Vlákno názorů ke zprávičce Firefox zapne DoH všem uživatelům ve Spojených státech od Ondřej Novák - Jak to funguje v pripade ze venkovni domenu...
-
BobTheBuilderStříbrný podporovatelMůžete zkusit krkolomně nastavit canary domain.
Můžete Firefoxu vnutit pravidla (stačí zapnout security.enterprise_roots.enabled).
Můžete zapnout hair-pin NAT.
A nebo můžete opustit Firefox. -
> Můžete zkusit krkolomně nastavit canary domain.
V zakladu mi to vraci:
> martin@martin:~$ host use-application-dns.net
> use-application-dns.net has address 63.245.208.212Chapu spravne, ze abych to vypnul, tak musim *rozbit* predklad domeny use-application-dns.net?
Proc tam nejde nastavit treba nesmyslna IP? Ze bych si v MikroTiku vytvoril "use-application-dns.net A 127.0.0.1" a tim to vypnul.
Jak donutim MikroTik, aby mi pro tu domenu vracel NOERROR?Nebo jak se to ma spravne vypnout?
-
Filip JirsákStříbrný podporovatelNesmyslná IP adresa tam nejde nastavit z toho důvodu, že ji nejde nastavit do DNS (pokud nesmyslnou IP adresou myslíte třeba 300.0.0.1).
Je to řešení pro firmy, které používají privátní doménu. No a když na serveru umíte hostovat zónu pro privátní doménu, umíte tam hostovat i zónu pro doménu
use-application-dns.net. -
BobTheBuilderStříbrný podporovatel
No, je to složitější: .net je podepsaná DNSSEC, takže jen tak tam něco vložit je problém.
Musíte jít přes response-policy (pokud používáte bind). -
Filip JirsákStříbrný podporovatel
Máte pravdu, očekává se, že pro vypnutí DoH budete blokovat dotazy na tu doménu, ne ji unášet.
-
Filip JirsákStříbrný podporovatel
Možná právě proto, aby to nenastavoval kde kdo, ale jenom někdo, kdo aspoň trochu ví, co dělá.
-
Především bych neřešil rozdílnost IP adres přebíjením v DNS, způsobuje to spoustu vedlejších efektů. Toto je jeden z nich.
Pro fungování ostatních služeb je transparentní řešení obracet provoz z vnitřní sítě dvojnatem zpět do vnitřní sítě. Tím si ušetříte spoustu starostí s rozdílností prostředí vevnitř / venku, s údržbou záznamů v DNS atd. Ovšem za cenu většího tlaku na router a conntrack.
-
Filip JirsákStříbrný podporovatel
A nebo prostě servery vyčlenit do DMZ. Když máte servery ve vnitřní síti a přistupujete k nim přes dvojitý NAT, nemá umístění ve vnitřní síti už žádnou výhodu.
-
A nebo prostě servery vyčlenit do DMZ. Když máte servery ve vnitřní síti a přistupujete k nim přes dvojitý NAT, nemá umístění ve vnitřní síti už žádnou výhodu.
Ne vždy je to řešení, ale čistě pro web server by to bylo vhodné, správná připomínka.
Některé služby serveru mohou být funkční v místním segmentu sítě. Typicky služby na MS serverech, nebo pokud server třeba poskytuje zároveň DHCP do sítě - prostě cokoliv na L2.
-
Filip JirsákStříbrný podporovatel
Cokoliv na L2 ale nebudete chtít honit přes NAT, protože pokud to opravdu funguje jen na L2, NAT vám to rozbije.
-
Cokoliv na L2 ale nebudete chtít honit přes NAT
Pokud mám server v místní síti, tak mi L2 funguje.
Spojení zvenčí mám na privátní IP.
Zvenčí je dostupná pod veřejnou IP.Když udělám dvojitý NAT, bude dostupná jak L2, tak i server pod veřejnou IP adresou zevnitř.
Ostatně, pokud natuju dovnitř nějakou službu z veřejné IP, osobně považuju nastavení NATU z vnitřní sítě zpět do vnitřní sítě za dobrou síťařskou praxi. Je nesmysl, aby z vnitřní sítě byla nějaká veřejná IP adresa nedostupná. Takto by to měli řešit např. poskytovatelé, kteří provozují účastnické přípojky za natem, ale zároveň dovnitř natují i veřejnou IP.
Následně je pak na adminovi místní sítě (který může být i odlišný od admina internetového připojení), že si může zavést třeba i záznamy do DNS - obě nastavení se vzájemně nevylučují.
Jedinou nevýhodou je právě ten výkon routerů, ale to u služeb poskytovaných do internetu z účastnických přípojek nebývá moc palčivý problém.
-
Filip JirsákStříbrný podporovatel
Záleží na tom, co si kdo představuje pod pojmem L2. Já si pod tím představuju zařízení, která jsou ve stejném segmentu sítě, takže když chce klient komunikovat se serverem, pomocí ARP si jeho IPv4 adresu přeloží na MAC adresu a pak pošle ethernetový rámec přímo tomu serveru. Router se o tom vůbec nedozví, natož aby musel provádět nějaký NAT, když spolu klient a server komunikují přímo. Pokud má klient IPv4 adresu z privátního rozsahu a volá server s veřejnou IPv4 adresou, je to trochu zvláštní konfigurace, protože vás to nutí udržovat na tom klientovi netriviální routovací tabulku, ale není nemožná. Typičtější konfigurace v takovém případě (mix privátní a veřejné IPv4 adresy) je právě ta s tím dvojitým NATem, kdy jsou sice obě zařízení shodou okolností na stejném segmentu sítě, ale nevědí o tom a komunikaci zprostředkovává router. Na L2 pak klient komunikuje s routerem a server také komunikuje s routerem.
Vy si pod L2 evidentně představujete něco jiného. Radši nechci vědět, co.
-
Filip JirsákStříbrný podporovatel
Miroslav Šilhavý: Když nemáte nic ke komentáři, nemusíte na něj reagovat. Nemá žádný smysl, když z komentáře vyberete náhodně dvě zkratky a napíšete o nich tvrzení, které je sice pravdivé, ale nerozporuje, nepotvrzuje ani neupřesňuje nic z toho, co jsem v komentáři napsal.
