I took a look at the awesome self-hosted repo and found DailyTxt. I have no experience with it but maybe worth a try?

Cette technique marche aussi en ipv6. Je crois que l’équivalent consiste à mapper le domaine sur ::.

D’ailleurs si ce n’est pas fait, le simple mapping vers 0.0.0.0 ne garantit le blocage que si tous les clients sont uniquement ipv4. Ça se fait rare de nos jours. Un client ipv6 continuerait à obtenir la vraie ipv6 du domaine.

ça utilise des filtres avec IPv4

Que veux-tu dire ? Le filtrage se fait en général sur le nom de domaine, pas sur l’IP. Je doute que tes filtres soient vraiment des listes d’IPv4 à bannir.

Et par curiosité, tu as essayé d’utiliser uniquement ipv6 ? Je me demande si ça serait encore une contrainte aujourd’hui. Est-ce qu’il y a encore des serveurs sur internet qui ne sont accessibles qu’en ipv4 ? Ou inversement des clients qui sont seulement ipv4 ?

Puisqu’il n’y a plus d’ipv4 disponible, je me dis qu’il doit déjà y avoir des particuliers qui n’ont que de la v6, non ? Le CGNAT n’est qu’un pansement qui retarde l’inéluctable.

Je viens de revérifier. Peut-être que j’ai mal interprété ton premier message. Mais je tiens à éviter toute confusion : CGNAT n’existe pas en ipv6. Si tu as du CGNAT, c’est sur la partie stack ipv4 fournie par SFR en parallèle de la stack ipv6. C’est contraignant parce que l’ipv4 est plus facile à gérer que l’ipv6 donc on la préfère quand c’est possible.

Le support semble pouvoir rebasculer en ipv4 full stack (en insistant pas mal). Et sinon la solution ultime c’est d’abandonner l’ipv4 et de migrer totalement vers l’ipv6 qui permet un accès total. Tes services ne seront alors plus accessibles en ipv4. Je ne sais pas à quel point c’est encore gênant en 2024, ça.

Je m’auto-réponds : tu pensais peut-être au CGN pour faire un tunnel IPv6 => IPv4 comme visible ici? Dans ce cas, tu n’as pas vraiment de l’IPv6, correct ? Est-ce que les appareils de ton réseau ont une IPv6 (autre que des link-local en fe80:, j’entends) ?

Du CGNAT sur de l’IPv6 ? Tu es sûr que ça existe ? Ma compréhension, c’est que le CGNAT est une astuce pour ralentir l’épuisement des IPv4 disponibles, en attribuant une même IPv4 à plusieurs abonnés. Chaque abonné se voit attribuer une part des ports disponibles. Free m’a un jour passé sur ce mode sans prévenir mais c’est heureusement désactivable en demandant une IPv4 full stack.

qui ne permet donc pas de faire de la redirection de port

Ce n’est pas tout à fait vrai. Tu peux continuer à rediriger des ports mais si le FAI ne t’a pas attribué la première tranche des ports (les plus utiles pour faire de l’auto hébergement), l’intérêt est moindre. Tu ne pourras pas héberger de service https sur 443, par exemple.

Je ne suis pas sûr non plus que la notion de redirection de port ait encore un sens en IPv6. Pas au sens de la NAT en tout cas, qui est une techno typiquement IPv4, allant de pair avec les plages d’adresses privées (type 192.168.x.y). Tout ceci étant un contournement pour ralentir l’épuisement des IPv4 disponibles. En IPv6, il n’y a pas de risque d’épuisement donc les FAI attribuent une plage de 2^64 IPs à chaque abonné. Y a de quoi faire.

Quant à l’exposition par défaut du serveur SSH, je ne sais plus trop ce qu’il en est aujourd’hui mais à une époque pas si lointaine, Debian l’activait. Bon il fallait avoir coché l’option “serveurs usuels du système” ou un truc comme ça à l’install. Mais le serveur était configuré par défaut pour accepter les connexions par mot de passe, ce qui n’était pas glop glop.

Pour moi, le plus grand danger, ce sont les petits appareils comme les caméras. Combien sont déballées, branchées et restent là avec leur mot de passe “admin1234” d’usine ? Tant que la cam est derrière une NAT IPv4, le danger est moindre. Mais si elle devient publique, c’est beaucoup moins rigolo.

Oui, UPnP est une autre faille de sécurité qu’il vaut mieux désactiver à mon avis.

Well, I have not really thought about why. I guess that’s partly due to old habits of running services on the host with systemd (my migration to docker is recent and still a work in progress). But I guess I’d like to continue to be able to resolve names of local devices on my network when connected through ssh on the host. Is that inherently wrong, still? I will implement the secondary DNS as a fallback. I am hoping to get rid of the issue that way.

Your suggestion looks similar to this other comment and makes sense. I’ll try that!

I have never managed to wrap my head around DoH and DoT but this is on my todo list ^^

I didn’t know dnsmasq has an adblock plugin, I’ll have a look. Originally, I was using dnsmasq alone (running on bare metal). Then I migrated to docker and added pi-hole for ad blocking. I tried to get rid of dnsmasq but pi-hole’s embedded DHCP is not as configurable as dnsmasq’s and I could not address my use case.

Thanks a lot for your time!

I see. I kind of thought about it earlier today while mulling over the problem. I can definitely do that first because it’s easy and makes total sense.

I already have prometheus monitoring the DNS resolution, I think. I’ll check!

Thanks for taking the time to answer!

Yeah, that was my plan B. To be honest, I was not super confident that it would work when I put this setup together, because of the “host uses a container as DNS and docker uses the host as DNS” kind of circular dependency.

But people do use docker for DNS servers so it has to work, right? That’s where I’d like to understand where I’m wrong. I’m fine with running pi hole and dnsmasq on the host as long as I get why this is not doable in docker.

Thanks for your input, though. That’s helpful.

In both the pi-hole (exposed on the host) and dnsmasq (used as upstream by pi-hole) containers:

# Generated by Docker Engine.
# This file can be edited; Docker Engine will not make
 further changes once it
# has been modified.

nameserver 127.0.0.11
options ndots:0

# Based on host file: '/etc/resolv.conf' (internal res
olver)
# ExtServers: [host(127.0.0.1)]
# Overrides: []
# Option ndots from: internal

So they are pointing to docker’s embedded DNS, itself forwarding to the host.

Contre la fédé avec des géants du domaine. Cet article de la quadrature du net sur le sujet est intéressant. Il évoque le précédent de XMPP et GTalk avant que Google transforme GTalk en Hangout et le sorte de XMPP. Le risque que Méta bouffe le fedivers après avoir capté son public est réel.

C’est aussi ce que je pense. Hélas les commentaires mis en avant en bas de l’article me font douter. J’espère que c’est juste une sélection biaisée.