Aller au contenu

[TUTO] Filtrage DNS

Fenrir

Par Fenrir
dans Tutoriels

 Partager

Messages recommandés

  • Réponses 104
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Jours populaires

Meilleurs contributeurs dans ce sujet

Jours populaires

Messages populaires

Fenrir
Fenrir

Préambule L'objectif de ce mini tutoriel est de vous aider à mettre en place un système de filtrage de contenu très léger (ne consommant presque pas de ressources, en tout cas nettement moins qu'

Fenrir
Fenrir

Elle sert au routeur lui même (pour trouver l'adresse des serveurs de mise à jour par exemple). Trop long à expliquer, donc fais moi confiance : Première capture : Serveur DNS préfé

Fenrir
Fenrir

au cas ou ... le script doit être exécutable (chmod +x le-script) et lancé en root, ça peut expliquer le message "permission denied"

Images postées

unPixel Newbie

unPixel

Posté(e)
Posté(e)

Jamais non. La seule fois ou j'ai installé ce programme, j'ai constaté qu'il ne fonctionnait pas très bien et qu'en plus lors de la désinstallation, Chroot m'avait mit un gros bordel dans ma config DSM en me pétant le volume.

0
  • 2 semaines après...
  • 2 mois après...
koko93 Newbie

koko93

Posté(e)
Posté(e)

Bonjour,

J'ai le meme probleme que celui cité plus haut, a savoir que le nslookup jcount.com 192.168.0.11 me renvoi :

Server:         192.168.0.11
Address:        192.168.0.11#53

Non-authoritative answer:
Name:   jcount.com
Address: 69.175.81.169

Si quelqu'un a reussi a resoudre ce probleme...

pour info, j'ai fait le test en desactivant l'antivirus, ca n'a pas marché non plus.

Par avance merci

0
PiwiLAbruti Veteran

PiwiLAbruti

Posté(e)
Posté(e)

Que devrait renvoyer la résolution de jcount.com ? Une adresse privée ?

Si oui :

  1. Est-ce que la zone jcount.com existe dans DNS Server ?
  2. Est-ce qu'un enregistrement de type A existe pour jcount.com dans cette zone ?
  3. Est-ce que tu as créé une vue pour le résolution locale ?
0
koko93 Newbie

koko93

Posté(e)
Posté(e) (modifié)

1. dans mon fichier dnmasq.adlist.conf, j'ai bien l'entrée suivante : address=/jcount.com/0.0.0.0

2. c'est quoi un enregistrement de type A?

3. Je n'ai pas crée de vue pour la resolution locale (c'est grave?).

Merci

Modifié par Mic13710
inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension
0
koko93 Newbie

koko93

Posté(e)
Posté(e) (modifié)

C'est pas tres compliqué comme probleme, c'est juste que le nslookup d'une adresse bloqué sur mon DNS me ressort l'adresse IP normal. Ce qui a pour effet de ne pas bloquer le site de pub.

 

Comme si mon dns etait squeezé.

Quand je fait un nslookup jcount.com 127.0.0.53, j'ai bien comme réponse 0.0.0.0

et nslookup jcount.com 192.168.0.11, j'ai l'adresse ip du site (67.xx.yy.zz).

J'ai bien modifié la configuration des redirection avec en 1 : 127.0.0.53 et en 2 l'ip de fdn.

 

Modifié par Mic13710
inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension
0
koko93 Newbie

koko93

Posté(e)
Posté(e) (modifié)

J'ai pas toucher aux paramettres reseau, j'ai donc ca :

image.png.8342936728bcbb7d15e52f345d43e8be.png

Modifié par Mic13710
inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension
0
koko93 Newbie

koko93

Posté(e)
Posté(e) (modifié)

Oui j'utilise bien le paquet officiel DNS Server avec cette configuration :

 

image.png.5faad58d23ee2b2d7aa6fd83fbe17937.png

 

Modifié par Mic13710
inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension
0
koko93 Newbie

koko93

Posté(e)
Posté(e) (modifié)

Sans definir de Redirecteur 2, j'ai le resutat suivant :

nslookup jcount.com 192.168.0.11

Server:         192.168.0.11
Address:        192.168.0.11#53

Non-authoritative answer:
Name:   jcount.com
Address: 0.0.0.0

 

Modifié par Mic13710
inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension
0
koko93 Newbie

koko93

Posté(e)
Posté(e) (modifié)

Oui ca marche en effet. J'ai essayé aussi avec nslookup google.com 192.168.0.11, et il me renvoi bien 216.58.201.227.

Mais il me reste 2 questions :

1. comment ce DNS fonctionne t'il avec qu'un seul redirecteur? mais vu qu'il me renvoie la bonne adresse ip pour des adresse que je n'ai pas bloqué, il doit alors utiliser un autre DNS, lequel?

2. Pourquoi dans ma précedente configuration, il ne suivait la le chemin redirecteur 1, puis s'il ne trouve pas redirecteur 2?

Mais la ca semble marché, mais pour ma compréhension, j'aimerai bien savoir comme il gere le truc.

Modifié par Mic13710
inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension
0
PiwiLAbruti Veteran

PiwiLAbruti

Posté(e)
Posté(e)

Dans ta configuration, les résolutions DNS d’un client se font d’abord sur DSN Server (192.168.0.11). Si ce dernier ne peut pas les résoudre, il fait appel à son redirecteur (dnsmasq en 127.0.0.53). Si ce dernier ne peut pas non plus les résoudre il fait lui aussi appel à son redirecteur (DNS public).

0
koko93 Newbie

koko93

Posté(e)
Posté(e) (modifié)

Merci pour ces precisions.

Apres un redemarrage (via une tache quotidienne), la commande nslookup me renvoi l'adresse ip publique pour jcount.com (j'ai relancé mon script d'update de la list de site a bloquer pour info).

Mais quand je test sur mon smartphone (jcount.com), j'ai bien une page vide, donc c'est que ca marche bien.

Je pense qu'il y a probablement un soucis qui vient de la commande nslookup qui doit recuperer l'adresse ip via mon routeur de l'operateur SFR.

Derniere question : ou est ce qu'on peut modifier la config des resolutions DNS?

 

Modifié par Mic13710
inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension
0
PiwiLAbruti Veteran

PiwiLAbruti

Posté(e)
Posté(e)
il y a 37 minutes, koko93 a dit :

Derniere question : ou est ce qu'on peut modifier la config des resolutions DNS?

À quel niveau ? (c’est vague comme question)

La commande nslookup n’a pas de souci. Par contre, il peut y avoir du cache DNS (ipconfig /flushdns pour vider ce cache sous Windows).

0
koko93 Newbie

koko93

Posté(e)
Posté(e)

Quand je fais un nslookup d'un autre site bloqué, ca me met bien 0.0.0.0, donc c'st bien une histoire de cash dns.

Ok, donc j'ai bien compris le truc. Par contre quand le DNS redemarre, le dnsmasq sur 127.0.0.53 n'est plus actif. pour l'activer, il faut relancer le script. Sachant que je redemarre tous les matins mon nas, il faut donc que je relance le script tous les jours. Je l'ai mis en tache planifié en le declenchant au demarrage, sauf que j'ai l'impression que le script se lance avant le demarrage du DNS, ce qui fait qu'il ne prend pas en compte les paramettres du script. Auriez vous une solution afin quele script se lance bien une fois que le DNS est bien demarré.

0
Fenrir Newbie

Fenrir

Posté(e)
  • Auteur
Posté(e)

Relance le script de manière périodique, ce n'est pas très propre mais bon ...

Autre manière de faire, si ton nas s'allume à, par exemple, 7h, planifie le script pour se lancer à 7h10.

0
unPixel Newbie

unPixel

Posté(e)
Posté(e)

Il y a aussi l'option au lancement du NAS pour lancer un script sans programmation d'horaire (planificateur des tâches). Juste après un redémarrage du NAS par exemple 😉

0
9re9os Newbie

9re9os

Posté(e)
Posté(e)

Bonjour,

Un peu perdu, j'ai besoin d'un petit coup de main.

Après avoir suivi avec succès le tuto, installé le script, redémarré le serveur DNS, tout fonctionnait correctement.

Le script était placé comme suit :

/volume1/Dossier Partagé/dnsmasq/dnsmasq.update

Après quelques temps, je suis retourné dans le Dossier Partagé où le script avait créé les fichiers conf, dans un second dossier dnsmasq sur le même niveau que le précédent. J'avais donc deux dossier "dnsmasq" sur le même niveau.

Souhaitant modifier la hierarchie du dossier pour que cela soit plus clean, j'ai viré le dossier créé, les fichiers conf et refait le script pour qu'il soit ok avec la nouvelle structure (j'ai simplement mis le script plus bas, dans un sous dossier) comme suit :

/volume1/Dossier Partagé/SynoConf/dnsmasq/dnsmasq.update

puis, j'ai relancé le script.

Sauf qu'il n'a pas fonctionné.

J'ai relancé le DNS Server, même si ça ne sert à rien puisque le DNS principal interrogé est toujours bien 127.0.0.53.

Et ça ne fonctionne toujours pas.

Une requête nslookup me renvoit l'IP du site interrogé au lieu de 0.0.0.0.

Du coup j'ai testé la commande curl proposée précédemment par Fenrir pour dépanner un utilisateur et vérifier si le script fonctionnait.

Voici la réponse du terminal :

kill: not enough arguments

dnsmasq: failed to create listening socket for 127.0.0.53: Permission denied

mon expérience est limitée, certes en progrès, mais chaque pas déplace le mur... donc là, j'ai besoin de votre aide pour pister la solution.

Je ne sais pas interpréter cette réponse. Un problème de configuration sur le nas, ou simplement le script qui a une coquille ?

Concernant le script, c'est exactement celui du premier post, avec personnalisation, évidemment, du dnsmasqconfdir.

0
9re9os Newbie

9re9os

Posté(e)
Posté(e)

Bonjour Fenrir,

j'ai dû mal m'exprimer peut-être.

Le chemin n'a pas changé seul. Je l'ai fait.

Néanmoins, et après avoir tout repris depuis le début, pas à pas, ça ne marche plus (ça marchait bien avant pourtant...)

Je ne sais pas quoi tester pour identifier la source du problème ; sachant qu'à 99% de chance elle se trouve entre le clavier et le siège, mais bon, quand bien même !

 

 

 

0

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.