tiermutter
Well-known member
Moin zusammen,
dem einen oder anderen bin ich damit ja schon auf den Sack gegangen... ich denke es nun ist es Zeit euch alle damit zu nerven
Ich möchte unterbinden, dass Clients mit falsch oder fest eingestellten DNS Servern direkt über öffentliche DNS Server auflösen, stattdessen sollen die Anfragen an meinen eigenen Resolver (DNScryptProxy) umgeleitet und von diesem aufgelöst werden. Warum? Ganz einfach weil ich (!) entscheide, welche DNS Server verwendet werden dürfen.
Für normales DNS auf Port 53 stellt das auch kein Problem dar, die Anfragen werden einfach in der Firewall auf den eigenen Resolver umgeleitet, fertig.
Bei DoT und DoH wird das schon komplizierter und fängt damit an, dass der Client nur Antworten vom angefragten Server akzeptiert.
An dieser Stelle gleich eine Frage auf die ich noch keine Antwort gefunden habe:
Ist das nun ein DoT bzw. DoH Feature, oder ist die Verwendung von DNSSEC daran "Schuld"?
Da ich leider noch keine Lösung habe, wie ich diese Anfragen umleiten kann (was ja auch Sinn und Zweck des Features ist), behelfe ich mir momentan damit, diese schlichtweg zu blockieren. Je nach Anwendung fällt diese dann auf normales DNS zurück oder endet im Timeout. Das Blockieren selbst ist bei DoT (Port 853) kein Problem, bei DoH (Port 443) stellt sich das aber auch schon wieder kompliziert dar, da man 443 nicht einfach immer umleiten kann. Das DoH Problem löse ich, indem ich Listen von öffentlichen DNS Servern als Alias verwende und den Zugriff von Clients auf diese IPs verbiete. Leider sind diese Listen nicht unbedingt aktuell. Daher eine zweite Frage:
Kennt ihr Listen mit DNS Servern, welche zuverlässig aktualisiert werden und vollständig sind?
Ich hatte einst echt lange dazu im Netz rumgesucht und tatsächlich nur einen veralteten Post gefunden, bei dem sich jemand ebenfalls Gedanken um das Thema gemacht hat, was mich zu den letzten Fragen bringt:
Interessiert es niemanden von euch, auf welchem Wege eure Clients Namen auflösen bzw. dass diese eure eigenen Regeln mit Leichtigkeit umgehen können?
Falls doch: Habt ihr andere Lösungsansätze?
Falls nicht: Stelle ich mich hier zu sehr an?
Cheers!
dem einen oder anderen bin ich damit ja schon auf den Sack gegangen... ich denke es nun ist es Zeit euch alle damit zu nerven
Ich möchte unterbinden, dass Clients mit falsch oder fest eingestellten DNS Servern direkt über öffentliche DNS Server auflösen, stattdessen sollen die Anfragen an meinen eigenen Resolver (DNScryptProxy) umgeleitet und von diesem aufgelöst werden. Warum? Ganz einfach weil ich (!) entscheide, welche DNS Server verwendet werden dürfen.
Für normales DNS auf Port 53 stellt das auch kein Problem dar, die Anfragen werden einfach in der Firewall auf den eigenen Resolver umgeleitet, fertig.
Bei DoT und DoH wird das schon komplizierter und fängt damit an, dass der Client nur Antworten vom angefragten Server akzeptiert.
An dieser Stelle gleich eine Frage auf die ich noch keine Antwort gefunden habe:
Ist das nun ein DoT bzw. DoH Feature, oder ist die Verwendung von DNSSEC daran "Schuld"?
Da ich leider noch keine Lösung habe, wie ich diese Anfragen umleiten kann (was ja auch Sinn und Zweck des Features ist), behelfe ich mir momentan damit, diese schlichtweg zu blockieren. Je nach Anwendung fällt diese dann auf normales DNS zurück oder endet im Timeout. Das Blockieren selbst ist bei DoT (Port 853) kein Problem, bei DoH (Port 443) stellt sich das aber auch schon wieder kompliziert dar, da man 443 nicht einfach immer umleiten kann. Das DoH Problem löse ich, indem ich Listen von öffentlichen DNS Servern als Alias verwende und den Zugriff von Clients auf diese IPs verbiete. Leider sind diese Listen nicht unbedingt aktuell. Daher eine zweite Frage:
Kennt ihr Listen mit DNS Servern, welche zuverlässig aktualisiert werden und vollständig sind?
Ich hatte einst echt lange dazu im Netz rumgesucht und tatsächlich nur einen veralteten Post gefunden, bei dem sich jemand ebenfalls Gedanken um das Thema gemacht hat, was mich zu den letzten Fragen bringt:
Interessiert es niemanden von euch, auf welchem Wege eure Clients Namen auflösen bzw. dass diese eure eigenen Regeln mit Leichtigkeit umgehen können?
Falls doch: Habt ihr andere Lösungsansätze?
Falls nicht: Stelle ich mich hier zu sehr an?
Cheers!