Bloquer les serveurs DNS publics de Google et Cloudflare

J’évoquais, il y a quelques temps, l’utilisation intempestive des DNS publics proposés par Google dans Chromium. Mozilla s’apprête à faire confiance aux serveurs de Cloudflare pour sécuriser les requêtes DNS à partir de Firefox. Il est temps de songer à vous protéger de ces utilisations non désirées qui envoient vos données de navigation à ces grands acteurs de l’Internet. Vous allez voir que Apple va bientôt configurer Safari pour utiliser ses propres DNS. Idem pour Edge et Chrome !

Bloquer les serveurs DNS publics  de Google et de Cloudflare sur Windows

A partir de la console wf.msc disponible dans toutes les versions de Windows (à partir de Vista), ajoutez une règle de pare-feu sortante dont l’objet est de bloquer les adresses IPv4 et IPv6 des serveurs DNS indélicats :

Une fois dans la console wf.msc, faites un clic droit sur Règles de trafic sortant > Nouvelle Règle.

Donnez un nom à cette règle. Cochez Activé et Bloquer la connexion.

Sélectionnez Tous les programmes.

Choisissez Tous dans Type de protocole.

Inscrivez les adresses IP dans Adresse IP distante.

Laissez cocher les trois profils de carte (Domaine, Privé, Public) afin que le blocage s’applique à toute l’activité réseau.

Bloquer les adresses IP des serveurs DNS à l’aide de Iptables sous Linux

Firewalld, présent dans Fedora / CentOS / Red Hat est un logiciel fait pour maîtriser les flux entrants. Il simplifie l’administration du pare-feu sous Linux. C’est son seul intérêt ! Il n’est pas fait pour bloquer les flux sortants. Dans un billet assez ancien, je vous ai expliqué comment réinstaller Iptables en lieu et place de Firewalld. Une fois réinstallé, vous devez éditer les fichiers /etc/sysconfig/iptables et /etc/sysconfig/ip6tables et y ajouter respectivement :

#Règles pour /etc/sysconfig/iptables
-A OUTPUT -d 8.8.8.8 -j DROP
-A OUTPUT -d 8.8.4.4 -j DROP
-A OUTPUT -d 1.1.1.1 -j DROP
-A OUTPUT -d 1.0.0.1 -j DROP
#Règles pour /etc/sysconfig/ip6tables
-A OUTPUT -d 2001:4860:4860::8888 -j DROP
-A OUTPUT -d 2001:4860:4860::8844 -j DROP
-A OUTPUT -d 2606:4700:4700::1111 -j DROP
-A OUTPUT -d 2606:4700:4700::1001 -j DROP

N’oubliez pas de redémarrer les services iptables et ip6tables :

systemctl restart iptables
systemctl restart ip6tables
 

Réseau / , , , ,