Hi,
8.8.8.8 scheint für so manche Software/OS der default Nameserver zu
sein(laut tcpdump).
Gibt es Nachteile wenn man z.B. auf dem default-gateway, auf dem auch
bind9 läuft, einfach die Pakete die für 8.8.8.8 bestimmt sind mit
Dem lo 8.8.8.8 als Adresse zu geben wird vermutlich keine Probleme
machen, aber wenn dann mal etwas statdessen z.B. die 8.8.4.4 oder so
nimmt, greift das schon nicht mehr...
In meinem Netz hab ich auf meiner Firewall (momentan pfsense) eine Regel
die alle Verbindungen auf port 53 (DNS) weiterleitet auf meinen
dedizierten DNS Server, ausser wenn sie von diesem kommt. Bisher hatte
ich damit noch keine Probleme.
Auf einem Linux lokal könnte man das mit iptables / nftables machen. Das
Problem ist dabei den Bind davon auszunehmen, das dürfte etwas tricky
sein.
> Beispiele für Software / OS die so Verfahren?
Gerüchteweise hat der Pöttering aus purer Faulheit,
den DNS in seinem Geschreibsel mit 8.8.8.8 hart kodiert.
Spassfokel schrieb:> Gerüchteweise hat der Pöttering aus purer Faulheit,> den DNS in seinem Geschreibsel mit 8.8.8.8 hart kodiert.
Unterstelle niemals Faulheit, wenn auch böser Wille plausibel ist ;)
Naja von so einer Implementierung hat ja eigentlich niemand was, außer
der DNS Betreiber.
Mir ist es bis dato noch nie untergekommen, dass extra Aufwand betrieben
wurde, um nicht den Default-OS Resolver zu nutzen.
Mal sehen ob noch jemand kommt, der Programme kennt, die so umgesetzt
wurden. Mir ist - wissentlich - noch keins untergekommen.
Grüße
Ich hatte mal Accesspoints von Tenda oder so, da waren div. IP-Adressen
auch hart codiert. Das Ganze hat man dann an der Firewall gemerkt.
Im Fall der AP waren es jedoch die IP-Adressen von den NTP-Servern.
Sowas nervt auf jeden Fall gewaltig.
Wetten, das es sich da um Tests handelt, ob das Internet tut?
Wer bitte baut sowas fest codiert ein? Die Chinesen? Würde mich sehr
wundern wenn die dem Klassenfeind so Daten liefern...
Ich verbiete sämtlichen Geräten im Netz direktes DNS und das hat noch
kein einziges Problem verursacht.
Und wenn jemand den Router nach doofen Adressen fragt bekommt er auch
NXDOMAIN zurück und auch das geht problemlos.
> Wetten, das es sich da um Tests handelt
Recht blauäugig.
Auch M$ umgeht im W10 alle gute Sitten und hat da für
"seine" Hosts ein paar Shortcuts auf Lager.
Da nützen dann hilflose Einträge in der /etc/hosts
bzw. seinem Äquivalent überhaupt nichts.
W10 kann man eigentlich datensicher nur ohne ein
Default Gateway betreiben.
Und genauso mache ich das auch.
Kurzform: Android (ab 9?) macht das gern, nennt sich "Private DNS".
Genauer gesagt: Android besteht auf DNS-over-TLS. Wenn es das mit dem
"Standard"-DNS-Server (den es per DHCP gesagt bekommt) nicht kann, macht
es DNS-over-TLS mit 8.8.8.8 (in der Standardeinstellung "Automatic", man
kann das auf "nie" oder auf "immer" umstellen und auch den Server
wählen).
Vermutlich wird dafür aber auch das Umbiegen nicht so ganz einfach sein.
Das gilt auch für AOSP, z.B. LineageOS.
Ich kämpfe damit derzeit, weil mein UMTS-Dayflat-Provider (Vodafone via
Lidl Connect) nämlich zur Tarifbuchung alle DNS-Anfragen abfängt, ohne
DNS-over-TLS anzubieten - dann will Android auf 8.8.8.8 zugreifen, das
geht aber nicht...
MfG, Arno
(prx) A. K. schrieb:> Arno schrieb:>> Genauer gesagt: Android besteht auf DNS-over-TLS.>> Optional. Aus | Automatisch | benannter Resolver.
"Aus" heißt, es wird nie der benannte "Private DNS"-Resolver (bzw.
8.8.8.8 wenn keiner benannt) verwendet.
Aber auch bei "Aus" besteht Android auf DNS-over-TLS. Sonst - wenn der
per DHCP bekannt gegebene kein DNS-over-TLS kann - keine
Namensauflösung.
"Automatisch" bedeutet, wenn der "normale" kein DNS-over-TLS kann, wird
der "benannte" verwendet (oder eben 8.8.8.8 wenn keiner benannt).
MfG, Arno
Arno schrieb:> wenn der> per DHCP bekannt gegebene kein DNS-over-TLS kann - keine> Namensauflösung.
Diese Aussage steht im Widerspruch zu einem Firewall-Protokoll, das zu
ausreichend neuen Android Devices viele erfolgreiche DNS-Requests auf
den unverschlüsselten Port 53 verzeichnet. Die dürfte es dann aber nicht
geben.
Sorry, du hast Recht, ich habe DNSSEC und DNS-over-TLS durcheinander
geworfen (und fälschlicherweise DNSSEC mit der genannten "Private
DNS"-Option vermischt, weil man damit natürlich um einen
nicht-DNSSEC-fähigen DNS im lokalen Netz herum kommt)
Android besteht auf DNSSEC (vermutlich nur für Zonen, die es
unterstützen). Wenn der "normale" DNS kein DNSSEC kann, wird 8.8.8.8
gefragt.
MfG, Arno
Ich unterbinde sowohl 8.8.8.8 als auch DNS (und die meisten anderen
Ports und Adressen auch), dennoch kommen meine Androids über die normale
Verbindung raus, wenn sie den ínternen DNS fragen. Den bekommen sie via
DHCP...
Der wiederum greift auf externe DoT's zu, aber intern ist es normales
DNS.
Wie kann das sein?
Vielleicht leitet dein DNS auch die DNSSEC-Antworten (=RRSIG- und
NSEC-records) weiter? Meiner tut es...
Oder hast du meine Korrektur von 23:40 Uhr noch nicht gelesen? Ich hatte
DNS-over-TLS und DNSSEC verwechselt.
MfG, Arno