[FreeBSD] clé 3g (suite)

Le
Patrick Lamaizière
Yo !

Bon un peu au pif j'ai pris un abonnement Bouygues avec une clé ZTE
MF633R (qui n'est pas celle de base).

Ça marche out-of-the-box avec u3g(4) et un bon vieux script ppp.conf
en 8.X.
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Patrick Lamaizière
Le #21122931
Patrick Lamaizière :

Ça marche out-of-the-box avec u3g(4) et un bon vieux script ppp.conf
en 8.X.



Y'a parfois un problème de DNS en raison de la latence du lien (environ
350 ms pour un ping sur un serveur). Ça survient sur des pages web
remplis de pubs : les requêtes n'aboutissent pas, ça réitère et ça se
freeze tout seul. C'est flagrant avez firefox, d'autant plus que même si
on quitte la page il fait encore des requêtes DNS.

J'ai désactivé le lookup DNS ipv6 dans Firefox, y'a-t-il un moyen de
désactiver ça pour le système dans sa totalité ?

Sinon si je mets un bind en local qui fait du forwarding, est-ce que je
peux bloquer les lookups ipv6 ?

Merci, si vous avez d'autres idées je prend aussi.
patpro ~ patrick proniewski
Le #21124341
In article Patrick Lamaizière
Sinon si je mets un bind en local qui fait du forwarding, est-ce que je
peux bloquer les lookups ipv6 ?

Merci, si vous avez d'autres idées je prend aussi.



Depuis des années, je désactive ipv6 à la compilation du kernel (et dans
tous les ports qui proposent l'option).

Sinon tu peux firewaller tout le trafic DNS IPv6.

patpro

--
A vendre : KVM IP 16 ports APC
http://patpro.net/blog/index.php/2008/01/12/133
Pascal Hambourg
Le #21125051
Salut,

patpro ~ patrick proniewski a écrit :

Sinon tu peux firewaller tout le trafic DNS IPv6.



C'est facile à faire ? Il ne s'agit pas de requêtes DNS sur IPv6 mais de
requêtes DNS de type AAAA (adresse IPv6) sur IPv4, type sur lequel
certains serveurs/relais/proxies DNS coincent, pour rester poli.
Patrick Lamaizière
Le #21125371
patpro ~ patrick proniewski :

Sinon tu peux firewaller tout le trafic DNS IPv6.



Les lookups DNS se font en ipv4 et je ne vois pas comment filtrer. C'est
juste la requete dns qui change (demande un AAAA au lieu d'un A)
Patrick Lamaizière
Le #21125361
Pascal Hambourg :

Sinon tu peux firewaller tout le trafic DNS IPv6.



C'est facile à faire ? Il ne s'agit pas de requêtes DNS sur IPv6 mais de
requêtes DNS de type AAAA (adresse IPv6) sur IPv4, type sur lequel
certains serveurs/relais/proxies DNS coincent, pour rester poli.



C'est pour ça que je pensais mettre un bind sur la machine qui
bloquerait ces requêtes ?
patpro ~ Patrick Proniewski
Le #21125611
In article Patrick Lamaizière
patpro ~ patrick proniewski :

> Sinon tu peux firewaller tout le trafic DNS IPv6.

Les lookups DNS se font en ipv4 et je ne vois pas comment filtrer. C'est
juste la requete dns qui change (demande un AAAA au lieu d'un A)



haaa crap.
J'ai pas du tout pensé à ça :)

On oublie le firewall alors, à moins de trouver un fw qui gère le niveau
7.

Après une recherche rapide, je suis tombé la dessus :

http://forums.freebsd.org/archive/index.php/t-774.html

le problème touche donc du monde, et la solution de compiler un kernel
sans support d'IPv6 semble bonne.


patpro

--
A vendre ! http://www.patpro.net/blog/index.php/2008/01/12/133
patpro ~ Patrick Proniewski
Le #21125601
In article Pascal Hambourg
Salut,

patpro ~ patrick proniewski a écrit :
>
> Sinon tu peux firewaller tout le trafic DNS IPv6.

C'est facile à faire ? Il ne s'agit pas de requêtes DNS sur IPv6 mais de
requêtes DNS de type AAAA (adresse IPv6) sur IPv4, type sur lequel
certains serveurs/relais/proxies DNS coincent, pour rester poli.



non, j'ai blondé. Une requête en IPv4 pour la résolution d'adresse v6 ne
peut pas être bloquée. Je pensais que la requête se faisait en IPv6...

patpro

--
A vendre ! http://www.patpro.net/blog/index.php/2008/01/12/133
Pascal Hambourg
Le #21125681
Patrick Lamaizière a écrit :
Pascal Hambourg :

Il ne s'agit pas de requêtes DNS sur IPv6 mais de
requêtes DNS de type AAAA (adresse IPv6) sur IPv4, type sur lequel
certains serveurs/relais/proxies DNS coincent, pour rester poli.



C'est pour ça que je pensais mettre un bind sur la machine qui
bloquerait ces requêtes ?



BIND a des options pour utiliser ou pas le transport IPv6, mais je ne
connais pas d'option pour rejeter les requêtes en fonction de leur type.
Pascal Hambourg
Le #21125831
patpro ~ Patrick Proniewski a écrit :

Une requête en IPv4 pour la résolution d'adresse v6 ne
peut pas être bloquée. Je pensais que la requête se faisait en IPv6...



Le protocole transportant la requête dépend uniquement du type de
l'adresse du serveur interrogé, et pas du type d'enregistrement demandé.
C'est évident pour les enregistrements de types autres qu'adresse (SOA,
NS, MX...), et c'est pareil pour les enregistrements de type adresse A
et AAAA.

Le filtre de paquets pourrait éventuellement identifier un motif
spécifique à une requête AAAA dans les données du paquet, mais pour quoi
faire ? Le bloquer silencieusement : cela revient au même de l'envoyer à
un serveur qui ne répond pas. Le rejeter avec un message d'erreur ICMP :
sur ma machine GNU/Linux ça ne fait pas de faire de différence pour les
outils de test DNS comme host et dig, ils attendent quand même le time-out.
Patrick Lamaizière
Le #21131521
patpro ~ Patrick Proniewski :

le problème touche donc du monde, et la solution de compiler un kernel
sans support d'IPv6 semble bonne.



J'ai essayé et ça semble mieux pour midori.
Par contre certains utilitaires font toujours des requetes AAAA (telnet,
ssh), sauf si c'est explicité sur la ligne de commande (ex telnet -4)
Publicité
Poster une réponse
Anonyme