Domanda tecnica:
-
rido moltissimo :D
per fare un router (ci vuole un albero...per fare un albero...ci vuole un seme...ehm... XD) ci vogliono:
- un router, cioè un aggeggio (scheda) capace di connettersi ad internet e trasmettere la connessione ad altri dispositivi (via cavo, wifi, laqualunque).
- nient'altro in realtà ma...
...il dhcp è comodo, è quella cosa che quando ti colleghi a un router con un qualsiasi dispositivo assegna automaticamente un indirizzo ip.
Potrei fare degli ip fissi, ma appunto, il dhcp è comodo.
...il server dns è un capitolo a parte e non ha veramente a che fare col router.
Il servizio di risoluzione dei dns (da numero a indirizzo http/s) di solito viene fornito dal provider internet, oppure puoi impostarne uno esterno tipo cloudflare (NO!) o google (NOOO!), oppure puoi fartene uno tuo che è molto più sicuro (a questo serve unbound).
Perchè è più sicuro?
Due cose: chi risolve i dns potenzialmente legge tutto il tuo traffico internet. I dns possono essere ...si chiama spoofing... uhm... in pratica è possibile infettare un server che risolve i dns in modo che mostri un indirizzo ma poi in realtà punti ad un ip diverso. A quel punto tu credi per esempio di essere sul sito della tua banca perchè tutto, dalla grafica all'indirizzo sembra il sito della tua banca, ma in realtà non lo è, perchè l'ip a cui punta è diverso e trac! Fregato!
Se fai il tuo server dns gestisci tu i livelli di sicurezza e li puoi impostare abbastanza elevati.
-
unbound è per fare da server dns senza dover passare da un servizio fornito da terzi (google, cloudflare ecc...).
Lo uso abitualmente sul mio pc e l'ho configurato benino, probabilmente...spero. Mi piacerebbe metterlo anche sul portatile-trasformato-in-router (a cui devo assolutamente dare un nome più corto e carino).
dnsmasq lo fa, ma unbound così a spanne mi sembra migliore...o forse è semplicemente questione di abitudine.
Nel frattempo comunque ho scoperto che si può fare, disabilitando la parte dns di dnsmasq, però aspetto a mettere "Risolto" al thread perchè non si sa mai che aspettando esca fuori qualche ottima guida/suggerimento.
CC: @diegor@social.gl-como.it
-
Chissà com'è, il mio dnsmasq punta facebook com (e altri 20000 siti "noiosanti") su 127.0.0.1.
E navigo velocissimo!
-
quelli li blocco con iptables nella catena output, così proprio neanche cominciano a impestarmi il pc! :D
CC: @matz@y.cubalibre.social
-
-
@valhalla @ju Dnsmasq in realtà non fa quello che fa unbound. Al massimo funziona da forwarder, ovvero gli puoi dire di mandare tutto quello che non conosce ad un altro dns, tipicamente il tuo ISP, piuttosto che google o altri.
Unbound, invece nel caso è in grado anche di capire quali sono i dns autorevoli (se si può tradurre così in italiano), e girare la richiesta a loro. Quello che in gergo si chiama un recursive resolver.
Al limite puoi far puntare dnsmasq ad unbound come dns, ma non vedo grossi vantaggi.
Ma se usi dnsmasq come dhcp server, gli si può dire di configurare tramite dhcp un dns diverso da se stesso. Non ho fatto la prova, internet mi dice di fare così e a memoria mi sembra corretto:
# Set DNS servers to announce
dhcp-option=6,1.2.3.4dove al posto di 1.2.3.4 si mette l'ip di unbound
-
@GustavinoBevilacqua @matz @ju In questo caso il vantaggio di dnsmasq è che se gli ip di facebook o altro, cambiano ip (o aggiungono nuovi ip), li blocchi comunque.
Poi volendo si possono usare anche estensioni di firefox (o altri browser) come noscripts. Questione di gusti.
-
@diegor @ju già, in effetti noi usiamo unbound solo come forwarder, puntandolo ai dns del provider (che comunque vede tutto il traffico, per cui tanto vale), se non sbaglio¹ con quad nine come backup per quando i dns del provider si rompono, che è un po' meglio di google o cloudflare quad9.net/
¹ o forse quello ce l'ho solo configurato come secondo dns sui pc
-
quad nine è buono, meglio dei dns del provider che potrebbero essere vulnerabili proprio per il fatto che è un provider.
Unbound ti permette di andare direttamente alla fonte, interrogando i root DNS server senza passare da un provider e di impostare diverse misure di sicurezza.
Ora, io mi spiego un po' male, però qui c'è un buon articolo a riguardo, anche se un po' datato:
https://calomel.org/unbound_dns.html
CC: @diegor@social.gl-como.it
-
@ju Che io sappia non esistono gestori di DNS "buoni a priori", non esistono dns server che possano essere definiti completamente al riparo dall'influenza di governi, organizzazioni sovranazionali, communication providers e compagnia cantante: La IANA supervisiona i server root e assegna la gestione ai 13 gestori dei server "fisici" dns (tra cui figurano anche il dip. difesa USA, US Army, NASA, RIPE, ICANN, etc.).
Quello che possiamo fare è scegliere un provider che consideriamo affidabile e incrociare le dita... Io ad esempio sono sempre sotto Proton VPN che mi gestisce, anonimizza e cripta anche le richieste DNS... Penso di essere al sicuro al 100%? No.
-
@carlux@puntarella.party
in realtà ecco...
possiamo anche costruirci il nostro provider, che è quello che ho fatto con unbound.
@valhalla@social.gl-como.it @diegor@social.gl-como.it
