Notre résolveur DNS ouvert et gratuit
89.234.141.66
2a00:5881:8100:1000::3
UDP et TCP, port 53 (standard), validation DNSSEC
DoH à venir
Qu'est ce qu'un résolveur DNS ?
Un résolveur DNS est une sorte d’annuaire qui permet à vos équipements de transformer un nom de domaine en une adresse IP, par exemple wikipedia.org en 185.15.58.224, vous offrant ainsi l'accès au contenu du site demandé.
Notre résolveur est ouvert et non censuré. Pour en savoir plus : nous organisons de temps en temps un atelier ludique Network & Magic destiné à faire découvrir de façon ludique le fonctionnement d’Internet, sans aucun équipement numérique.
A quoi sert ce résolveur DNS ?
Éviter le pistage DNS
Ce résolveur DNS n’enregistre pas la liste des sites que vous consultez et la loi ne nous y contraint pas car elle s’applique uniquement aux opérations de modification de contenu.
Rendre service
Ce résolveur DNS est ouvert, c'est à dire qu'il peut être utilisé depuis n'importe quelle IP. Cette caractéristique est éssentielle pour le fonctionnement de certains programmes.
Connaitre LA vérité
Ce résolveur DNS ne censure aucun site web : le gouvernement ne nous transmet pas la liste des sites à censurer, nous ne faisons pas de pub avec, ni de contrôle parental ou un quelconque filtrage.
Comment configurer un résolveur DNS
Avant d'aller plus loin, il faut définir si les changements concerneront un seul équipement ou bien tous vos équipements connectés à Internet (tous les ordinateurs, tablettes, smartphones, etc.). Dans le premier cas, la manipulation est à effectuer sur l'équipement en question et varie en fonction de votre système d'exploitation. Dans le second cas, il est plus rapide et plus simple d'effectuer le changement sur votre Box Internet.
Ci-dessous un exemple avec une box d'un BOFS.1 Il est fort possible qu'il y ait des différences de procédure avec votre Box, voir même que votre FAI vous empèche de faire la modification.2
1. Se rendre sur l'interface de la box
Pour vous connecter, essayer d'afficher les pages web suivantes, jusqu'à ce que l'une d'entre-elles affichent quelques choses:
2. Se connecter
En général, si vous ne les avez pas changé, les identifiants se trouvent sur une étiquette sur votre box ou accessible via un petit écran de 5cm.
Astuce : si c'est un vieux routeur, vous pouvez essayer avec admin ou root en identifiant et admin ou 1234 en mot de passe.
3. Fouiller l'interface
Il faut ensuite fouiller l'interface pour trouver les champs qui permettent de configurer le résolveur DNS primaire et le secondaire.
Capture d'écran de l'interface d'une box Red by SFR pour changer les résolveurs DNS
Ci-dessous, quelques chemins qui peuvent vous y mener:
- Red by SFR (Box:
F@st3686 V1b):Réseau>Paramètres de base>Configuration réseau wan>Utiliser l'adresse de serveur DNS suivante
Pour vérifier que votre modification est effective, vous pouvez utiliser le site web IPLeak. « 89.234.141.66 » doit être indiqué en dessous de la mention « DNS Address detection ».
-
Bouygues, Orange, Free, SFR ↩
Résolveurs de secours
| FAI associatif | IPv4 | IPv6 |
|---|---|---|
| Aquilenet | 185.233.100.100 | 2a0c:e300::100 |
| Aquilenet | 185.233.100.101 | 2a0c:e300::101 |
| FDN | 80.67.169.12 | 2001:910:800::12 |
| FDN | 80.67.169.40 | 2001:910:800::40 |
Foire aux questions
Non. Si vous l'utilisez pour un projet libres n'hésitez pas à nous le signaler et prévoyez de la redondance au cas où ce résolveur est en panne.
Parce que ces résolveurs mentent et/ou enregistrent les sites que l'on consulte avec.
Oui :
-
Les Fournisseurs d'Accès à Internet commerciaux français d'envergure nationale ont tous eu la tentation d'envoyer de la publicité quand un site web n'existe pas (exemple : vous avez tapé « arnfai.net » au lieu d'« arn-fai.net » dans la barre d'adresse de votre navigateur web). Certains l'ont mise en pratique comme SFR ou Alice.
D'autres récursifs DNS « mentent » pour des raisons de sécurité (pour vous empêcher d'aller sur un site contenant des virus et autres joyeusetés, pour corriger automatiquement vos fautes de frappe d'un nom pour éviter de tomber sur un mauvais site web, etc.) qui ne sont pas forcément légitimes (autonomie des personnes, erreur d'appréciation de la qualité d'un site web, etc.). -
C'est sur le DNS que repose le blocage judiciaire des sites web de jeux d'argent qui ne payent pas leur licence d'exploitation à l'État (loi 2010-476 de 2010), ou de tout autre site web (exemples : t411 et Copwatch). Mais aussi tout le blocage administratif (hors procédure judiciaire), sur liste secrète du ministère de l'Intérieur, des sites web pédopornographiques (loi LOPPSI 2 de 2011) ou faisant l'apologie du terrorisme (loi Cazeneuve de 2014). Ces types de blocage sont insidieux puisqu'ils ne font pas disparaître les problèmes, ni ne viennent au secours des victimes, ni ne les dédommagent : les infractions à la loi et les atteintes aux personnes continuent… mais en silence, derrière le rideau, puisque leurs auteur·-e·-s ne sont pas arrêté·-e·-s. Bloquer des sites web, c'est fermer les yeux sur des problèmes plutôt que de s'attaquer à leurs racines. De plus, comment contrôler la légitimité de l'action du gouvernement dans le cas du blocage administratif afin d'éviter les dérives ? Un des premiers sites web bloqués dans ce contexte, islamic-news, l'a été sans véritables arguments de droit ou de fait de la part du gouvernement.
-
Du point précédent découle une inégalité entre les citoyens. Un blocage judiciaire est opposable aux seuls Fournisseurs d'Accès à Internet qui font l'objet d'une décision définitive de la justice. Dans le cadre du blocage administratif, la liste secrète est communiquée par le Ministère de l'Intérieur aux Fournisseurs d'Accès à Internet sélectionnés par le gouvernement. En pratique, dans les deux cas, il s'avère que seuls les plus gros FAI commerciaux de France d'envergure nationale sont contraints à prendre des mesures de blocage. Quid du citoyen qui a recours aux prestations d'un autre FAI (université, travail, association, etc.) ? Sans compétences particulières, les contenus consultables en ligne par l'ensemble des citoyens français sont différents. Est-ce que cette différence d'accès à l'information est acceptable ?
Nous n’enregistrons aucune donnée de connexion car nous ne sommes légalement pas contraint de le faire.
Non, nous ne souhaitons pas que ce résolveur génère du trafic inhabituel pour un résolveur DNS.
Notre résolveur vérifie cryptographiquement la validité d’une réponse DNS. Toutefois, à moins que vous n’ayez mis en place une solution pour valider cette info sur votre équipement, vous restez vulnérable à une manipulation située entre vous et le résolveur d’ARN.
De fait, la validation DNSSEC sur notre résolveur, n'apporte réellement toutes ses garanties qu'aux abonné⋅es ayant un service avec une IP ARN.
Parce qu’on a pas encore eu le temps. N’hésitez pas à venir nous aider afin que nous puissions le mettre en place :)
La mise en place de notre service de résolveur DNS est documentée sur la page wiki des bénévoles comment monter un recursif DNS ouvert.
Avant d'ouvrir un récursif DNS ouvert au public, il y a quelques précautions à prendre afin que celui-ci ne soit pas utilisé pour conduire des attaques DDoS de grande envergure.
Voir en détail les réflexions pour protéger un résolveur DNS ouvert.