DNS server

[Standa99]

Jaké používáte DNS servery?
Od svého ISP, jiný (např. Google 8.8.8.8 8.8.4.4, IBM 9.9.9.9, Cloudflare 1.1.1.1, OpenDNS 208.67.222.222 208.67.220.220) nebo třeba DNSCrypt.

[rnbw]

Vlastny (pdns-recursor).

[rnbw]

Vlastny (pdns-recursor).

[MetalGod]

Vlastní, Unbound.
Ten v případě potřeby saje z jednoho z pěti důvěryhodnejch DNS serverů (na prvním místě s podporou DNSSEC) a záloh některejch z nich (i kdyby se polovina internetů zbořila, tak s doménama potíže mít nebudu! ).

[MetalGod]

Vlastní, Unbound.
Ten v případě potřeby saje z jednoho z pěti důvěryhodnejch DNS serverů (na prvním místě s podporou DNSSEC) a záloh některejch z nich (i kdyby se polovina internetů zbořila, tak s doménama potíže mít nebudu! ).

[Standa99]

Zatím jsem využíval jen zmíněný dnscrypt-proxy a ten nejspíš propojím s unboundem viz. https://www.youtube.com/watch?v=Qx6PplgtRoE , aby mi i 'rekurzivně kešoval'.

Kdysi jsem se s powerdns hrál (asi s autoritativním) a pamatuji si, že instalace toho klikacího adminu byla 'trochu složitější'.

[Standa99]

Tak jsem nakonec dnscrypt-proxy vynechal a použil jenom 'unbound over TLS', který mám nakonfigurovaný i pro samotné IPv6 (případně bez IPv4).

Nyní bych chtěl použít nějaký předvoj filtrace reklam aj. (ještě před doplňky v prohlížečích).
Díval jsem na Pi-hole (např. pidi-recenze), nebo jestli jít jen do nějakého (stále aktualizovaného) hosts souboru? Co používáte?
Ty samozřejmě dokážou zahazovat třeba i telemetrii pro Windows apod., což je přes DNS jednodušší a hlavně to je centrálně pro všechny PC/NB doma a také přes VPN z venku.

[PixelOrgy]

Da se budto treba squid proxy (i kdyz dneska toho moc nenacachuje, filtrovat muze)

Zahazovani telemetrie a podobnych sracek se me osvedcil Snort v rezimu IPS. Jen je potreba projit default sadu pravidel a nektery povypinat... Je celkem striktni..
Jako bonus dostanes logy s pomerne detailni analyzou provozu. Kdyz ty logy budes cpat treba do logstash, a nad tim Kibana, dostanes paradni graficky vystup (statistiky, ruzne top10 apod) napr:

https://i.ytimg.com/vi/cUP_ZRn5rro/maxresdefault.jpg

Co se DNS tyce, pouzivam std. BIND

[Standa99]

Squida ještě s nostalgie mám, kdysi jsem ho mimo domov používal, ale nyní jedu přes VPN (díky kompresi mi ušetří čtvrtinu mobilních dat). Filtrování HTTPS by zvládl jen přes MITM, což by ještě v domácí síti šlo, ale to neprovozuji.
Ten Snort jsem ani neznal, ochranu před dotěrnými škůdci mám přes fail2ban.
Zatím jsem do toho Unboundu přidal zmíněný aktualizovaný hosts-file, což je za minimum výkonu slušná filtrace přímo přes DNS (firewall si to musí přeložit) a hlavně mi to běží na strojku pro celou síť, nic autonomního pro jeden PC/NB.

[PixelOrgy]

Snort je skoro enterprise class, trochu kladivo na komara ale ty statistiky jsou paradni... Existuje linuxovy distro Security Onion, kde je toto vsechno zkonfigurovany, muzu doporucit... Nainstalujes, proklikas pruvodce a mas IDS/IPS..

Ten host file funguje, ale je to hruza udrzovat....

Filtrovat https podle obsahu umi aplikacni firewally (ssl offloading)... Ale je to narocny na vykon. Ja mam doma na tyto ucely server s hypervisorem (kvm)...

[Standa99]

Virtualizuji pouze 'stahovač přes anonymní VPN', ale ze zvědavosti se podívám na to Security Onion distro.
Ten hosts nechávám automaticky stahovat a konvertovat (+ některé domény i ubírám) jednou za týden a během těch pár dní (co ho používám), už byl několikrát aktualizován.