Bonjour,
Mon petit serveur maison, qui ne fait tourner que quelques services et qui n’est utilisé et connu que par moi, semble subir des “attaques” ? Je fais tourner AdGuard Home dessus, et je constate qu’il y a des millions de requêtes bloquées :
Quelqu’un saurait d’où vient ce problème, et ce que je pourrais faire pour le stopper ?
Merci.
Salut à toi
ce n’est pas un problème, c’est bien le but d’un bloqueur de pubs de bloquer les requetes DNS vers les serveurs de pub non?
AdGuard Home protège plusieurs appareils chez moi (PC et smartphones), mais ces appareils n’ont qu’un accès limité au réseau (usage « raisonnable ») ; ces millions de requêtes ne viennent pas de mes appareils vers l’extérieur, mais de machines de l’extérieur vers mon serveur. Ces requêtes viennent d’adresses brésiliennes. Dans la section « domaines les plus recherchés », le premier de la liste, atlassian.com, je ne sais même d’où d’où ça vient, en tout cas, ça ne vient pas de mes machines. Et comme tu le vois, parmi les 9+ millions de requêtes, seules 4- millions sont bloquées. En temps normal, c’est peut-être quelques milliers de requêtes par semaine qui viennent de mes machines. Là, ça bombarde plusieurs fois par secondes, même quand mes machines sont éteintes (en dehors du serveur Yunohost qui est allumé 24h/24).
Petite capture d’écran récente :
PS : une recherche rapide sur le 'ternet montre que je ne suis pas le seul.
https://www.reddit.com/r/homelab/comments/17f7qzy/is_there_a_logical_explanation_for_why_my_dns/
https://www.reddit.com/r/Adguard/comments/17fgvnj/constant_queries_for_ciscocom_coming_from_outside/
Comme je ne comprends pas grand-chose aux histoires de réseau, j’ai juste ajouté l’adresse CIDR (192.168.1.1/24) de mes machines locales dans la liste des clients autorisés. Depuis, les requêtes « alien » ont disparu.
Ceci dit, si les plus expérimentés ont des conseils, de meilleures solutions…
avec plus de précisions, effectivement on comprend mieux le problème.
je pense que ton instance adguard etait effectivement ouverte à tout l’internet.
Tu as bien fait de restreindre à ton réseau local. par contre l’adresse CIDR de ton réseau est plutot 192.168.1.0/24
Bonne journée
J’ai eu le problème avec des requêtes plutôt US et chinoises par milliers, il m’a suffi de supprimer la redirection du port 53 depuis l’extérieur, comme ça seulement le réseau local a accès au serveur DNS…
À quel endroit as-tu supprimé la redirection du port 53 ? Est-ce que l’outil de diagnostic de YNH ne va pas se plaindre ? J’ai cherché dans les paramètres de Adguard, je n’ai pas trouvé.
Depuis la modification, les graphiques sont moins stressants 
Sur mon routeur. Le diagnostic se plaint mais je l’ignore : je n’ai pas besoin de rediriger les requètes dns depuis l’extérieur, au contraire !
Gardez bien en tête que sur le grand Internet, il y a PLEIN de monde, et encore plus de robots, qui analysent tout ce qu’ils peuvent dans tous les sens, mais genre, pour de vrai, beaucoup, tout le temps.
Protégez-vous, ne vous dites pas que personne ne connaît votre serveur, parce que tout le monde le connaît en fait.
Je crois que la méthode décrite ici permet aussi de rester en réseau local : Adguard Home with VPNClient - Using the external IP and not accessible or usable from local network with local IP. · Issue #72 · YunoHost-Apps/adguardhome_ynh · GitHub
Puis celle-ci : Ports exposure in Yunohost - Adguard won't start · Issue #71 · YunoHost-Apps/adguardhome_ynh · GitHub
Un résolveur DNS pour usage personnel doit rester personnel : n’ouvrez jamais le port 53 vers les Internets. 
Hum, j’ai fermé le port 53 (UDP), et AdGuard ne fait plus son boulot, il me semble : plus aucune requête ne s’affiche. Si je rouvre le port, les requêtes (de machines locales) réapparaissent.
NOTA BENE :
Avec ces quantités astronomiques de requêtes, la mise à jour de AdGuard Home était impossible, Yunohost m’indiquait que l’espace disque était insuffisant !
Selon df -h, j’avais :
/dev/sda6 227G 144G 72G 67% /
Après la suppression des logs dans AdGuard, j’ai maintenant :
/dev/sda6 227G 7,2G 209G 4% /
Et j’ai pu effectuer la mise à jour.
Je n’imaginais même pas que de simples « logs », même avec des millions d’entrées, pourraient consommer autant de disque dur ! 
Il faut garder ouvert le port 53 sur le réseau local, mais pas sur Internet.
Pour l’IPv4, c’est au niveau de ta box (attention à l’UPNP qui peut le faire tout seul) qu’il ne faut pas rediriger.
Et pour l’IPv6, la c’est plus compliqué, j’aurai tendence à bloquer le port carrément, et n’utiliser que l’IPv4 sur le réseau local (et puis je ne crois pas que l’interface actuelle du firewall YunoHost permette d’autoriser un port selon le réseau d’origine).
J’ai désactivé la redirection du port 53 UDP sur ma Freebox, le diagnostic indique tout de même que le port est accessible depuis l’extérieur. Je ne sais pas s’il faut redémarrer la bosque !? En attendant, le mieux étant l’ennemi du bien, je me contente de ce qui fonctionne.
(UPnP désactivé chez moi)
j’ai ouvert une issue pour discuter de ce problème de sécurité : whether or not to open the Adguard Home instance on the Internet by default on the YNH package installation · Issue #135 · YunoHost-Apps/adguardhome_ynh · GitHub
Je suis actuellement en train de travailler sur une mise à jour du paquet adguardhome_ynh qui permettra de choisir explicitement d’ouvrir ou non le port 53 sur Internet et le port sera dorénavant fermé par défaut
Elle permettra aussi d’utiliser DNS over HTTP et DNS over QUIC
C’est pas un taff trivial mais ça avance bien ^w^
Salut, mais quel est le risque d’un port 53 ouvert ? Peut-on utiliser un autre port ?
Pour ma part, je souhaiterais utiliser adguard home depuis l’extérieur afin d’en profiter sur mon téléphone portable (ainsi que ma femme et mes enfants). Dois-je abandonner ce projet ou le risque est-il acceptable ?
En tant qu’hébergeur tu ne risques pas grand chose, par contre tu permets à n’importe qui de l’utiliser et ce n’est pas anodin et il faut en être conscient-e
On a déjà eu des utilisateurices surpris-es de voir leur AdGuard Home recevoir plusieurs dizaines de milliers de requêtes par jours
Je suis en train de rédiger de la documentation pour expliquer tout ça aux personnes qui utilisent le package AGH
Tu peux lire cette page (qui n’est pas finalisée du tout, surtout la partie sur le port 53 justement) ici : https://github.com/YunoHost-Apps/adguardhome_ynh/blob/DoT/doc/ADMIN.md
Et non on ne peut pas utiliser un autre port, l’usage du port 53 est obligatoire pour le DNS classique (non DoH ou DoQ)
Est ce que le fait d’installer un vpn sur le serveur permet d’utiliser adguard home ? Peut être un tunnel ssh ? La solution wireguard a l’inconvénient de nécessiter une application installée sur le smartphone, qui peut sur certains modèles être fermée malgré le paramétrage. Dans les paramètres Android il y a la possibilité d’ajouter un vpn mais pas celui de wireguard. Je n’ai pas beaucoup d’expérience avec les vpn.
je ne sais pas
Merci pour ta réponse 
@jarod5001 logiquement oui. Concernant wireguard, c’est une solution plus moderne et performante que OpenVPN. J’ai testé les deux et je recommande le premier.
Voilà ce que j’ai écrit après avoir mis en place cette solution : Placer son serveur local derrière un VPS
Tous mes services fonctionnaient, sauf le renouvellement automatique des certificats. Il n’y a pas de raison que AdGuard ne fonctionne pas derrière un VPN.
EDIT: regarde aussi du côté de Headscale
