Natta

Notre résolveur DNS ouvert et gratuit

89.234.141.66
2a00:5881:8100:1000::3

UDP et TCP, port 53 (standard), validation DNSSEC
DoH à venir

Qu'est-ce qu'un résolveur DNS ouvert ?

Un résolveur DNS est une sorte d’annuaire qui permet à vos équipements de transformer un nom de domaine en une adresse IP (par exemple « wikipedia.org » en « 185.15.58.224 »).

Un résolveur DNS est dit ouvert si n'importe quelle machine connectée à Internet peut interroger cet annuaire.

Pour en savoir plus : nous organisons de temps en temps un atelier ludique Network & Magic (sans ordinateur) destiné à faire découvrir de façon ludique le fonctionnement d’Internet.

À quoi sert ce résolveur DNS ?

Répondre aux requêtes DNS de nos abonné⋅es

Avant tout, il nous sert à fournir un résolveur DNS par défaut à nos membres abonné⋅es.

Connaitre LA vérité

Ce résolveur DNS ne censure aucun site web : le gouvernement ne nous transmet pas la liste des sites à censurer, nous ne faisons pas de pub avec, ni de contrôle parental.

Éviter le pistage

Ce résolveur DNS n’enregistre pas la liste des sites que vous consultez et la loi ne nous y contraint pas car elle s’applique uniquement aux opérations de modification de contenu.

Aider des logiciels libres

Ce résolveur DNS est aussi utilisé par des logiciels libres (comme YunoHost) qui ont besoin d'accéder à des résolveurs DNS ouvert pour diverses raisons.

Comment configurer ce résolveur DNS ?

Avant d'aller plus loin, il faut définir si les changements concerneront un seul équipement ou bien tous vos équipements connectés à Internet (tous les ordinateurs, tablettes, smartphones, etc.). Dans le premier cas, la manipulation est à effectuer sur l'équipement en question et varie en fonction de votre système d'exploitation. Dans le second cas, il est plus rapide et plus simple d'effectuer le changement sur votre Box Internet.

Ci-dessous un exemple avec une box d'un BOFS.1 Il est fort possible qu'il y ait des différences de procédure avec votre Box, voir même que votre FAI vous empèche de faire la modification.2

1. Se rendre sur l'interface de la box

Pour vous connecter, essayer d'afficher les pages web suivantes, jusqu'à ce que l'une d'entre-elles affichent quelques choses:

2. Se connecter

En général, si vous ne les avez pas changé, les identifiants se trouvent sur une étiquette sur votre box ou accessible via un petit écran de 5cm.

Astuce : si c'est un vieux routeur, vous pouvez essayer avec admin ou root en identifiant et admin ou 1234 en mot de passe.

3. Fouiller l'interface

Il faut ensuite fouiller l'interface pour trouver les champs qui permettent de configurer le résolveur DNS primaire et le secondaire.

Capture d'écran du formulaire pour changer les résolveurs primaire et secondaire Capture d'écran de l'interface d'une box Red by SFR pour changer les résolveurs DNS

Ci-dessous, quelques chemins qui peuvent vous y mener:

  • Red by SFR (Box: F@st3686 V1b): Réseau > Paramètres de base > Configuration réseau wan > Utiliser l'adresse de serveur DNS suivante

Pour vérifier que votre modification est effective, vous pouvez utiliser le site web IPLeak. « 89.234.141.66 » doit être indiqué en dessous de la mention « DNS Address detection ».


  1. Bouygues, Orange, Free, SFR 

  2. OpenDNS et livebox 

Résolveurs de secours

FAI associatif IPv4 IPv6
Aquilenet 185.233.100.100 2a0c:e300::100
Aquilenet 185.233.100.101 2a0c:e300::101
FDN 80.67.169.12 2001:910:800::12
FDN 80.67.169.40 2001:910:800::40

Foire aux questions

Non. Si vous l'utilisez pour un projet libres n'hésitez pas à nous le signaler et prévoyez de la redondance au cas où ce résolveur est en panne.

Parce que ces résolveurs mentent et/ou enregistrent les sites que l'on consulte avec.

Oui :

  • Les Fournisseurs d'Accès à Internet commerciaux français d'envergure nationale ont tous eu la tentation d'envoyer de la publicité quand un site web n'existe pas (exemple : vous avez tapé « arnfai.net » au lieu d'« arn-fai.net » dans la barre d'adresse de votre navigateur web). Certains l'ont mise en pratique comme SFR ou Alice.
    D'autres récursifs DNS « mentent » pour des raisons de sécurité (pour vous empêcher d'aller sur un site contenant des virus et autres joyeusetés, pour corriger automatiquement vos fautes de frappe d'un nom pour éviter de tomber sur un mauvais site web, etc.) qui ne sont pas forcément légitimes (autonomie des personnes, erreur d'appréciation de la qualité d'un site web, etc.).

  • C'est sur le DNS que repose le blocage judiciaire des sites web de jeux d'argent qui ne payent pas leur licence d'exploitation à l'État (loi 2010-476 de 2010), ou de tout autre site web (exemples : t411 et Copwatch). Mais aussi tout le blocage administratif (hors procédure judiciaire), sur liste secrète du ministère de l'Intérieur, des sites web pédopornographiques (loi LOPPSI 2 de 2011) ou faisant l'apologie du terrorisme (loi Cazeneuve de 2014). Ces types de blocage sont insidieux puisqu'ils ne font pas disparaître les problèmes, ni ne viennent au secours des victimes, ni ne les dédommagent : les infractions à la loi et les atteintes aux personnes continuent… mais en silence, derrière le rideau, puisque leurs auteur·-e·-s ne sont pas arrêté·-e·-s. Bloquer des sites web, c'est fermer les yeux sur des problèmes plutôt que de s'attaquer à leurs racines. De plus, comment contrôler la légitimité de l'action du gouvernement dans le cas du blocage administratif afin d'éviter les dérives ? Un des premiers sites web bloqués dans ce contexte, islamic-news, l'a été sans véritables arguments de droit ou de fait de la part du gouvernement.

  • Du point précédent découle une inégalité entre les citoyens. Un blocage judiciaire est opposable aux seuls Fournisseurs d'Accès à Internet qui font l'objet d'une décision définitive de la justice. Dans le cadre du blocage administratif, la liste secrète est communiquée par le Ministère de l'Intérieur aux Fournisseurs d'Accès à Internet sélectionnés par le gouvernement. En pratique, dans les deux cas, il s'avère que seuls les plus gros FAI commerciaux de France d'envergure nationale sont contraints à prendre des mesures de blocage. Quid du citoyen qui a recours aux prestations d'un autre FAI (université, travail, association, etc.) ? Sans compétences particulières, les contenus consultables en ligne par l'ensemble des citoyens français sont différents. Est-ce que cette différence d'accès à l'information est acceptable ?

Nous n’enregistrons aucune donnée de connexion car nous ne sommes légalement pas contraint de le faire.

Non, nous ne souhaitons pas que ce résolveur génère du trafic inhabituel pour un résolveur DNS.

Notre résolveur vérifie cryptographiquement la validité d’une réponse DNS. Toutefois, à moins que vous n’ayez mis en place une solution pour valider cette info sur votre équipement, vous restez vulnérable à une manipulation située entre vous et le résolveur d’ARN.

De fait, la validation DNSSEC sur notre résolveur, n'apporte réellement toutes ses garanties qu'aux abonné⋅es ayant un service avec une IP ARN.

Parce qu’on a pas encore eu le temps. N’hésitez pas à venir nous aider afin que nous puissions le mettre en place :)

La mise en place de notre service de résolveur DNS est documentée sur la page wiki des bénévoles comment monter un recursif DNS ouvert.

Avant d'ouvrir un récursif DNS ouvert au public, il y a quelques précautions à prendre afin que celui-ci ne soit pas utilisé pour conduire des attaques DDoS de grande envergure.

Voir en détail les réflexions pour protéger un résolveur DNS ouvert.