le fait les gens manifestent et ils ont raison il s'agit même d'une pratique dangereuse dans certains cas : si vous ne faites pas attention aux listes de filtrage, un pirate pourra vous rediriger où il veut ça peut également créer des problèmes pour vos équipements : si par exemple vous filtrez le domaine de mise à jour de votre ordinateur ou d'un logiciel (par exemple, votre antivirus ou encore votre navigateur), ce dernier ne pourra peut être pas se mettre à jour beaucoup de sites vivent des revenus publicitaires : bloquer ces contenus peut être préjudiciable pour la survie de ces sites (certains abusent des publicités, mais ce n'est pas la majorité) nb : c'est le principe de fonctionnement des serveurs d'OpenDNS, ils passent leur vie à vous mentir afin de filtrer une partie d'Internet (et de temps en temps ils vous affichent des pages qui ne sont pas celles que vous avez demandés ...) Alors pourquoi est-ce tout de même un système à envisager ? Si le filtrage se limite à votre domicile, dans un usage strictement privé et éclairé, c'est votre choix, vous le faites en connaissances de causes. Je ne vais pas détailler les étapes, il y en a très peu, mais si vous avez des questions, les commentaires sont là pour ça. Comme je souhaites éviter les dérives, je considère que vous avez l'autorité nécessaire pour mettre de type de filtrage en place. En conséquence, voici la méthode permettant de contourner ce filtrage si jamais vous en êtes la victime, elle est très simple : configurez un autre serveurs DNS sur vos postes (par exemple ceux de FDN) ###################################################################################### Notes de lecture /volume1/test/dnsmasq : le nom d'un partage/dossier à adapter en fonction de votre organisation ad_list_url1 : pour l'exemple j'ai pris la première liste que j'ai trouvé sur le net, à vous d'adapter pour y mettre des listes pertinentes (vous pouvez prendre celles de squidguard par exemple) ad_list_url2 : une autre liste d'exemple (celle de @PiwiLAbruti), par contre attention, sa taille peut fortement ralentir la résolution DNS et donc votre surf (au moins le temps que le cache se remplisse) ###################################################################################### Configuration Commencez par créer un dossier quelque part sur votre NAS, dans un partage accessible à vous seul, par exemple : /test/dnsmasq Créez ensuite le fichier suivant en UTF-8 avec sauts des lignes Unix : /test/dnsmasq/dnsmasq.update : #!/bin/bash # dnsmasqconfdir='/volume1/test/dnsmasq' server1='80.67.169.12' server2='80.67.169.40' pixelserv_ip='0.0.0.0' ad_list_url1='http://pgl.yoyo.org/adservers/serverlist.php?hostformat=dnsmasq&showintro=0&mimetype=plaintext' ad_list_url2='http://winhelp2002.mvps.org/hosts.txt' #ad_list_url3='http://une autre liste de domaines à filtrer' #... #ad_list_file1='/volume1/test/liste.txt' dnsmasq_listen='127.0.0.53' dnsmasq_port='53' ################################ ad_file="$dnsmasqconfdir/dnsmasq.d/dnsmasq.adlist.conf" temp_ad_file="/tmp/dnsmasq.adlist.conf.tmp" mkdir -p $dnsmasqconfdir/dnsmasq.d cat <<EOT > $dnsmasqconfdir/dnsmasq.conf # cache-size=5000 server=$server1 server=$server2 neg-ttl=300 #dnssec #check anchor on https://data.iana.org/root-anchors/root-anchors.xml #trust-anchor=.,19036,8,2,49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5 #dnssec-check-unsigned no-resolv EOT /bin/curl -s $ad_list_url1 | sed "s/127\.0\.0\.1/$pixelserv_ip/" > $temp_ad_file /bin/curl -s $ad_list_url2 | tr -d '\r' | grep -v '#' | awk '{print "address=/"$2"/127.0.0.1"}' | sed "s/127\.0\.0\.1/$pixelserv_ip/" >> $temp_ad_file #/bin/curl -s $ad_list_url3 | sed "s/127\.0\.0\.1/$pixelserv_ip/" >> ad_list_file1 #... #ad_list_file1 >> ad_list_file1 #... if [ -f "$temp_ad_file" ] then sort -uf $temp_ad_file > $ad_file #sed -i -e '/www\.favoritesite\.com/d' $ad_file else echo "Error building the ad list, please try again." exit 1 fi /bin/kill `/bin/pidof dnsmasq` /bin/dnsmasq --listen-address=$dnsmasq_listen --port=$dnsmasq_port --bind-interfaces --conf-file=$dnsmasqconfdir/dnsmasq.conf --conf-dir=$dnsmasqconfdir/dnsmasq.d exit 0 nb : vous devez adapter le script à votre configuration Enfin, dans le planificateur de tâches de DSM, créez une nouvelle tâche de type script en root : sh /volume1/test/dnsmasq/dnsmasq.update ###################################################################################### Mise en place La dernière étape consiste à configurez vos machines pour utiliser votre NAS comme serveur DNS. Je vous passe le suspens, Synology ne vous permet pas de faire les choses normalement, tel que le serveur DNS et les normes le permettent ! Il faut donc changer 1 paramètre dans le script (en pratique c'est déjà fait) : dnsmasq_listen=127.0.0.53 Puis modifier l'adresse du premier Redirecteur de cette capture : Sauf qu'il faut aller le faire directement dans le fichier de configuration : /volume1/@appstore/DNSServer/etc/synodns.conf forwarders=127.0.0.53;80.67.169.40 Enfin on relance le paquet DNSServer : synoservice --restart pkgctl-DNSServer nb : il ne faudra plus modifier cet écran avec l'interface graphique car votre NAS ne vous laissera pas enregistrer une telle configuration

Ça serait plus sage est c'est ce qui est indiqué dans le message => partage SMB ou NFS Le protocole HTTP n'a pas été conçu pour traiter des fichiers. nb : à faire via un VPN si le trafic passe par Internet