Freie Nameserver von ValiDOM
Um der Internet-Zensur per DNS-Sperren entgegen zu wirken habe ich freie DNS-Server auf gesetzt. Sie sprechen DNSSec und loggen keine Zugriffe. Im Gegenzug zum nicht-loggen gibt’s ein connection limit pro IP – das ist aber so hoch, dass es kein Problem für Power-User ist 
78.46.89.147
88.198.75.145
Auf ein freies Inter-Netz!
Update:
Ich wurde nach der Config gefragt, welche ich für Bind9 verwende. Das veröffentliche ich gern:
In den Namend-Options:
options {
directory “/var/cache/bind”;auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-query { any; };
dnssec-enable yes;
dnssec-lookaside “.” trust-anchor “dnssec.iks-jena.de”;
version “bind9 for freedom and against censorship”;
minimal-responses yes;
max-cache-size 256M;
cleaning-interval 15;
max-cache-ttl 604800;
max-ncache-ttl 300;
};
Um DNSsec zu nutzen braucht man trusted keys – die habe ich mir nach der Anleitung von der German Privacy foundation runter geladen und eingebunden.
In der Named.conf sieht das dann so aus:
include “/etc/bind/trusted_keys.conf“;
Außerdem weise ich darauf hin, dass ich ein bind-security log schreibe, damit fail2ban eventuelle Angriffe abwehren kann. Vorallem Cache-Angriffe dürften damit Geschichte sein, das schützt auch die Benutzer dieser Nameserver. Das Log-File wird jede Nacht ge-wipe’d. Wichtig: da drin werden NICHT sämtliche requests sondern nur Sicherheits-relevante Anfragen gelistet.
Die Log-Config schaut so aus (in der namend.conf.options)
logging {
channel security_file {
file “/var/log/named/security.log” versions 1 size 3m;
severity dynamic;
print-time yes;
};
category security {
security_file;
};
};
In der Fail2ban-config (jail.conf):
[named-refused-tcp]
enabled = true
port = domain,953
protocol = tcp
filter = named-refused
logpath = /var/log/named/security.log
Es würde mich freuen, wenn viele diesem Beispiel folgen würden!
