[BETA] malekal Blocage DNS

Après HOSTS Anti-PUPs Adwares, voici un autre service de blocage d’adresses malicieuses.
Le blocage se fait à travers un filtrage DNS, il faut donc modifier ses serveurs DNS (comme on peux le faire pour mettre ceux d’OpenDNS et Google).

L’avantage est qu’on a rien besoin d’installer sur son PC.

Le service fait doublon avec celui d’HOSTS Anti-PUPs Adwares, il ne sert à rien d’avoir les deux.
Le service bloque les adresses des programmes parasites (PUPs) diffusés sur par des publicités, les malvertising (publicité malicieuse).

La machine étant un kimsufi, n’ayant pas d’idée sur la future charge de la machine, je déconseille très fortement d’utiliser ce DNS dans une entreprise (voir plus bas).

Voici la procédure à suivre pour modifier vos serveurs DNS et utiliser malekal Blocage DNS.

http://www.youtube.com/watch?v=MUm7_2BSpPo

Windows XP

  • Ouvrir le Panneau de Configuration.
  • Ouvrir Connexions Réseaux.
  • La liste des cartes réseaux s’affichent, Ethernet et/ou Wifi.
    • A faire sur chaque carte si vous vous connectez de diverses manières (filaire et Wifi) :
    • Clic droit puis propriétés sur la carte puis Propriétés
    • Sélectionner TCP/IP puis propriétés
    • Cochez en bas l’option : Utiliser l’adresse de serveur de noms suivante et inscrire l’adresse 91.121.19.195
    • Eventuellement en serveur DNS auxiliaire, vous pouvez mettre le serveur primaire de votre fournisseur d’accès – voir la liste : http://www.commentcamarche.net/faq/1496-serveurs-dns-des-principaux-fai
    • Valider toutes les fenêtres et faites un test (voir plus bas).

Blocage_DNS_malekal

Windows Vista/Seven et Windows 8

  • Ouvrir le Panneau de Configuration
  • Ouvre le Centre Réseau et partage
  • A gauche cliquez sur Modifier les paramètres de la carte

Blocage_DNS_malekal_Seven

La liste des cartes réseaux s’affichent, Ethernet et/ou Wifi.

      • A faire sur chaque carte si vous vous connectez de diverses manières (filaire et Wifi) :
      • Clic droit puis propriétés sur la carte puis Propriétés
      • Sélectionner TCP/IP Ipv4 puis propriétés
      • Cochez en bas l’option : Utiliser l’adresse de serveur de noms suivante et inscrire l’adresse 91.121.19.195
      • Eventuellement en serveur DNS auxiliaire, vous pouvez mettre le serveur primaire de votre fournisseur d’accès – voir la liste : http://www.commentcamarche.net/faq/1496-serveurs-dns-des-principaux-fai
      • Valider toutes les fenêtres et faites un test (voir plus bas).

Blocage_DNS_malekal_Seven2

TESTER le blocage

Fermer et relancer  votre navigateur WEBConnectez vous sur l’adresse search.babylon.com
Vous devriez obtenir une page de blocage.
Blocage_DNS_malekal_Seven3

Pour revenir en arrière, il suffit de reconfigurer les adresses des serveurs de noms en choisissant obtenir les adressesd e serveurs de noms automatiquement.

EDIT – Mettre en place son serveur DNS filtrant avec Bind

Voici comment mettre en place son propre serveur DNS filtrant.
Cela peut-être interressant pour les entreprises.
Le fichier que j’utilise est disponible en téléchargement : http://91.121.19.195/bind/blocked-zones-perm.conf

Bind doit être installé. Les fichiers de configuration peuvent changer selon la distribution.
Ici c’est sur une Debian.

Dans le cas d’un serveur DNS public – Editez le fichier /etc/bind/named.conf.options
Rajouter la ligne :

allow-query { any; };
 

Sinon n’éditez rien dans le cas d’un serveur interne (restreindre les requêtes).

Bind_RBL

Dans le fichier /etc/bind/named.conf – ajouter l’inclusion suivante :

include « /etc/bind/blocked-zones-perm.conf »; Bind_RBL2

Créer le fichier /etc/bind/redirect.nowhere.conf et ajouter ceci :

$TTL 600 ; 10 minutes
@ SOA www.serveur.com. root.serveur.com. (
42 ; serial
900 ; refresh (15 minutes)
60 ; retry (1 minute)
604800 ; expire (1 week)
43200 ; minimum (12 hours)
)
NS www.serveur.com.
MX 1 www.serveur.com.
$TTL 302400 ; 3 days 12 hours
@ IN A 91.121.19.195
* IN A 91.121.19.195

Ici les adresses vont être redirigées vers le serveur – le but est de récupérer la connexion HTTP pour afficher la page d’alerte.
Si vous ne souhaitez pas mettre en place une page d’alerte, vous pouvez rediriger vers 127.0.0.1

Bind_RBL3
Le fichier blocked-zones-perm.conf contient les domaines bloqués avec la syntaxe suivante :

zone « domain.tld » IN { type master; file « /etc/bind/redirect.nowhere.conf »; };
 

Vous pouvez aussi mettre une adresse en particulier, si vous ne souhaitez pas bloquer le domain en entier (utile dans le cas d’un hébergement partagé)

Bind_RBL4

Si vous souhaitez afficher une page d’alerte, vous devez activer le module rewrite : a2enmod rewrite
Ne pas oublier de passer le AllowOverride à All dans votre vhost.

Voici un exemple de fichier .htaccess pour effectuer un rewrite.
Le but étant de récupérer toutes les adresses pour rediriger vers la page d’alerte.

Par exemple, le visiteur utilisant votre DNS filtrant arrive sur la page http://domain.tld/pagepascool.php cela le redirige vers http://votreserveur/pagepascool.php – le rewrite redirige alors la page pagepascool.php vers index.php qui contient la page d’alerte.

RewriteCond permet d’étalibir des conditions et notamment empécher la redirection pour certaines pages ou répertoire.

RewriteEngine On
RewriteCond %{REQUEST_URI} !(index.php|alerte.png|bind)
RewriteRule ^(.*)$ /index.php [QSA,NC,L]
 

Et voila, si vous avez des question ou problème, venez sur le forum, en commentaire, c’est pas simple !

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 100 times, 3 visits today)

18 thoughts on “[BETA] malekal Blocage DNS

  1. Je ne pense pas être la cible, mais je me pose quand même la question :

    Sur quoi doit-on se baser pour faire confiance à ton serveur DNS ? (Même si, depuis le temps, tu as toute ma confiance), mais qu’est ce qui m’assure de la neutralité et/ou de la qualité de service de ton serveur ?!

  2. Salut,

    Heu sur rien, vu que j’ai rien à mettre en avant.

    Le blocage des URLs, ce sera que des URLs que j’estime malicieuse.
    Alors bien sûr, ça peut-être sujet à débat selon le contenu.
    Pour le moment, je me contente de bloquer les sites qui proposent des programmes en refourguant des programmes parasites et des domains vraiment malicieuse (malvertising etc).

    Je me retiens de bloquer entière clicksor ou trafficbroker qui est une belle poubelle… je te cache pas que l’envie est là.
    Encore tout à l’heure, Clicksor a donné deux malvertising qui conduisent à des exploitkits…
    C’est pas faute d’avoir fait des articles dessus et avoir eu des contacts chez eux.

    Y aura pas de blocage de sites politiques ou autres, si c’est ça ta question.
    C’est pas mon problème ça.

    Pour ce qui est de la qualité, à toi d’en juger.
    Je te cache pas que la machine, c’est *juste* un kimsufi, si jamais ça prend, elle va surement arriver à jour à saturation un jour ou l’autre et ça risque de ramer un peu.
    Les gens me le feront savoir et je verrai si je prends une machine plus robuste, parce que bon, je suis pas non plus une entreprise 🙂
    Donc pareil, ça peux tomber un jour où je suis pas disponible à la minute.

    C’est pas vraiment interressant pour des personnes qui s’y connaissent en informatique et dont les malwares ne posent pas de prb.
    C’est plus interressant pour monsieur tout le monde (qui a aussi des enfants qui téléchargent un peu tout et nawak) pour se protéger un peu mieux.
    Vaut mieux éviter de mettre ça en entreprise 🙂

    Bref c’est là, vous en faites ce que vous voulez 🙂

  3. Merci pour ces infos.

    A vrai dire, je m’inquiète pas de la « neutralité », c’était pour savoir qui est derrière tout ca.
    Je ne connais pas ton audience, mais je me dis que si 1000 personnes utilise tes DNS, je sais pas si il va arriver à suivre ou pas…

    Merci de ta réponse cela dit, tu devrais rajouter ce genre d’info dans un ‘disclamer’ dans l’article ..

  4. Je n’ai pas trop d’idée aussi sur la chage à vrai dire 🙂
    J’ai rajouté une phrase pour dire de ne pas utiliser dans le cas d’une entreprise.
    (Ce n’est pas la même machine que le site WEB).

    Merci 🙂

  5. Salut

    Y a moyen de faire un AXFR dessus histoire de garder un minimum de controle sur les ajouts/retraits ? En tout cas c’est une initiative positive du #Free like 🙂

  6. Heu, si jamais le kimsufi ne répond pas, le serveur DNS secondaire de la connexion web prend le relais?

    Si c’est le cas, alors c’est tout bénef pour l’utilisateur car au pire il retombe sur le DNS de son FAI. 🙂

    Merci, ca à l’air sympa..
    Et je « plussoie » : pouvoir voir la liste des blocages ca serait un gros plus 🙂

  7. Belle initiative, comme à votre habitude.

    Toutefois sur mon routeur qui peut prendre trois serveurs DNS, l’accès au site de test demeure possible probablement parce que votre serveur n’est pas le plus rapide des trois que j’utilise (votre serveur répond au ping avec des valeurs supérieures à celles de mon FAI) ; votre solution aurait été utile pour mon réseau privé qui accueille certaines machines sur lesquelles je n’ai pas le contrôle. Dommage.

    Enfin si je partage les inquiétudes en termes de charge à propos desquelles vous pourrez sans doute nous reparler après une période d’observation, c’est la curiosité technique qui l’emporte : quelles solutions techniques avez-vous retenu ?

    Merci.

  8. Hello

    C’est une initiative interessante ! et perso je serai très interessé par un tuto sur comment mettre en oeuvre un tel service pour soi (j’ai une linux box dans mon garage) qui ne chargerait pas ton kimsufi et qui me permettrait de gerer mes propres listes..

    D’ailleurs je serai aussi client des maj de tes listes (un peu comme les filtres parentaux de l’université de toulouse).

    Voilà
    Merci pour tout ce que tu fais par ailleurs (je lis souvent..)

  9. Vous pouvez refaire le TUTO avec moins de pages en noir SVP?

    Parce ce que quand j’imprime je vide la cartouche d’encre lol !!

    Merci

  10. Bonsoir, Me manque qu’une chose à savoir, quel est le « + » par rapport à HOSTS Anti-PUPs Adwares ? Ou… des deux solutions qu’elle est celle qui pèse le moins sur les performances (HOSTS Anti-PUPs Adwares testé sur une vieille bécane – Duron 1,6 GHz 1 Go – s’avère un vrai boulet). Merci

  11. Bonjour Malekal,

    Depuis ce matin ton serveur DNS bloque ma connection à internet… j’ai du repasser sur la detection des serveurs DNS automatiquement

  12. Salut,

    Ouaip j’ai eu un mail ce matin d’OVH.
    il pourrait que la configuration telle qu’elle peux poser des prb.
    Le serveur DNS peux être utilisé pour effectuer des attaques DDoS.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *