ça utilise des filtres avec IPv4
Que veux-tu dire ? Le filtrage se fait en général sur le nom de domaine, pas sur l’IP. Je doute que tes filtres soient vraiment des listes d’IPv4 à bannir.
Et par curiosité, tu as essayé d’utiliser uniquement ipv6 ? Je me demande si ça serait encore une contrainte aujourd’hui. Est-ce qu’il y a encore des serveurs sur internet qui ne sont accessibles qu’en ipv4 ? Ou inversement des clients qui sont seulement ipv4 ?
Puisqu’il n’y a plus d’ipv4 disponible, je me dis qu’il doit déjà y avoir des particuliers qui n’ont que de la v6, non ? Le CGNAT n’est qu’un pansement qui retarde l’inéluctable.
Je viens de revérifier. Peut-être que j’ai mal interprété ton premier message. Mais je tiens à éviter toute confusion : CGNAT n’existe pas en ipv6. Si tu as du CGNAT, c’est sur la partie stack ipv4 fournie par SFR en parallèle de la stack ipv6. C’est contraignant parce que l’ipv4 est plus facile à gérer que l’ipv6 donc on la préfère quand c’est possible.
Le support semble pouvoir rebasculer en ipv4 full stack (en insistant pas mal). Et sinon la solution ultime c’est d’abandonner l’ipv4 et de migrer totalement vers l’ipv6 qui permet un accès total. Tes services ne seront alors plus accessibles en ipv4. Je ne sais pas à quel point c’est encore gênant en 2024, ça.
Je m’auto-réponds : tu pensais peut-être au CGN pour faire un tunnel IPv6 => IPv4 comme visible ici?
Dans ce cas, tu n’as pas vraiment de l’IPv6, correct ? Est-ce que les appareils de ton réseau ont une IPv6 (autre que des link-local en fe80:
, j’entends) ?
Du CGNAT sur de l’IPv6 ? Tu es sûr que ça existe ? Ma compréhension, c’est que le CGNAT est une astuce pour ralentir l’épuisement des IPv4 disponibles, en attribuant une même IPv4 à plusieurs abonnés. Chaque abonné se voit attribuer une part des ports disponibles. Free m’a un jour passé sur ce mode sans prévenir mais c’est heureusement désactivable en demandant une IPv4 full stack.
qui ne permet donc pas de faire de la redirection de port
Ce n’est pas tout à fait vrai. Tu peux continuer à rediriger des ports mais si le FAI ne t’a pas attribué la première tranche des ports (les plus utiles pour faire de l’auto hébergement), l’intérêt est moindre. Tu ne pourras pas héberger de service https sur 443, par exemple.
Je ne suis pas sûr non plus que la notion de redirection de port ait encore un sens en IPv6. Pas au sens de la NAT en tout cas, qui est une techno typiquement IPv4, allant de pair avec les plages d’adresses privées (type 192.168.x.y). Tout ceci étant un contournement pour ralentir l’épuisement des IPv4 disponibles. En IPv6, il n’y a pas de risque d’épuisement donc les FAI attribuent une plage de 2^64 IPs à chaque abonné. Y a de quoi faire.
Quant à l’exposition par défaut du serveur SSH, je ne sais plus trop ce qu’il en est aujourd’hui mais à une époque pas si lointaine, Debian l’activait. Bon il fallait avoir coché l’option “serveurs usuels du système” ou un truc comme ça à l’install. Mais le serveur était configuré par défaut pour accepter les connexions par mot de passe, ce qui n’était pas glop glop.
Pour moi, le plus grand danger, ce sont les petits appareils comme les caméras. Combien sont déballées, branchées et restent là avec leur mot de passe “admin1234” d’usine ? Tant que la cam est derrière une NAT IPv4, le danger est moindre. Mais si elle devient publique, c’est beaucoup moins rigolo.
Oui, UPnP est une autre faille de sécurité qu’il vaut mieux désactiver à mon avis.
Yes, others have suggested something similar. I’ll do that first because it is easy. Monitoring-wise, I should already be covered but since prometheus is running on the same server, it was down during the outage. There is room for improvement, for sure! I have a couple of RPis on my network that I can leverage for better monitoring.
Your suggestion looks similar to this other comment and makes sense. I’ll try that!
I have never managed to wrap my head around DoH and DoT but this is on my todo list ^^
I didn’t know dnsmasq has an adblock plugin, I’ll have a look. Originally, I was using dnsmasq alone (running on bare metal). Then I migrated to docker and added pi-hole for ad blocking. I tried to get rid of dnsmasq but pi-hole’s embedded DHCP is not as configurable as dnsmasq’s and I could not address my use case.
Thanks a lot for your time!
I see. I kind of thought about it earlier today while mulling over the problem. I can definitely do that first because it’s easy and makes total sense.
I already have prometheus monitoring the DNS resolution, I think. I’ll check!
Thanks for taking the time to answer!
Yeah, that was my plan B. To be honest, I was not super confident that it would work when I put this setup together, because of the “host uses a container as DNS and docker uses the host as DNS” kind of circular dependency.
But people do use docker for DNS servers so it has to work, right? That’s where I’d like to understand where I’m wrong. I’m fine with running pi hole and dnsmasq on the host as long as I get why this is not doable in docker.
Thanks for your input, though. That’s helpful.
In both the pi-hole (exposed on the host) and dnsmasq (used as upstream by pi-hole) containers:
# Generated by Docker Engine.
# This file can be edited; Docker Engine will not make
further changes once it
# has been modified.
nameserver 127.0.0.11
options ndots:0
# Based on host file: '/etc/resolv.conf' (internal res
olver)
# ExtServers: [host(127.0.0.1)]
# Overrides: []
# Option ndots from: internal
So they are pointing to docker’s embedded DNS, itself forwarding to the host.
Contre la fédé avec des géants du domaine. Cet article de la quadrature du net sur le sujet est intéressant. Il évoque le précédent de XMPP et GTalk avant que Google transforme GTalk en Hangout et le sorte de XMPP. Le risque que Méta bouffe le fedivers après avoir capté son public est réel.
Je ne connaissais pas Rethink, merci ! En plus elle est sur FDroid, trop bien. Ca ressemble à AdAway en effet. Y avait Blokada dans le temps, aussi.
Euh ben en tout mon téléphone n’est pas rooté donc je ne crois pas. Je suis sur Lineage avec mindthegapps. Au pire ça s’essaye et tu sauras vite.
En alternative, il y a AdAway, appli libre dispo sur FDroid qui ne nécessite pas d’accorder sa confiance à un service tiers fermé. Je l’utilise depuis des années et ça marche bien. Mon pi hole ne voit plus grand chose à bloquer depuis mes appareils Android.
C’est aussi ce que je pense. Hélas les commentaires mis en avant en bas de l’article me font douter. J’espère que c’est juste une sélection biaisée.
Les vélomobiles ne sont pas particulièrement nouveaux. Le prix vient à mon avis plutôt du mode de fabrication qui reste très artisanal pour des séries très petites.
Certains modèles ont effectivement une assistance électrique. Je ne suis pas sûr que le DFXL présenté en propose une. Mais la plupart des modèles du marché ont une assistance en option. C’est une question de choix et de région. Les néerlandais aiment bien le vélomobile et chez eux, c’est tout plat ! J’ai mis plus de détails dans ce commentaire si jamais.
Cette technique marche aussi en ipv6. Je crois que l’équivalent consiste à mapper le domaine sur
::
.D’ailleurs si ce n’est pas fait, le simple mapping vers
0.0.0.0
ne garantit le blocage que si tous les clients sont uniquement ipv4. Ça se fait rare de nos jours. Un client ipv6 continuerait à obtenir la vraie ipv6 du domaine.