Hallo Cristoph,
¨…Das Stichwort wäre Stateful Packet Inspection,…¨. Aufwendig heißt eben nicht unmöglich.

Hop Host-Name IP Zeit 1
1 dom 192.168.3.254 0.716
1 dom 192.168.3.254 0.681
2 dom 192.168.3.254 0.668
2 10.121.83.101 10.121.83.101 31.313
3 10.121.83.178 10.121.83.178 30.302
4 mx-ll-110.164.0-157.static.3bb.co.th 110.164.0.157 58.432
5 mx-ll-110.164.0-156.static.3bb.co.th 110.164.0.156 45.906
6 mx-ll-110.164.1-173.static.3bb.co.th 110.164.1.173 42.947
7 mx-ll-110.164.1-167.static.3bb.co.th 110.164.1.167 42.668
8 mx-ll-110.164.1-123.static.3bb.co.th 110.164.1.123 45.939
9 mx-ll-110.164.0-121.static.3bb.co.th 110.164.0.121 245.359
10 decix-j1.inexio.net 80.81.192.137 262.069
11 inexio1.cr2.network.manitu.net 89.238.127.34 269.041
12 isc03.core.wnd.quarxconnect.org 89.238.77.23 271.737
13 www-adv03.wnd.quarxconnect.org 89.238.77.73 263.873

Habe mal eben Deine Domain abgefragt. 192.168.3.254 ist mein Router (Gateway hinter Modem). Die beiden lokalen IPs sind ein freundlicher Service vom Provider. Echt ärgerlich, das Tonbänder kein Standard mehr sind. Freut Euch, nach Jahren des Bastelns laufen die Dinger zu ca. 90% zuverlässig. . Es fällt also nur noch bei großen Updates, Authentifizierungsabläufen (meist PHP) und nicht erreichbaren Seiten auf. Ruft man diese häufig genug über alternative Wege auf, finden jene Seiten dann auch ihren Weg in das getürkte Konstrukt oder zum ¨Das ist nichts für Dich, Du bist ein Feind !!!!¨ (letzteres GLÜCKLICHERWEISE bisher nur Annahme)

Freut Euch, wenn es ganz unauffällig läuft, wird es exportiert (wenn es nicht schon überall Alltag ist).
Nennen wir es Abwehr von Terror. Für jeden Terroristen einen Proxy. Irgendwann sieht man die dann nicht mehr.
_________________________________________________
Normal ist das, woran man sich gewöhnt hat.

beste Grüße aus Thailand
Falkmar

Meine named.conf.options [quelle: http://forum.infokrieg.tv]

options {
directory "/var/cache/bind"; // Cache directory
auth-nxdomain no; // Do not set auth-flag for NX (Not Existing) domains
listen-on-v6 { none; }; // Do not listen on any IPv6 interfaces
listen-on { 127.0.0.1; }; // Only listen on IPv4 127.0.0.1
allow-transfer { none; }; // Do not allow zone transfers
allow-query { 127.0.0.1; }; // Only allow localhost to query this DNS server
allow-recursion { 127.0.0.1; }; // Only allow localhost to do recursive DNS lookups
recursion yes; // Enable recursion
dnssec-enable yes; // Enable DNSSEC
dnssec-validation yes; // Enable DNSSEC validation when looking up zones
};

Dann läuft der DNS Server wirklich lokal, oder?
Ist es normal das beim 1. Query die Zeit so hoch ist?

;; Query time: 2130 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Feb 28 03:54:30 2012
;; MSG SIZE  rcvd: 162

Kann man bei obiger named.conf.options auch noch den Port #53 abändern?
Falls jemand weis bitte um Hilfe!

PS. Geiler Blog

Meine named.conf.options [quelle: http://forum.infokrieg.tv]

options {
directory „/var/cache/bind“; // Cache directory
auth-nxdomain no; // Do not set auth-flag for NX (Not Existing) domains
listen-on-v6 { none; }; // Do not listen on any IPv6 interfaces
listen-on { 127.0.0.1; }; // Only listen on IPv4 127.0.0.1
allow-transfer { none; }; // Do not allow zone transfers
allow-query { 127.0.0.1; }; // Only allow localhost to query this DNS server
allow-recursion { 127.0.0.1; }; // Only allow localhost to do recursive DNS lookups
recursion yes; // Enable recursion
dnssec-enable yes; // Enable DNSSEC
dnssec-validation yes; // Enable DNSSEC validation when looking up zones
};

Dann läuft der DNS Server wirklich lokal, oder?
Ist es normal das beim 1. Query die Zeit so hoch ist?

;; Query time: 2130 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Feb 28 03:54:30 2012
;; MSG SIZE rcvd: 162

Kann man bei obiger named.conf.options auch noch den Port #53 abändern?
Falls jemand weis bitte um Hilfe!

PS. Geiler Blog

Der einzige Ansatz hierfür aus meiner Sicht ist der Betrieb eines eigenen Root-Servers bei einem ISP im Ausland (der noch keine unsinnigen Sperrgesetze hat) und dort einen DNS-Server aufsetzen, der auf die Root-Zone forwarded und selbst nur an Clients resolved, die über ein VPN-Interface anfragen. Dann kann ich mir aber auch den Stunt mit Port 110 sparen.

Wenn du das richtig machst, dann passiert das nicht. Du kannst wie beschrieben im NetworkManager die DNS-Server separat festlegen, alternativ über resolvconf und die /etc/network/interfaces.

> Von daher finde ich es sinnvoller, direkt in der Fritzbox die DNS-IP’s zu ändern Vielleicht reden wir auch einfach nur an einander vorbei 😉

Ich denke ja. In dem Beitrag geht es nicht nur darum andere DNS-Server zu verwenden. Dafür bräuchte es den Aufwand nicht. Es geht darum dass ISPs Port 53 auf ihre eigenen Server umleiten. D.h. selbst WENN du einen anderen DNS-Server bei dir im Router oder sonstwo einträgst, letztendlich landest du dennoch beim DNS-Server des ISPs. Daher eben der Umweg über einen anderen Port.

overwrite_dns1 = 0.0.0.0;
overwrite_dns2 = 0.0.0.0;

mit den IP’s seines DNS seiner Wahl
Dann muss man aber außerdem noch

NoChecks=yes

vor die Zeile

**** CFGFILE:ar7.cfg

einfügen da die Fritzbox sonst wegen falscher checksum meckert
Dann einfach in der Fritzbox Wiederherstellen auswählen

Damit sollte es doch dann eigentlich auch möglich sein das bind9 von seinem PC zu nutzen indem man in overwrite_dns einfach die eigene IP eintippt, z.b. 192.168.21
Oder irre ich mich in dem Punkt?