Auteur Topic: Alternatieve DNS servers blokkeren (info)  (gelezen 863 keer)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Alternatieve DNS servers blokkeren (info)
« Gepost op: 27 februari 2021, 10:45:50 »
Ik gebruik al heel lang de DNS server op de nas, inclusief een add- en malwareblokker die op deze DNS server draait. Dat is mooi, maar nog mooier zou het zijn als je kunt afdwingen dat alle apparaten ook deze DNS server gaan gebruiken.

Ik heb nu een router met uitgebreide firewall instellingen (rt1900ac), waardoor ik het gebruik van de eigen DNS server ook echt kan afdwingen. Zie afbeelding

51865-0

In regel 1 staat het IP van mijn DNS server die de DNS bij OpenDNS ophaalt. Die moet ik dus toestaan. In regel 5 blokkeer ik al het uitgaande DNS verkeer dat niet van mijn eigen DNS server komt. Mijn LAN zit op 10.0.1.x

Regel 2, 3 en 4 zijn feitelijk overbodig omdat dit ook door regel 5 geblokkeerd gaat worden. Ik heb ze alleen toegevoegd om via de 'treffers' een inzicht te krijgen welke DNS servers er aangesproken worden.

Wat me bij het testen opviel is dat je geen 2e DNS server moet instellen, naast de eigen DNS server. De 2e DNS server wordt niet als backup gebruikt voor het geval de 1e DNS server er uit ligt, maar veel vaker. Uit de treffers bleek dat bij mij ca 10% van de DNS opvragen bij de 2e DNS server gebeurde. Na wat zoeken op het internet bleek dit te kloppen. Er bestaat geen regel dat je altijd met de 1e DNS moet beginnen. Sommige systemen proberen zelfs beide gelijktijdig en gaan dat een tijdje verder met de snelst reagerende.

Na de 2e DNS server (dia van OpenDNS) op mijn router gewist te hebben, bleven ook de treffers op die DNS weg.

Nu verraad de firewall niet welke pagina's gezocht werden via die DNS servers, dus heb ik ook eens WireShark gebruikt.

51867-1

Het IP 10.0.1.30 is mijn nas en die gebruikte ook de Google DNS 8.8.8.8 om een pakketbron op te vragen. Blijkbaar is dat een pakketbron die al enige tijd off-line is. Het blijkt dat DSM de DNS server van google gebruikt als hij iets niet via de ingestelde DNS server kan vinden. Dat was weer een leermoment, hoewel ik het ergens al wist omdat ik in het "messages" log regelmatig de tekst:
2021-02-20T17:21:05+01:00 synoscgi_SYNO.Core.Package.Server_2_list[30848]: pkgcurltool.cpp:284 Fallback dns to 8.8.8.8
2021-02-20T17:21:06+01:00 ore.Package.Server_1_check: pkgcurltool.cpp:284 Fallback dns to 8.8.8.8
tegenkwam.

Verder viel het me op dat mijn Android telefoon  (IP = 10.0.1.54), elke keer als hij uit de schemvergrendeling kwam het adres van "www.google.com" opvroeg bij beide google DNS servers. Waarschijnlijk om sneller te kunnen reageren als je een zoekopdracht wilt doen. Maar dat had hij ook bij de DNS server kunnen doen die op de telefoon ingesteld is.

De firewall is een leuke aanvullende tool om te achterhalen wat er allemaal op je eigen LAN gebeurd. Vooral het bijhouden van de treffers is leerzaam.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Alternatieve DNS servers blokkeren (info)
« Reactie #1 Gepost op: 27 februari 2021, 11:12:15 »
Top  :thumbup:

Een zeer waardevolle bijdrage.  (Zover duik ik er met dit soort functies niet op in.  ;) ).
Gaandeweg ontdek je steeds meer de mogelijkheden met wat dit routertje nog in huis heeft.    :geek:
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline DSGebruiker

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 119
  • Berichten: 761
Re: Alternatieve DNS servers blokkeren (info)
« Reactie #2 Gepost op: 27 februari 2021, 11:52:42 »
Ik blokkeer sowieso alle uitgaande DNS zaken, zowel op TCP/UDP 53 dus alles moet m'n Pi-hole gebruiken als DNS en dat geeft wat inzage in het verkeer qua lookups.
Zo is het duidelijk dat Android apparaten bijzonder hardnekkig proberen allerlei resolving te doen. Gelukkig schakelen ze niet automatisch/ongewenst over op DNS-over-HTTPS (DoH) want dan is het gedaan met blokkeren....

Nu ik gebruik geen Synology qua firewall maar een Mikrotik en alle logging stroomt naar m'n Splunk Enterprise die ik hier heb draaien. (klassieke syslog, Netflow etc)


 

Alternatieve bittorrent poorten

Gestart door AnonymousBoard Download Station

Reacties: 2
Gelezen: 3140
Laatste bericht 19 april 2009, 12:12:32
door Anonymous
Alternatieve Squeezebox

Gestart door goldenwonderBoard Android Apps

Reacties: 0
Gelezen: 1957
Laatste bericht 11 februari 2014, 13:15:08
door goldenwonder
Couchpotato alternatieve fork

Gestart door gerkuh91Board CouchPotato

Reacties: 0
Gelezen: 2399
Laatste bericht 25 september 2016, 12:11:27
door gerkuh91
[USB storage 2]: Welke alternatieve firmware voor sabnzbd?

Gestart door zakhooiBoard NAS hardware vragen

Reacties: 1
Gelezen: 1271
Laatste bericht 15 november 2011, 14:34:28
door Nelesss
Alternatieve locatie mdevries

Gestart door CookiesmonsterBoard Spotweb

Reacties: 11
Gelezen: 4026
Laatste bericht 15 januari 2017, 17:20:16
door Birdy