Les serveurs DNS de votre fournisseur d'accès savent exactement quels domaines vous visitez, à quelle heure, et depuis quelle adresse IP. Il existe une alternative simple, chiffrée et configurable : NextDNS.
Pourquoi changer ses DNS ?
Par défaut, votre box pousse ses propres serveurs DNS — ceux de votre FAI. Chaque nom de domaine que vous résolvez transite en clair par leur infrastructure. C'est une source de collecte de données, de publicités ciblées, et parfois même de redirections non sollicitées.
NextDNS résout ces trois problèmes à la fois :
- Confidentialité : les requêtes sont chiffrées via DNS-over-TLS, cela empêche votre FAI de voir les requêtes DNS en clair. Le FAI voit toujours l'ip de destination.
- Filtrage : blocage de publicités, traqueurs, contournement de la vérification de l'âge, et domaines malveillants configurables depuis un tableau de bord web.
- Logs désactivables.
Pré-requis :
Allez sur https://my.nextdns.io/ et créez un compte. Une fois le compte créé, allez dans l'onglet installation de votre compte et descendez jusqu'à trouver la partie nommée Guide d'installation.
Vous trouverez les paramètres de votre configuration DNS.
1. Modifier resolved.conf
Éditez le fichier /etc/systemd/resolved.conf en ajoutant les lignes figurant dans la partie guide d'installation dans la section [Resolve], sans effacer le reste du fichier :
[Resolve]
DNS=vosparamètres.dns.nextdns.io
DNS=vosparamètres.dns.nextdns.io
DNS=vosparamètres.dns.nextdns.io
DNS=vosparamètres.dns.nextdns.io
DNSOverTLS=yes
Pour modifier le fichier, faites un clic droit dans le répertoire où est situé resolved.conf, choisissez Ouvrir en tant que Superutilisateur et saisissez votre mot de passe. Vous pouvez maintenant ouvrir resolved.conf et le modifier. Ou directement depuis votre terminal avec la commande : sudo nano /etc/systemd/resolved.conf
Les deux premières entrées sont en IPv4, les deux suivantes en IPv6. DNSOverTLS=yes active le chiffrement des requêtes.
2. Empêcher la box de pousser ses propres DNS
Sans cette étape, le gestionnaire de réseau de votre distribution reçoit les DNS de la box via DHCP et les applique à l'interface réseau, court-circuitant la configuration globale. Pour y remédier :
Repérez le nom de votre connexion avec la commande : nmcli con show
Dans mon cas, le nom de ma connexion est : Connexion filaire 1.
Collez dans votre terminal les commandes suivantes en remplaçant NOM_CONNEXION par le nom de votre connexion :
nmcli con mod "NOM_CONNEXION" ipv4.ignore-auto-dns yes ipv6.ignore-auto-dns yes
puis :
nmcli con up "NOM_CONNEXION"
Ce qui donne pour mon cas :
nmcli con mod "Connexion filaire 1" ipv4.ignore-auto-dns yes ipv6.ignore-auto-dns yes
et
nmcli con up "Connexion filaire 1"
3. Redémarrer systemd-resolved
sudo systemctl restart systemd-resolved
4. Vérifier la configuration
resolvectl status
La sortie doit afficher +DNSOverTLS et les adresses NextDNS comme Current DNS Server. Les DNS de la box ne doivent plus apparaître (exemple : 198.51.100.25, ect...).
Avant :
Après :
5. Vérification finale :
Activez les logs dans les paramètres de NextDNS https://my.nextdns.io/f31da9/settings.
Surfez normalement et allez sur https://my.nextdns.io/f31da9/logs. Les requêtes DNS doivent apparaître en temps réel, confirmant que tout le trafic passe bien par NextDNS.
Une fois que vous avez confirmé que cela est bien le cas, désactivez les logs pour plus de vie privée.
6. Contourner la vérification de l'âge :
Toujours dans https://my.nextdns.io/f31da9/settings, descendez et allez à la section Bypass Age Verification et cochez Bypass Age Verification.
Enregistrer un commentaire
Les commentaires sont validés manuellement avant publication. Il est normal que ceux-ci n'apparaissent pas immédiatement.