DNS Resolver : Choix des serveurs primaire/secondaire publics

On y discute de tout, ou presque...
Répondre
Avatar de l’utilisateur
dezix
Modérateur
Modérateur
Messages : 2050
Inscription : 04 juin 2016, 14:50
Status : Hors-ligne

Bonjour, :006:


Quelles sont vos recommandations et mises en garde
en matière de serveurs à renseigner dans le fichier : /etc/resolv.conf


Plus particulièrement, il s'agit, pour un pc domestique, de remplacer la ligne :

Code : Tout sélectionner

nameserver 192.168.1.1
Ici, l'IP est celui de la "box" derrière laquelle se trouve le pc ;
cela fait qu'on utilise les serveurs DNS du fournisseur de la "box".

En d'autres termes :
Avec cette configuration le FAI connaît les adresses de tous les sites contactés depuis le système,
et s'il néglige d'optimiser la rapidité des serveurs DNS, cela ralentit d'autant les connexions.


... ou de lui faire précéder de nouvelles lignes de même type indiquant les IP des serveurs
que l'on souhaite consulter en priorité pour la résolution des noms de domaines.


Vos conseils sont-ils les mêmes dans le cas d'un serveur web/mail "personnel" ?


Je précise pour les lecteurs découvrant cette problématique,
que le mécanisme de Résolution des noms intervient lorsqu'une application (p.ex. navigateur web)
doit obtenir la correspondance entre le domaine d'un site (p.ex: debian-fr.xyz) et l'adresse IP (95.216.2.96) du serveur hébergeant le site.

Code : Tout sélectionner

$ host -t A debian-fr.xyz
debian-fr.xyz has address 95.216.2.96


Pour le moment, comme "tout le monde",
j'ai la liste Public recursive name server | Wikipedia

mais entre :
  • adguard
  • cloudflare
  • opendns
  • quad9
  • ...
je ne sais quel choix faire.

Merci pour vos retours d'expérience :banana_parachute:
Debian stable - XFCE
Avatar de l’utilisateur
vv222
Modérateur
Modérateur
Messages : 580
Inscription : 18 avr. 2016, 20:14
Localisation : Bretagne
Contact :
Status : Hors-ligne

J’ai tendance à privilégier un DNS de mon FAI en résolveur primaire, et un DNS d’un membre de la FFDN en résolveur secondaire. À savoir que mon FAI n’est pas un gros à la Orange, Free, SFR ou autre affreux dans ce genre, mais une association locale qui a ma confiance.
Avatar de l’utilisateur
dezix
Modérateur
Modérateur
Messages : 2050
Inscription : 04 juin 2016, 14:50
Status : Hors-ligne

vv222 a écrit : 25 juil. 2022, 17:42 une association locale
C'est bien d'avoir cela localement,
dans mon cas je n'ai rien vu de tel à 150km à la ronde,
ta région est plus dynamique que la mienne.

Je n'ai pas du tout creusé la question du comment créer un de ces FAI associatifs,
mais je vais me renseigner, c'est peut-être pas si compliqué ... :017:
Debian stable - XFCE
Avatar de l’utilisateur
vv222
Modérateur
Modérateur
Messages : 580
Inscription : 18 avr. 2016, 20:14
Localisation : Bretagne
Contact :
Status : Hors-ligne

En vrai tu n’as pas besoin d’une association juste à côté de chez toi. Par exemple je connais quelqu’un de Brest qui adhère au même FAI associatif de Rennes que moi alors qu’il y en a un autre beaucoup plus proche de chez lui.

Quand on peut en avoir une vraiment proche l’avantage principal est de pouvoir rencontrer facilement les gens qui font tourner l’association, et peut-être de s’y engager soi-même. Mais ce n’est absolument pas requis pour adhérer chez un FAI associatif et profiter de ses services.
Avatar de l’utilisateur
piratebab
Site Admin
Site Admin
Messages : 3928
Inscription : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : Hors-ligne

Comme vv222, en primaire le SAV du FAI, et en secondaire , rien!
J'en avait essayé plusieurs, mais en creusant un peu, j'ai découvert qu'ils n'étaient pas de tout désintéressés.
Avatar de l’utilisateur
lol
Site Admin
Site Admin
Messages : 3755
Inscription : 04 avr. 2016, 12:11
Localisation : Madagascar
Status : Hors-ligne

Salut,

Je me suis installé un Pi-hole sur mon LAN.
Fantastique...

C'est un bloqueur de publicité au niveau du réseau qui agit comme un serveur DNS (Et bloque les domaines connues pour être destinés au suivi publicitaire).
Le Pi-Hole utilise une liste de DNS (que l'on peut choisir et modifier), mais ils y sont quasiment tous.

En ce qui me concerne quand je ne suis pas çà la maison c'est 1.1.1.1 ou 1.0.0.1 (Cloudflare + APNIC).
Debian stable. XFCE.
Dieu, en créant l'homme, a quelque peu surestimé ses capacités.
Avatar de l’utilisateur
franb
Membre
Membre
Messages : 78
Inscription : 04 nov. 2017, 09:41
Status : Hors-ligne

Il me semble que c'est le site qui a l'obligation de conserver les logs, le FAI lui doit pouvoir dire qui a eu telle IP à telle heure. Pas de DNS là dedans. Sinon nul besoin de DNS ou quoi que ce soit pour connaitre l'IP des sites visités. Le problème des DNS est celui des DNS menteurs, par exemple renvoyant 127.0.0.1 pour zone-telechargement. Avoir son propre DNS est la solution dans ce cas et il est facile de l'imposer à la Box (la freebox en tout cas). Le ralentisse ent vers des sites (comme youtube par free de temps à autre) n'a pas besoin non plus de DNS, l'alternative est de passer par un proxy extérieur.
Répondre