[FRnOG] [TECH] Blocage DNS Telegram
Hello, Vous confirmez que chez vous aussi t.me est censuré avec les DNS de votre FAI ? En 5G Orange j’ai un timeout. Avec DNS maison ou VPN c’est OK. Curieux de savoir chez les autres fournisseurs. Romain --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Re: Blocage DNS Telegram
Confirmé sur Twitter chez SFR aussi. Le sam. 13 mai 2023 à 09:19, Romain a écrit : > Hello, > > Vous confirmez que chez vous aussi t.me est censuré avec les DNS de votre > FAI ? > > En 5G Orange j’ai un timeout. Avec DNS maison ou VPN c’est OK. > > Curieux de savoir chez les autres fournisseurs. > > Romain >
[FRnOG] [TECH] Re: Blocage DNS Telegram
Ça semble être l’IP utilisée sur http://interieur1.eu.org/ pour l’avertissement d’accès « illégal ». Le sam. 13 mai 2023 à 09:21, Romain a écrit : > Confirmé sur Twitter chez SFR aussi. > > > > Le sam. 13 mai 2023 à 09:19, Romain a écrit : > >> Hello, >> >> Vous confirmez que chez vous aussi t.me est censuré avec les DNS de >> votre FAI ? >> >> En 5G Orange j’ai un timeout. Avec DNS maison ou VPN c’est OK. >> >> Curieux de savoir chez les autres fournisseurs. >> >> Romain >> >
Re: [FRnOG] [TECH] Re: Blocage DNS Telegram
Bonjour, $ ./Check.DNS.Censorshit.sh -drogcp -u t.me Cloudflare : NOERROR;t.me;"149.154.167.99";1.0.0.1;20230513_092437;1683962677;"2017053102 600";+; Google : NOERROR;t.me;"149.154.167.99";8.8.4.4;20230513_092437;1683962677;"2017053102 600";+; Orange : NOERROR;t.me;"77.159.252.152";81.253.149.10;20230513_092438;1683962678;"";+; OBS : NOERROR;t.me;"77.159.252.152";194.2.0.50;20230513_092438;1683962678;"";+; $ 152.252.159.77.in-addr.arpa domain name pointer 152.252.159.77.rev.sfr.net. Cocasse. Le 13/05/2023 à 09:21, Romain a écrit : Confirmé sur Twitter chez SFR aussi. Le sam. 13 mai 2023 à 09:19, Romain a écrit : Hello, Vous confirmez que chez vous aussi t.me est censuré avec les DNS de votre FAI ? En 5G Orange j’ai un timeout. Avec DNS maison ou VPN c’est OK. Curieux de savoir chez les autres fournisseurs. Romain --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Blocage DNS Telegram
Bonjour, Même constat sur le DNS du réseau 4G de Bouygues Telecom. t.me pointe également vers 77.159.252.152 Émile Le sam. 13 mai 2023, 09:26, yoshi a écrit : > Bonjour, > > $ ./Check.DNS.Censorshit.sh -drogcp -u t.me > Cloudflare : > NOERROR;t.me;"149.154.167.99";1.0.0.1;20230513_092437;1683962677;"2017053102 > > 600";+; > Google : > NOERROR;t.me;"149.154.167.99";8.8.4.4;20230513_092437;1683962677;"2017053102 > > 600";+; > Orange : > NOERROR;t.me > ;"77.159.252.152";81.253.149.10;20230513_092438;1683962678;"";+; > OBS : > NOERROR;t.me;"77.159.252.152";194.2.0.50;20230513_092438;1683962678;"";+; > $ > > 152.252.159.77.in-addr.arpa domain name pointer 152.252.159.77.rev.sfr.net > . > > Cocasse. > > Le 13/05/2023 à 09:21, Romain a écrit : > > Confirmé sur Twitter chez SFR aussi. > > > > > > > > Le sam. 13 mai 2023 à 09:19, Romain a écrit : > > > >> Hello, > >> > >> Vous confirmez que chez vous aussi t.me est censuré avec les DNS de > votre > >> FAI ? > >> > >> En 5G Orange j’ai un timeout. Avec DNS maison ou VPN c’est OK. > >> > >> Curieux de savoir chez les autres fournisseurs. > >> > >> Romain > >> > > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Blocage DNS Telegram
Les petites requêtes ripe atlas qui vont bien : https://atlas.ripe.net/measurements/53642788/ et https://atlas.ripe.net/measurements/53642832/ $ blaeu-resolve --country=FR --requested=1000 --ipv4 t.me [2001:67c:4e8:f004::9] : 599 occurrences [::1] : 308 occurrences [] : 83 occurrences [2a01:729:16e:10:ff:0:4d9f:fc98] : 2 occurrences [::] : 1 occurrences [:::146.112.252.214 :::146.112.56.151 :::146.112.56.162 :::146.112.56.165 :::146.112.56.167 :::146.112.56.212] : 1 occurrences [ERROR: SERVFAIL] : 1 occurrences Test #53642788 done at 2023-05-13T08:26:44Z $ blaeu-resolve --country=FR --requested=1000 --type A --ipv4 t.me [149.154.167.99] : 599 occurrences [77.159.252.152] : 392 occurrences [0.0.0.0] : 2 occurrences [146.112.252.214 146.112.56.151 146.112.56.162 146.112.56.165 146.112.56.167 146.112.56.212] : 1 occurrences [ERROR: SERVFAIL] : 1 occurrences Test #53642832 done at 2023-05-13T08:28:38Z Le 13/05/2023 à 09:43, Emile Tranchon a écrit : Bonjour, Même constat sur le DNS du réseau 4G de Bouygues Telecom. t.me pointe également vers 77.159.252.152 Émile Le sam. 13 mai 2023, 09:26, yoshi a écrit : Bonjour, $ ./Check.DNS.Censorshit.sh -drogcp -u t.me Cloudflare : NOERROR;t.me;"149.154.167.99";1.0.0.1;20230513_092437;1683962677;"2017053102 600";+; Google : NOERROR;t.me;"149.154.167.99";8.8.4.4;20230513_092437;1683962677;"2017053102 600";+; Orange : NOERROR;t.me ;"77.159.252.152";81.253.149.10;20230513_092438;1683962678;"";+; OBS : NOERROR;t.me;"77.159.252.152";194.2.0.50;20230513_092438;1683962678;"";+; $ 152.252.159.77.in-addr.arpa domain name pointer 152.252.159.77.rev.sfr.net . Cocasse. Le 13/05/2023 à 09:21, Romain a écrit : Confirmé sur Twitter chez SFR aussi. Le sam. 13 mai 2023 à 09:19, Romain a écrit : Hello, Vous confirmez que chez vous aussi t.me est censuré avec les DNS de votre FAI ? En 5G Orange j’ai un timeout. Avec DNS maison ou VPN c’est OK. Curieux de savoir chez les autres fournisseurs. Romain --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Rémy Grünblatt -- Maître de Conférences @ Télécom Sud-Paris Bureau ( Palaiseau ) : +33 1 75 31 41 13 Bureau ( Évry ) : +33 1 60 76 43 07 Email Pro :remy.grunbl...@telecom-sudparis.eu Email Perso :r...@grunblatt.org Mobile : 0651740613 Page Perso :https://remy.grunblatt.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Sécuriser backend pki sub
Bonjour J’ai mis en place une interface de pré-auth sur un équipement Linux qui joue le rôle de frontend qui en fonction des identifiants (login password) qui sont mis redirige ou pas vers vers ma backend sub pki ou vers un autre sub pki sur le port 8082.( zone utilisateur, zone serveur …) Pour entre autre autoriser l’ajout de csr et la récupération de certificat signé par ma sub pki, la récupération de la chaîne de certificat, et la récupération de la root ca. Si les identifiants sont mauvais et au bout de 3 erreurs, il redirige vers une page denied. Pareil s’il détecte une anomalie Un fail2ban interagit avec l’environnement pour bloquer l’ip source de l’utilisateur ayant généré 100 mauvaise tentatives successives Mon problème réside davantage sur le besoin de bloquer tout le trafic arrivant sur la backend centos 7 sur le port 8082 si et seulement si là frontend n’a pas donnée son accord. La page web d’authentification sur la frontend est sous Apache J’avais pour idée de créer un reverse nginx qui écoute sur le port 8082 à partir de la frontend et dans le cas d’une authentification réussite par un utilisateur, rediriger vers la backend sur son url vers le port 8082 mais avec un échange de clé pour dire go tu peux donner accès à la page web la personne s’est authentifié donc c’est du sur. Dans le cas contraire toute requête arrivant en direct sur la backend sur le port 8082 doivent être rejetée, car pas eu de pré-authentification en amont. Comment puis je faire pour mener à bien ma démarche sachant que dans la backend j’ai un serveur ejcba qui est critique et que je ne souhaite pas autoriser n’importe qui à s’y connecter et l’usage d’acl a été fait sur le core mais j’aimerai davantage ne pas avoir à passer mon temps à fournir des certificats aux membres de ma société. Topologie Un serveur front end sur un plan d’adressage en exemple 10.0.0.199/24 Un serveur back end sur un plan d’adressage en exemple 10.0.0.200/24 La passerelle étant identique au deux machines, 10.0.0.254 L’idée est d’empêcher n’importe quelle réseau arrivant sur la 200 si la 199 ne lui a pas donnée l’accord. Le serveur en .200 peut être filtré par un pare-feu mais j’aimerai davantage que le mécanisme d’interrogation de l’active directory en frontend ne soit pas contournée en tapant directement l’URL de la backend, ce qui a ce jour fonctionne, et rend inutile mon taff en amont. Est ce que un échange par api avec un échange de token peut se faire entre là front et la backend pour faire le job ? Si vous avez des idées pour solutionner mon sujet je vous en serait reconnaissant Ps: la root CA quant à elle est éteinte. Merci bien Stéphane --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Blocage DNS Telegram
On Sat, May 13, 2023 at 09:19:03AM +0200, Romain wrote a message of 16 lines which said: > Vous confirmez que chez vous aussi t.me est censuré avec les DNS de votre > FAI ? Ça dépend du FAI. https://www.bortzmeyer.org/blocage-telegram-france.html --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Blocage DNS Telegram
Et un peu plus de news dans cet article : https://www.lemonde.fr/pixels/article/2023/05/13/les-adresses-telegram-bloquees-en-france-par-erreur_6173242_4408996.html « La police a reconnu une « erreur humaine » ayant mené au blocage, pendant plusieurs heures, des adresses menant à la messagerie Telegram. Un couac, alors que le gouvernement entend étendre la possibilité de bloquer les sites Web grâce à un nouveau projet de loi. » Rémy --- Liste de diffusion du FRnOG http://www.frnog.org/
