Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

dnsmasq-conf-0.1

(TGZ, 720 Bytes)

Da in Deutschland nun DNS-Manipulation ganz offiziell zum Mittel der Guten(tm) geworden ist und ich auch nur wenigstens ein einziges Mal zu den Guten gehören wollte, habe ich mir dafür die Software dnsmasq angeschaut.

dnsmasq ist eine Mischung aus DNS-filter/cache, dhcp/bootp- und tftpserver. Aber für die Aufgaben, die momentan anstehen habe ich mich auf den DNS-Teil beschränkt.

Mit dnsmasq ist es möglich eine Liste von DNS-Nameservern zyklisch zu verwenden. Also nicht, wie man das von der /etc/resolv.conf gewohnt ist, der Reihe nach wenn ein Timeout auftritt, sondern zufällig, wie es gerade ansteht. Man kann sogar alle DNS-Server gleichzeitig abfragen, aber bisher hat mich noch niemand zu so einer Umweltsauerei gezwungen.

Kaputte und unvollständige Nameserver-Abfragen, die z.B. aus nicht vollständigen FQDN bestehen oder sich auf die IP-Adresse von privaten Netzwerken beziehen, kann man komplett abblocken.

Eine Liste von 150 IP-Adressen hält dnsmasq gleichzeitig im Cache. Das ist allerdings konfigurierbar. dnsmasq bevorzugt /etc/hosts-Eintragungen, was man auch abschalten kann.

Diese aufgezwungenen Werbe-Suchmaschinen, die unseriöse Anbieter wie OpenDNS oder nun auch die T-Online (danke codec) verwenden, kann man mit Hilfe der Option bogus-nxdomain abstellen. Dann kriegt man wieder wie gewohnt vom DNS, die Antwort, dass die Adresse nicht aufgelöst werden kann. Das würde ich definitiv nicht in einem Kundencenter machen, denn damit erlaube ich meinem Provider quasi, meine dns-Abfragen personalisiert zu behandeln. Falls die IP-Adressen der Stopp-Seite von Zensursula mal bekannt werden, dann trage ich die natürlich dort auch ein - man weis ja nie :-)

Das sogenannte DNS-doctoring, welches vermutlich die Mittel der Wahl dieser unseeligen Provider sein wird, beherrscht dnsmasq auch. Das geht natürlich auch umgekehrt. Filter kann man übrigens auch zu etwas Nützlichem einsetzen: Z.B. wenn man sich vor IP-Adressen oder ganzen Netzen schützen möchte, weil da eh' nur Webbugs oder Banner  herkommem.

Hier nochmal die Konfiguration im Ganzen, falls sich jemand scheut ein tgz runterzuladen:

------------------------------------- snip ---------------------------------

# Listen on the given IP address
listen-address=127.0.0.1
# I mean it!
bind-interfaces

# Never forward plain names (without a dot or domain part)
domain-needed

# Never forward addresses in the non-routed address spaces.
bogus-priv

# Don't read/poll /etc/resolv.conf
no-resolv
no-poll

# Forced advertising search-engines
# OpenDNS
bogus-nxdomain=67.215.65.132
# T-Online
bogus-nxdomain=80.156.86.78

# TODO ,,Stoppseite''
#bogus-nxdomain=

# dnscache.berlin.ccc.de
server=213.73.91.35
# n80-237-196-2.cnet.hosteurope.de
server=80.237.196.2
# omni.digital.udk-berlin.de
server=194.95.202.198
# deneb.dfn.de
server=192.76.176.9
# f.6to4-servers.net
server=204.152.184.76
# dns.as250.net
server=194.150.168.168
# anonymisierungsdienst.foebud.org
server=85.214.73.63

------------------------------------- snap ---------------------------------

und noch die /etc/resolv.conf

------------------------------------- snip ---------------------------------
nameserver 127.0.0.1

------------------------------------- snap ---------------------------------

Jeder aufrechte Staatsbürger ist natürlich angehalten, dem guten Beispiel der rechtschaffenden fünf großen Internetprovider, dem ehrenwerten und unfehlbaren BKA und der nur das Beste wollenden Ursula zu folgen. Also pantsch an eurem DNS rum und macht den einheitlichen Namensraum im Internet kaputt - oder wieder heil, je nach dem :-)

Das Internet wurde einmal dazu gebaut, einem Atomschlag stand zu halten. Ich beobachte gerade mit Spannung, ob sich die deutsche Krankheit am Ende als schlimmer herausstellt, als alle SS20 der Russen zusammen.

Reposted fromSven Sven

Don't be the product, buy the product!

Schweinderl