Configurer unwind pour limiter la censure

2022-11-17T11:08:23Z

Certains Fournisseurs d'accès à internet mentent, leurs serveurs DNS envoient de fausses réponses lorsqu'on cherche à atteindre certains domaines.

C'est ce qui m'est arrivé récemment en voulant faire une recherche sur http://www.fourtoutici.ac/. Requête échouée.

Or, le site n'était pas en panne.

J'utilise unwind, le résolveur/cacheur de noms de domaines fourni de base dans OpenBSD. Ce dernier semblait donc s'appuyer sur les réponses de mon FAI, il n'arrivait pas à tout faire seul.

Voici donc une modification du fichier /etc/unwind.conf qui permet de résoudre les noms de domaines dans l'ordre suivant (en cas d'échecs) :

unwind tente de se débrouiller seul, puis il demande à quad9 via un accès DoT et enfin demande aux serveurs de FDN sans DoT. Tout à la fin, si rien n'est trouvé, c'est le FAI qui répond, utile dans le cas des portails captifs.

block list "/var/unwind.block" log

fdn1=80.67.169.12
fdn2=80.67.169.40
fdnip6_1=2001:910:800::12
fdnip6_2=2001:910:800::40
quad9=9.9.9.9
quad9_ip6=2620:fe::fe

forwarder { $quad9 DoT }
forwarder { $quad9_ip6 DoT }
forwarder { $fdn1 }
forwarder { $fdnip6_1 }
forwarder { $fdn2 }
forwarder { $fdnip6_2 }
forwarder { $quad9 }

preference { recursor DoT oDoT-forwarder forwarder oDoT-autoconf autoconf stub }

Voir man unwind.conf pour l'ordre de préférence par défaut :)

Une réaction?

Envoyez votre commentaire par mail.

Mode d'emploi de la liste de diffusion pour recevoir les réponses.