LINUX.ORG.RU
ФорумTalks

Провайдер блокирует сторонние ДНС? Если да, то как обойти?

 , ,


1

3

Доброго вечера!

Сегодня настраивал систему в виртуалке, забил сетевые настройки, айпи там, маску, так как системка ставилась «на посмотреть», то не стал заморачиваться и вместо ДНС прова забил гугловские восьмёрки. Проверяю инторнеты, а сайты не открываются. Пингую 8.8.8.8, всё ок, удивляюсь, снова проверяю, не работают инторнеты. Проверяю инторнеты на хосте - всё работает, ну забил ещё nslookup на хосте там, оно выдаёт результат, но ДНС-сервер чому-то провайдерский указан, а у меня в настройках прописан первым адрес ОпенДНС-сервера. Вот тут-то у меня и закрались подозрения. В процессе выяснения причин открыл для себя такую интересную штуку как dig, с её помощью проверял доступность через разные публичные ДНС-серверы, но оно мне отвечает вот так вот:

# dig @8.8.8.8 google.com

; <<>> DiG 9.9.4-rpz2.13269.14-P2 <<>> @8.8.8.8 google.com
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached
И стало мне от этого непонятно и печально.

Следовательно возникают вопросы:
1. Нафига провайдер так ВНЕЗАПНО поступил?
2. Есть ли способ обойти такую вот блокировку?

Погуглил, но по запросу вылезла куча ссылок на тему «как обойти блокировку сайтов при помощи сторонних ДНС», но нифига на тему обхода блокировок этих самых сторонних ДНС.
Может кто в курсе этого дела? Помогите тогда с проблемкой.

★★★

Нафига провайдер так ВНЕЗАПНО поступил?

Чтобы ты блокировки сайтов не обходил. Если на одном IP несколько сайтов, то провайдер, через твои DNS запросы решает к чему пускать, к чему нет. Впрочем, редактирование /etc/hosts еще никто не запретил ;-) Про DNSCrypt тоже правильно подсказали.

Еще некоторые таким образом продают тебя рекламным компаниям, сдавая им посещаемые тобой сайты.

praseodim ★★★★★
()
Последнее исправление: praseodim (всего исправлений: 1)
Ответ на: комментарий от StReLoK

Спасибо за наводку, щас попробуем разобраться, как это всё настроить. praseodim, я вот тоже склоняюсь к такому варианту, только вот чего так внезапно и без предупреждения, меня вот это смущает, хотя мож оповещать пользователей пров и не должен, но всё равно некрасиво.
Тогда такой вопрос, какими способами может блокировать провайдер ДНС-серверы? Берёт список публичных, или порт закрывает?

Да, про редактирование /etc/hosts немножко не понял, это ж сколько адресов вручную забить придётся, если начнут совсем уж массово блокировать сайты?

И ещё один вопрос, связки типа vidalia+tor или privoxy+tor к каким ДНСам обращаются, не к тем, ли, которые в системе указаны?

Vier_E ★★★
() автор топика
Ответ на: комментарий от Vier_E

Гуляй через VPN, так оно как-то спокойней. У провайдеров сейчас банальный DPI везде. А некоторые особо наглые ещё и сертификаты пытаются подменять (ЕМНИП пчелайн этим занимался).

StReLoK ☆☆
()
Ответ на: комментарий от Vier_E

Спасибо за наводку, щас попробуем разобраться, как это всё настроить.

Если у тебя Ubuntu, то вот ppa, включает профиль Apparmor. Хотя я рекомендую тебе настройть dnscrypt на роутере. Вот руководство для openwrt. А вот список ресолверов, рекомендую CloudNS ну или дефолтный OpenDNS, они самые стабильные.

anonymous_sama ★★★★★
()

у меня последнее время гугл перестал возвращать собдомены (опять, только совсем, включая большинство западных сайтов), пришлось взять днс с 1 ссылки в гугле.

wakuwaku ★★★★
()
Последнее исправление: wakuwaku (всего исправлений: 1)
Ответ на: комментарий от StReLoK

А некоторые особо наглые ещё и сертификаты пытаются подменять (ЕМНИП пчелайн этим занимался).

Но я правильно понимаю, что при попытке подмены сертификата та же лиса будет материться соответствующим образом? Осенью, не лиса правда, а конкерор, иногда матюкался на что-то подобное, но тогда провайдер был другой (РТК).
А из ВПН что-то годное и бесплатное есть, или нонче только за денюжку такое счастье приобрести можно?

anonymous_sama, зузя у меня, аппармор там тоже имеется, но я его никогда даже не ставил, ровно с тех пор, как несколько лет назад там что-то поломали и он вообще в инторнеты не пускал никого, было это во времена зузи 11.4.
По поводу ОпенВРТ я вот тоже задумался, но может заодно посоветуешь простой неубиваемый роутер, на котором эта штука гарантированно работает без лишних плясок с бубном при прошивке?
А за ссылки благодарю.

Vier_E ★★★
() автор топика

Да, совсем забыл, пока что проблема решилась таким образом:
1. Ищем на сайте своего дистра пакет dnscrypt, у меня это был dnscrypt-proxy.
2. Ставим
3. Прописываем в настройках сети ДНСЫ 127.0.0.1 и 127.0.0.2
4.

# systemctl enable dnscrypt-proxy.service
# systemctl start dnscrypt-proxy.service

5. Проверяем работу ДНС командой dig ya.ru, например

У меня заработало, но я не знаю насколько обязательно выполнять третий пункт, ну и какие команды вводить в четвёртом, если дистр не юзает системд (мне даже как-то стыдно).

Vier_E ★★★
() автор топика
Последнее исправление: Vier_E (всего исправлений: 1)
Ответ на: комментарий от Vier_E

Но я правильно понимаю, что при попытке подмены сертификата та же лиса будет материться соответствующим образом

При подмене да, при смене сертификата на другой подписанный авторитетным CA нет.

зузя у меня, аппармор там тоже имеется, но я его никогда даже не ставил

Зря.

По поводу ОпенВРТ я вот тоже задумался, но может заодно посоветуешь простой неубиваемый роутер

Все зависит от потребностей, скорости и типа подключение у провайдера. На вскидку какой-нибудь средний вариант с TP-Link TL-WDR3600.

anonymous_sama ★★★★★
()
Ответ на: комментарий от anonymous_sama

Ага, значит там была подмена.
Я особо не интересовался аппармором, так как не особо понимаю, зачем он нужен в довесок к фурриволлу, а потом как-то и забыл про его существование. Но надо будет потыкать тогда.
Ну а требования к роутеру не особо высокие, шоб стабильно держал скорость в районе 10-20 Мбит и был неубиваемым в плане живучести и настроек. Сначала был у меня дир-620, но он довольно быстро стал страдать постоянным сбросом части настроек - постоянно запускал дхцп-сервер при ребуте, хотя тот был отключен вручную, затем Азус RT-N16, но эта сволочь просто сдохла - видимо погорел. Сейчас ещё один RT-N16, который случайно был обнаружен на дальней полке. Я не помню за какие провинности он был туда заброшен, но пока работает. Заодно выяснилось, что у этой модели прошивка на лине, а значит можно и поссх коннектиться при желании. Посматриваю я на ТП-Линки, ибо точки у них вроде нормально пашут, хотя прошивки иногда достаточно глючные.

Vier_E ★★★
() автор топика
Ответ на: комментарий от Vier_E

Это MAC. Грубо говоря если у тебя есть профиль apparmor для Firefox, то в случае если тебя попробуют взломать через Adobe Flash, то добиться больше того, что разрешено в apparmor профиле для Firefox будет крайне сложно. Плюс Apparmor ограничит сам флеш, в случае адекватно написанного профиля.

anonymous_sama ★★★★★
()

У EFF были одно время dns сервера на нестандартных портах. И да, не только у нас провайдеры балуются подменой днс.

nighthawk
()
Ответ на: комментарий от Vier_E

И ещё один вопрос, связки типа vidalia+tor или privoxy+tor к каким ДНСам обращаются, не к тем, ли, которые в системе указаны?

Зависит от настройки браузера. about:config значение network.proxy.socks_remote_dns меняешь на true и обращение пойдёт к удаленным DNS через socks

Если используешь браузер из бандла, то там всё настроено. Вообще лучше всего использовать специальный браузер, а то есть разные не очевидные уязвимости, о которых можно и не знать. Например, Firefox 36 (комментарий)

anonymous_incognito ★★★★★
()
Последнее исправление: anonymous_incognito (всего исправлений: 1)
Ответ на: комментарий от Vier_E

А из ВПН что-то годное и бесплатное есть, или нонче только за денюжку такое счастье приобрести можно?

Или годное или бесплатное. Выбирай одно из двух. Я вот airvpn юзаю, очень даже годнота. При просадках скорости (что бывает достаточно редко) переключаюсь на другой сервер, благо их очень много. Принимают платежи через Bitcoin, логи не хранят. Есть проброс портов и разрешен P2P трафик.

StReLoK ☆☆
()
Последнее исправление: StReLoK (всего исправлений: 1)

UPD:
Внезапно всё опять изменилось! Доступ к иноземным ДНС открыт, НО! Теперь если у нас ДНС стоит, к примеру 8.8.8.8, то провайдер заворачивает запросы через контент-фильтр и, в случае чего, посылает на заглушку. В то же время, если мы честно заменяем восьмёрки на ДНС прова, то идём мимо контент-фильтра (или он просто не фильтрует наши запросы).
Вангуем, с чем такое поведение может быть связано, лол.

Vier_E ★★★
() автор топика
Ответ на: комментарий от Vier_E

Вангуем, с чем такое поведение может быть связано, лол.

Да что тут ванговать, у провайдера какое-то своеобразное видение мира. Скорее всего хотят настроить ДНС-фильтр, но пока получается вот так.

Я уже писал как можно хендлить ДНС так, чтобы не беспокоить пользователей: Как заблокировать узел по доменному имени, перехватывая DNS-пакеты , но администраторы в основном, конечно, действуют напролом, запретами и редиректами

Deleted
()
Ответ на: комментарий от Deleted

Провайдер, как я понял, предпочитает юзать готовое и опробованное решение, а не писать всё самостоятельно. С другой стороны мне интересны как раз такие вот поползновения и манёвры. Ведь завтра ещё что-нибудь весёлое выдумает, а значит нужно быть готовым. Вот и предложил пованговать, какой способ он может придумать. Пока что днскрипт справляется с проблемой, но если есть способ и его порезать? И да, я понимаю, что у прова какое-то раздражение гуглоднс вызывают (давно), но чтоб таким образом заставлять юзать предложенные им самим, ну как-то немножко в голове не укладывается теперь. Мне был понятен запрет, по поводу которого я и создал тему, но вот щас, ну не знаю. Мож и вправду обкатывают какую технологию, или просто что-то не настроили.

Vier_E ★★★
() автор топика
Ответ на: комментарий от Vier_E

Ведь завтра ещё что-нибудь весёлое выдумает, а значит нужно быть готовым

Ну, в общем случае пользователь довольно беззащитен против провайдера. Я бы исходил из того, что почти весь трафик потенциально можно прослушать (а кроме интернетов еще можно записать разговор с мобилы, отследить перемещения и т.д.).

Не знаю как сейчас, раньше провайдеров обязывали хранить netflow (или аналог) за несколько последних лет. Учитывая что диски сейчас недорогие, можно предположить что некоторые (а может быть и многие) провайдеры старые данные не стирают, так оно и копится.

Хотя, когда совсем уж нагло действуют, конечно раздражает. Если у тебя не очень крупный провайдер, можно поговорить и спросить что они там колдуют с ДНС. Вдруг расскажут что происходит и зачем

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.