|
|
Forum: PC Hard- und Software 8.8.8.8 auf eigen DNS Server umbiegen?Hi, 8.8.8.8 scheint für so manche Software/OS der default Nameserver zu sein(laut tcpdump). Gibt es Nachteile wenn man z.B. auf dem default-gateway, auf dem auch bind9 läuft, einfach die Pakete die für 8.8.8.8 bestimmt sind mit
selber beantwortet? Dem lo 8.8.8.8 als Adresse zu geben wird vermutlich keine Probleme machen, aber wenn dann mal etwas statdessen z.B. die 8.8.4.4 oder so nimmt, greift das schon nicht mehr... In meinem Netz hab ich auf meiner Firewall (momentan pfsense) eine Regel die alle Verbindungen auf port 53 (DNS) weiterleitet auf meinen dedizierten DNS Server, ausser wenn sie von diesem kommt. Bisher hatte ich damit noch keine Probleme. Auf einem Linux lokal könnte man das mit iptables / nftables machen. Das Problem ist dabei den Bind davon auszunehmen, das dürfte etwas tricky sein. Wenn es funktioniert: Guter Plan. Wenn es nicht funktioniert: iptables. Servus, Hast du ein paar Beispiele für Software / OS die so Verfahren? Ist mir bis dato noch nie aufgefallen, deshalb das Interesse. Grüße DNS-Server umbiegen macht man mit NAT, nicht damit, das man dem interface auf dem Server die IP des DNS gibt! > Beispiele für Software / OS die so Verfahren?
Gerüchteweise hat der Pöttering aus purer Faulheit,
den DNS in seinem Geschreibsel mit 8.8.8.8 hart kodiert.
Spassfokel schrieb: > Gerüchteweise hat der Pöttering aus purer Faulheit, > den DNS in seinem Geschreibsel mit 8.8.8.8 hart kodiert. Unterstelle niemals Faulheit, wenn auch böser Wille plausibel ist ;) Naja von so einer Implementierung hat ja eigentlich niemand was, außer der DNS Betreiber. Mir ist es bis dato noch nie untergekommen, dass extra Aufwand betrieben wurde, um nicht den Default-OS Resolver zu nutzen. Mal sehen ob noch jemand kommt, der Programme kennt, die so umgesetzt wurden. Mir ist - wissentlich - noch keins untergekommen. Grüße Ich hatte mal Accesspoints von Tenda oder so, da waren div. IP-Adressen auch hart codiert. Das Ganze hat man dann an der Firewall gemerkt. Im Fall der AP waren es jedoch die IP-Adressen von den NTP-Servern. Sowas nervt auf jeden Fall gewaltig. Wetten, das es sich da um Tests handelt, ob das Internet tut? Wer bitte baut sowas fest codiert ein? Die Chinesen? Würde mich sehr wundern wenn die dem Klassenfeind so Daten liefern... Ich verbiete sämtlichen Geräten im Netz direktes DNS und das hat noch kein einziges Problem verursacht. Und wenn jemand den Router nach doofen Adressen fragt bekommt er auch NXDOMAIN zurück und auch das geht problemlos. > Wetten, das es sich da um Tests handelt
Recht blauäugig.
Auch M$ umgeht im W10 alle gute Sitten und hat da für
"seine" Hosts ein paar Shortcuts auf Lager.
Da nützen dann hilflose Einträge in der /etc/hosts
bzw. seinem Äquivalent überhaupt nichts.
W10 kann man eigentlich datensicher nur ohne ein
Default Gateway betreiben.
Und genauso mache ich das auch.
Kurzform: Android (ab 9?) macht das gern, nennt sich "Private DNS". Genauer gesagt: Android besteht auf DNS-over-TLS. Wenn es das mit dem "Standard"-DNS-Server (den es per DHCP gesagt bekommt) nicht kann, macht es DNS-over-TLS mit 8.8.8.8 (in der Standardeinstellung "Automatic", man kann das auf "nie" oder auf "immer" umstellen und auch den Server wählen). Vermutlich wird dafür aber auch das Umbiegen nicht so ganz einfach sein. Das gilt auch für AOSP, z.B. LineageOS. Ich kämpfe damit derzeit, weil mein UMTS-Dayflat-Provider (Vodafone via Lidl Connect) nämlich zur Tarifbuchung alle DNS-Anfragen abfängt, ohne DNS-over-TLS anzubieten - dann will Android auf 8.8.8.8 zugreifen, das geht aber nicht... MfG, Arno Arno schrieb: > Genauer gesagt: Android besteht auf DNS-over-TLS. Optional. Aus | Automatisch | benannter Resolver. (prx) A. K. schrieb: > Arno schrieb: >> Genauer gesagt: Android besteht auf DNS-over-TLS. > > Optional. Aus | Automatisch | benannter Resolver. "Aus" heißt, es wird nie der benannte "Private DNS"-Resolver (bzw. 8.8.8.8 wenn keiner benannt) verwendet. Aber auch bei "Aus" besteht Android auf DNS-over-TLS. Sonst - wenn der per DHCP bekannt gegebene kein DNS-over-TLS kann - keine Namensauflösung. "Automatisch" bedeutet, wenn der "normale" kein DNS-over-TLS kann, wird der "benannte" verwendet (oder eben 8.8.8.8 wenn keiner benannt). MfG, Arno
Beitrag #6524938 wurde vom Autor gelöscht.
Arno schrieb: > wenn der > per DHCP bekannt gegebene kein DNS-over-TLS kann - keine > Namensauflösung. Diese Aussage steht im Widerspruch zu einem Firewall-Protokoll, das zu ausreichend neuen Android Devices viele erfolgreiche DNS-Requests auf den unverschlüsselten Port 53 verzeichnet. Die dürfte es dann aber nicht geben. :
Bearbeitet durch User
Sorry, du hast Recht, ich habe DNSSEC und DNS-over-TLS durcheinander geworfen (und fälschlicherweise DNSSEC mit der genannten "Private DNS"-Option vermischt, weil man damit natürlich um einen nicht-DNSSEC-fähigen DNS im lokalen Netz herum kommt) Android besteht auf DNSSEC (vermutlich nur für Zonen, die es unterstützen). Wenn der "normale" DNS kein DNSSEC kann, wird 8.8.8.8 gefragt. MfG, Arno Ich unterbinde sowohl 8.8.8.8 als auch DNS (und die meisten anderen Ports und Adressen auch), dennoch kommen meine Androids über die normale Verbindung raus, wenn sie den ínternen DNS fragen. Den bekommen sie via DHCP... Der wiederum greift auf externe DoT's zu, aber intern ist es normales DNS. Wie kann das sein? Vielleicht leitet dein DNS auch die DNSSEC-Antworten (=RRSIG- und NSEC-records) weiter? Meiner tut es... Oder hast du meine Korrektur von 23:40 Uhr noch nicht gelesen? Ich hatte DNS-over-TLS und DNSSEC verwechselt. MfG, Arno Ich bin mir reichlich sicher das DNSSEC nicht unterstützt bzw. weitergeleitet wird. Sehe ich zumindest nicht. Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.
|
|
Thread beobachten
Seitenaufteilung abschalten