Sur mon blog : "Escalade dans la traque en ligne, le cas Eulerian"

Je montre notamment comment bloquer cette crasse avec Unbound.

S'il y a des points obscurs ou trop complexes, n'hésitez pas à les signaler, j'ai essayé d'expliquer au maximum ce qui touche à la configuration mais j'ai pu rater des trucs :)

shaftinc.fr/escalade-traque-eu

@bortzmeyer
Pour moi ça marche très bien pour n'importe sous domaine de eulerian.net
mais pas pour les sous domaine des sites clients comme ftn.fortuneo.fr.
Il faut faire attention à la présence/absence d'un paramètre
dans le fichier de conf?

@Tuxmylife @Shaft Ah zut, oui, c'est appliqué au QNAME original seulement, pas à ceux obtenus en suivant la chaîne. Je vais relire la doc'

@Tuxmylife @Shaft Aïe, et c'est documenté "The policy module currently only looks at whole DNS requests. The rules won’t be re-applied e.g. when following CNAMEs." Bon, faut que je trouve autre chose.

@bortzmeyer @Tuxmylife @Shaft Wé, c’est bien ce truc qui est super relou pour plein d’outils de protection qui ne peuvent qu’agir au niveau du DNS vu du client, donc pas les récursions internes 😭

@aeris @bortzmeyer @Tuxmylife @Shaft ce qui m'embete c'est que en mobile c'est clairement mort si on arrive pas a faire une liste exhaustive des différents subdomain dnsdelegation.io ou eulerian.net ou autre :(

Follow

@aeris @bortzmeyer @Tuxmylife @Shaft Et si ces acteurs decident de ne plus operer leur DC et de migrer sur cloudlfare avec des nom de domaines dynamique ce sera completement mort :(

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!