Ça marche out-of-the-box avec u3g(4) et un bon vieux script ppp.conf en 8.X.
Y'a parfois un problème de DNS en raison de la latence du lien (environ 350 ms pour un ping sur un serveur). Ça survient sur des pages web remplis de pubs : les requêtes n'aboutissent pas, ça réitère et ça se freeze tout seul. C'est flagrant avez firefox, d'autant plus que même si on quitte la page il fait encore des requêtes DNS.
J'ai désactivé le lookup DNS ipv6 dans Firefox, y'a-t-il un moyen de désactiver ça pour le système dans sa totalité ?
Sinon si je mets un bind en local qui fait du forwarding, est-ce que je peux bloquer les lookups ipv6 ?
Merci, si vous avez d'autres idées je prend aussi.
Patrick Lamaizière :
Ça marche out-of-the-box avec u3g(4) et un bon vieux script ppp.conf
en 8.X.
Y'a parfois un problème de DNS en raison de la latence du lien (environ
350 ms pour un ping sur un serveur). Ça survient sur des pages web
remplis de pubs : les requêtes n'aboutissent pas, ça réitère et ça se
freeze tout seul. C'est flagrant avez firefox, d'autant plus que même si
on quitte la page il fait encore des requêtes DNS.
J'ai désactivé le lookup DNS ipv6 dans Firefox, y'a-t-il un moyen de
désactiver ça pour le système dans sa totalité ?
Sinon si je mets un bind en local qui fait du forwarding, est-ce que je
peux bloquer les lookups ipv6 ?
Merci, si vous avez d'autres idées je prend aussi.
Ça marche out-of-the-box avec u3g(4) et un bon vieux script ppp.conf en 8.X.
Y'a parfois un problème de DNS en raison de la latence du lien (environ 350 ms pour un ping sur un serveur). Ça survient sur des pages web remplis de pubs : les requêtes n'aboutissent pas, ça réitère et ça se freeze tout seul. C'est flagrant avez firefox, d'autant plus que même si on quitte la page il fait encore des requêtes DNS.
J'ai désactivé le lookup DNS ipv6 dans Firefox, y'a-t-il un moyen de désactiver ça pour le système dans sa totalité ?
Sinon si je mets un bind en local qui fait du forwarding, est-ce que je peux bloquer les lookups ipv6 ?
Merci, si vous avez d'autres idées je prend aussi.
patpro ~ patrick proniewski
In article <hkcr3h$jft$, Patrick Lamaizière wrote:
Sinon si je mets un bind en local qui fait du forwarding, est-ce que je peux bloquer les lookups ipv6 ?
Merci, si vous avez d'autres idées je prend aussi.
Depuis des années, je désactive ipv6 à la compilation du kernel (et dans tous les ports qui proposent l'option).
Sinon tu peux firewaller tout le trafic DNS IPv6.
patpro
-- A vendre : KVM IP 16 ports APC http://patpro.net/blog/index.php/2008/01/12/133
In article <hkcr3h$jft$1@news.davenulle.org>,
Patrick Lamaizière <adresse@est.invalid> wrote:
Sinon si je mets un bind en local qui fait du forwarding, est-ce que je
peux bloquer les lookups ipv6 ?
Merci, si vous avez d'autres idées je prend aussi.
Depuis des années, je désactive ipv6 à la compilation du kernel (et dans
tous les ports qui proposent l'option).
Sinon tu peux firewaller tout le trafic DNS IPv6.
patpro
--
A vendre : KVM IP 16 ports APC
http://patpro.net/blog/index.php/2008/01/12/133
In article <hkcr3h$jft$, Patrick Lamaizière wrote:
Sinon si je mets un bind en local qui fait du forwarding, est-ce que je peux bloquer les lookups ipv6 ?
Merci, si vous avez d'autres idées je prend aussi.
Depuis des années, je désactive ipv6 à la compilation du kernel (et dans tous les ports qui proposent l'option).
Sinon tu peux firewaller tout le trafic DNS IPv6.
patpro
-- A vendre : KVM IP 16 ports APC http://patpro.net/blog/index.php/2008/01/12/133
Pascal Hambourg
Salut,
patpro ~ patrick proniewski a écrit :
Sinon tu peux firewaller tout le trafic DNS IPv6.
C'est facile à faire ? Il ne s'agit pas de requêtes DNS sur IPv6 mais de requêtes DNS de type AAAA (adresse IPv6) sur IPv4, type sur lequel certains serveurs/relais/proxies DNS coincent, pour rester poli.
Salut,
patpro ~ patrick proniewski a écrit :
Sinon tu peux firewaller tout le trafic DNS IPv6.
C'est facile à faire ? Il ne s'agit pas de requêtes DNS sur IPv6 mais de
requêtes DNS de type AAAA (adresse IPv6) sur IPv4, type sur lequel
certains serveurs/relais/proxies DNS coincent, pour rester poli.
C'est facile à faire ? Il ne s'agit pas de requêtes DNS sur IPv6 mais de requêtes DNS de type AAAA (adresse IPv6) sur IPv4, type sur lequel certains serveurs/relais/proxies DNS coincent, pour rester poli.
Patrick Lamaizière
patpro ~ patrick proniewski :
Sinon tu peux firewaller tout le trafic DNS IPv6.
Les lookups DNS se font en ipv4 et je ne vois pas comment filtrer. C'est juste la requete dns qui change (demande un AAAA au lieu d'un A)
patpro ~ patrick proniewski :
Sinon tu peux firewaller tout le trafic DNS IPv6.
Les lookups DNS se font en ipv4 et je ne vois pas comment filtrer. C'est
juste la requete dns qui change (demande un AAAA au lieu d'un A)
Les lookups DNS se font en ipv4 et je ne vois pas comment filtrer. C'est juste la requete dns qui change (demande un AAAA au lieu d'un A)
Patrick Lamaizière
Pascal Hambourg :
Sinon tu peux firewaller tout le trafic DNS IPv6.
C'est facile à faire ? Il ne s'agit pas de requêtes DNS sur IPv6 mais de requêtes DNS de type AAAA (adresse IPv6) sur IPv4, type sur lequel certains serveurs/relais/proxies DNS coincent, pour rester poli.
C'est pour ça que je pensais mettre un bind sur la machine qui bloquerait ces requêtes ?
Pascal Hambourg :
Sinon tu peux firewaller tout le trafic DNS IPv6.
C'est facile à faire ? Il ne s'agit pas de requêtes DNS sur IPv6 mais de
requêtes DNS de type AAAA (adresse IPv6) sur IPv4, type sur lequel
certains serveurs/relais/proxies DNS coincent, pour rester poli.
C'est pour ça que je pensais mettre un bind sur la machine qui
bloquerait ces requêtes ?
C'est facile à faire ? Il ne s'agit pas de requêtes DNS sur IPv6 mais de requêtes DNS de type AAAA (adresse IPv6) sur IPv4, type sur lequel certains serveurs/relais/proxies DNS coincent, pour rester poli.
C'est pour ça que je pensais mettre un bind sur la machine qui bloquerait ces requêtes ?
patpro ~ Patrick Proniewski
In article <hke3ps$1md0$, Patrick Lamaizière wrote:
patpro ~ patrick proniewski :
> Sinon tu peux firewaller tout le trafic DNS IPv6.
Les lookups DNS se font en ipv4 et je ne vois pas comment filtrer. C'est juste la requete dns qui change (demande un AAAA au lieu d'un A)
haaa crap. J'ai pas du tout pensé à ça :)
On oublie le firewall alors, à moins de trouver un fw qui gère le niveau 7.
Après une recherche rapide, je suis tombé la dessus :
le problème touche donc du monde, et la solution de compiler un kernel sans support d'IPv6 semble bonne.
patpro
-- A vendre ! http://www.patpro.net/blog/index.php/2008/01/12/133
patpro ~ Patrick Proniewski
In article <hke2kc$1h2$, Pascal Hambourg wrote:
Salut,
patpro ~ patrick proniewski a écrit : > > Sinon tu peux firewaller tout le trafic DNS IPv6.
C'est facile à faire ? Il ne s'agit pas de requêtes DNS sur IPv6 mais de requêtes DNS de type AAAA (adresse IPv6) sur IPv4, type sur lequel certains serveurs/relais/proxies DNS coincent, pour rester poli.
non, j'ai blondé. Une requête en IPv4 pour la résolution d'adresse v6 ne peut pas être bloquée. Je pensais que la requête se faisait en IPv6...
patpro
-- A vendre ! http://www.patpro.net/blog/index.php/2008/01/12/133
In article <hke2kc$1h2$1@saria.nerim.net>,
Pascal Hambourg <boite-a-spam@plouf.fr.eu.org> wrote:
Salut,
patpro ~ patrick proniewski a écrit :
>
> Sinon tu peux firewaller tout le trafic DNS IPv6.
C'est facile à faire ? Il ne s'agit pas de requêtes DNS sur IPv6 mais de
requêtes DNS de type AAAA (adresse IPv6) sur IPv4, type sur lequel
certains serveurs/relais/proxies DNS coincent, pour rester poli.
non, j'ai blondé. Une requête en IPv4 pour la résolution d'adresse v6 ne
peut pas être bloquée. Je pensais que la requête se faisait en IPv6...
patpro
--
A vendre ! http://www.patpro.net/blog/index.php/2008/01/12/133
patpro ~ patrick proniewski a écrit : > > Sinon tu peux firewaller tout le trafic DNS IPv6.
C'est facile à faire ? Il ne s'agit pas de requêtes DNS sur IPv6 mais de requêtes DNS de type AAAA (adresse IPv6) sur IPv4, type sur lequel certains serveurs/relais/proxies DNS coincent, pour rester poli.
non, j'ai blondé. Une requête en IPv4 pour la résolution d'adresse v6 ne peut pas être bloquée. Je pensais que la requête se faisait en IPv6...
patpro
-- A vendre ! http://www.patpro.net/blog/index.php/2008/01/12/133
Pascal Hambourg
Patrick Lamaizière a écrit :
Pascal Hambourg :
Il ne s'agit pas de requêtes DNS sur IPv6 mais de requêtes DNS de type AAAA (adresse IPv6) sur IPv4, type sur lequel certains serveurs/relais/proxies DNS coincent, pour rester poli.
C'est pour ça que je pensais mettre un bind sur la machine qui bloquerait ces requêtes ?
BIND a des options pour utiliser ou pas le transport IPv6, mais je ne connais pas d'option pour rejeter les requêtes en fonction de leur type.
Patrick Lamaizière a écrit :
Pascal Hambourg :
Il ne s'agit pas de requêtes DNS sur IPv6 mais de
requêtes DNS de type AAAA (adresse IPv6) sur IPv4, type sur lequel
certains serveurs/relais/proxies DNS coincent, pour rester poli.
C'est pour ça que je pensais mettre un bind sur la machine qui
bloquerait ces requêtes ?
BIND a des options pour utiliser ou pas le transport IPv6, mais je ne
connais pas d'option pour rejeter les requêtes en fonction de leur type.
Il ne s'agit pas de requêtes DNS sur IPv6 mais de requêtes DNS de type AAAA (adresse IPv6) sur IPv4, type sur lequel certains serveurs/relais/proxies DNS coincent, pour rester poli.
C'est pour ça que je pensais mettre un bind sur la machine qui bloquerait ces requêtes ?
BIND a des options pour utiliser ou pas le transport IPv6, mais je ne connais pas d'option pour rejeter les requêtes en fonction de leur type.
Pascal Hambourg
patpro ~ Patrick Proniewski a écrit :
Une requête en IPv4 pour la résolution d'adresse v6 ne peut pas être bloquée. Je pensais que la requête se faisait en IPv6...
Le protocole transportant la requête dépend uniquement du type de l'adresse du serveur interrogé, et pas du type d'enregistrement demandé. C'est évident pour les enregistrements de types autres qu'adresse (SOA, NS, MX...), et c'est pareil pour les enregistrements de type adresse A et AAAA.
Le filtre de paquets pourrait éventuellement identifier un motif spécifique à une requête AAAA dans les données du paquet, mais pour quoi faire ? Le bloquer silencieusement : cela revient au même de l'envoyer à un serveur qui ne répond pas. Le rejeter avec un message d'erreur ICMP : sur ma machine GNU/Linux ça ne fait pas de faire de différence pour les outils de test DNS comme host et dig, ils attendent quand même le time-out.
patpro ~ Patrick Proniewski a écrit :
Une requête en IPv4 pour la résolution d'adresse v6 ne
peut pas être bloquée. Je pensais que la requête se faisait en IPv6...
Le protocole transportant la requête dépend uniquement du type de
l'adresse du serveur interrogé, et pas du type d'enregistrement demandé.
C'est évident pour les enregistrements de types autres qu'adresse (SOA,
NS, MX...), et c'est pareil pour les enregistrements de type adresse A
et AAAA.
Le filtre de paquets pourrait éventuellement identifier un motif
spécifique à une requête AAAA dans les données du paquet, mais pour quoi
faire ? Le bloquer silencieusement : cela revient au même de l'envoyer à
un serveur qui ne répond pas. Le rejeter avec un message d'erreur ICMP :
sur ma machine GNU/Linux ça ne fait pas de faire de différence pour les
outils de test DNS comme host et dig, ils attendent quand même le time-out.
Une requête en IPv4 pour la résolution d'adresse v6 ne peut pas être bloquée. Je pensais que la requête se faisait en IPv6...
Le protocole transportant la requête dépend uniquement du type de l'adresse du serveur interrogé, et pas du type d'enregistrement demandé. C'est évident pour les enregistrements de types autres qu'adresse (SOA, NS, MX...), et c'est pareil pour les enregistrements de type adresse A et AAAA.
Le filtre de paquets pourrait éventuellement identifier un motif spécifique à une requête AAAA dans les données du paquet, mais pour quoi faire ? Le bloquer silencieusement : cela revient au même de l'envoyer à un serveur qui ne répond pas. Le rejeter avec un message d'erreur ICMP : sur ma machine GNU/Linux ça ne fait pas de faire de différence pour les outils de test DNS comme host et dig, ils attendent quand même le time-out.
Patrick Lamaizière
patpro ~ Patrick Proniewski :
le problème touche donc du monde, et la solution de compiler un kernel sans support d'IPv6 semble bonne.
J'ai essayé et ça semble mieux pour midori. Par contre certains utilitaires font toujours des requetes AAAA (telnet, ssh), sauf si c'est explicité sur la ligne de commande (ex telnet -4)
patpro ~ Patrick Proniewski :
le problème touche donc du monde, et la solution de compiler un kernel
sans support d'IPv6 semble bonne.
J'ai essayé et ça semble mieux pour midori.
Par contre certains utilitaires font toujours des requetes AAAA (telnet,
ssh), sauf si c'est explicité sur la ligne de commande (ex telnet -4)
le problème touche donc du monde, et la solution de compiler un kernel sans support d'IPv6 semble bonne.
J'ai essayé et ça semble mieux pour midori. Par contre certains utilitaires font toujours des requetes AAAA (telnet, ssh), sauf si c'est explicité sur la ligne de commande (ex telnet -4)
