[UPDATE 05.10.2012] Service eingestellt! No DNS Service anymore!
Um der Internet-Zensur per DNS-Sperren entgegen zu wirken habe ich einen freien DNS-Server auf gesetzt. Es werden keine keine Zugriffe geloggt. Im Gegenzug zum nicht-loggen gibt’s ein connection limit pro IP – das ist aber so hoch, dass es kein Problem für Power-User ist 😉
78.46.89.147 (nicht mehr aktiv!)
88.198.75.145 (nicht mehr aktiv!)
Als zweiten DNS empfehle ich 78.46.76.144 oder 178.63.26.173 (Liste)
Auf ein freies Inter-Netz!
Update 12.12.2010:
- Ab sofort werden auch Domains in OpenNIC-TLD aufgelöst. (test)
- IPv6 ist deaktiviert (um Fehler zu vermeiden solange ich selbst noch keine IPv6-Adresse nutze)
Ich wurde nach der Config gefragt, welche ich für Bind9 verwende. Das veröffentliche ich gern:
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-query { any; };
version „bind9 for freedom and against censorship“;
minimal-responses yes;
max-cache-size 32M;
cleaning-interval 15;
max-cache-ttl 604800;
max-ncache-ttl 300;
Um IPv6 komplett zu deaktivieren trägt man bei debian in /etc/default/bind9 ein:
OPTIONS=“-4 -u bind“
Außerdem weise ich darauf hin, dass ich ein bind-security log schreibe, damit fail2ban eventuelle Angriffe abwehren kann. Vorallem Cache-Angriffe dürften damit Geschichte sein, das schützt auch die Benutzer dieses Nameservers. Das Log-File wird jede Nacht ge-wipe’d. Wichtig: da drin werden NICHT sämtliche requests sondern nur Sicherheits-relevante Anfragen gelistet.
Die Log-Config schaut so aus (in der namend.conf.options)
logging {
channel security_file {
file „/var/log/named/security.log“ versions 1 size 3m;
severity dynamic;
print-time yes;
};
category security {
security_file;
};
};
In der Fail2ban-config (jail.conf):
[named-refused-tcp]
enabled = true
port = domain,953
protocol = tcp
filter = named-refused
logpath = /var/log/named/security.log
Für OpenNIC gibt es in der named.conf noch einen weiteren Eintrag:
zone „.“ {
type slave;
file „/etc/bind/slave/db.opennic“;
masters { 58.6.115.45; 58.6.115.46; };
allow-transfer { any; };
notify no;
};
Es würde mich freuen, wenn viele diesem Beispiel folgen würden!