Alternatieve DNS servers blokkeren (info)

[Briolet]

Ik gebruik al heel lang de DNS server op de nas, inclusief een add- en malwareblokker die op deze DNS server draait. Dat is mooi, maar nog mooier zou het zijn als je kunt afdwingen dat alle apparaten ook deze DNS server gaan gebruiken.

Ik heb nu een router met uitgebreide firewall instellingen (rt1900ac), waardoor ik het gebruik van de eigen DNS server ook echt kan afdwingen. Zie afbeelding



In regel 1 staat het IP van mijn DNS server die de DNS bij OpenDNS ophaalt. Die moet ik dus toestaan. In regel 5 blokkeer ik al het uitgaande DNS verkeer dat niet van mijn eigen DNS server komt. Mijn LAN zit op 10.0.1.x

Regel 2, 3 en 4 zijn feitelijk overbodig omdat dit ook door regel 5 geblokkeerd gaat worden. Ik heb ze alleen toegevoegd om via de 'treffers' een inzicht te krijgen welke DNS servers er aangesproken worden.

Wat me bij het testen opviel is dat je geen 2e DNS server moet instellen, naast de eigen DNS server. De 2e DNS server wordt niet als backup gebruikt voor het geval de 1e DNS server er uit ligt, maar veel vaker. Uit de treffers bleek dat bij mij ca 10% van de DNS opvragen bij de 2e DNS server gebeurde. Na wat zoeken op het internet bleek dit te kloppen. Er bestaat geen regel dat je altijd met de 1e DNS moet beginnen. Sommige systemen proberen zelfs beide gelijktijdig en gaan dat een tijdje verder met de snelst reagerende.

Na de 2e DNS server (dia van OpenDNS) op mijn router gewist te hebben, bleven ook de treffers op die DNS weg.

Nu verraad de firewall niet welke pagina's gezocht werden via die DNS servers, dus heb ik ook eens WireShark gebruikt.



Het IP 10.0.1.30 is mijn nas en die gebruikte ook de Google DNS 8.8.8.8 om een pakketbron op te vragen. Blijkbaar is dat een pakketbron die al enige tijd off-line is. Het blijkt dat DSM de DNS server van google gebruikt als hij iets niet via de ingestelde DNS server kan vinden. Dat was weer een leermoment, hoewel ik het ergens al wist omdat ik in het "messages" log regelmatig de tekst:

Code: [Selecteer]

2021-02-20T17:21:05+01:00 synoscgi_SYNO.Core.Package.Server_2_list[30848]: pkgcurltool.cpp:284 Fallback dns to 8.8.8.8
2021-02-20T17:21:06+01:00 ore.Package.Server_1_check: pkgcurltool.cpp:284 Fallback dns to 8.8.8.8tegenkwam.

Verder viel het me op dat mijn Android telefoon  (IP = 10.0.1.54), elke keer als hij uit de schemvergrendeling kwam het adres van "www.google.com" opvroeg bij beide google DNS servers. Waarschijnlijk om sneller te kunnen reageren als je een zoekopdracht wilt doen. Maar dat had hij ook bij de DNS server kunnen doen die op de telefoon ingesteld is.

De firewall is een leuke aanvullende tool om te achterhalen wat er allemaal op je eigen LAN gebeurd. Vooral het bijhouden van de treffers is leerzaam.

[Babylonia]

Top 

Een zeer waardevolle bijdrage.  (Zover duik ik er met dit soort functies niet op in.  ).
Gaandeweg ontdek je steeds meer de mogelijkheden met wat dit routertje nog in huis heeft.   

[DSGebruiker]

Ik blokkeer sowieso alle uitgaande DNS zaken, zowel op TCP/UDP 53 dus alles moet m'n Pi-hole gebruiken als DNS en dat geeft wat inzage in het verkeer qua lookups.
Zo is het duidelijk dat Android apparaten bijzonder hardnekkig proberen allerlei resolving te doen. Gelukkig schakelen ze niet automatisch/ongewenst over op DNS-over-HTTPS (DoH) want dan is het gedaan met blokkeren....

Nu ik gebruik geen Synology qua firewall maar een Mikrotik en alle logging stroomt naar m'n Splunk Enterprise die ik hier heb draaien. (klassieke syslog, Netflow etc)