[WLANware] Netzzensur in .de. => public IP space squatten: der erste moment, wo ich mit elektra d'accord gehe!
Florian Teply
usenet at teply.info
Fri Jun 19 17:58:35 CEST 2009
Am Friday 19 June 2009 14:35:05 schrieb L. Aaron Kaplan:
[snip]
>
> 1) ihr sucht euch eine vertrauenswuerdige Gruppe intern aus, die setzt
> ein paar DNS Server auf
Wieso aussuchen? Zum Aufsetzen eines DNS-Servers brauchts nur ein ganz klein
wenig Fachwissen, und 'n Resolving Proxy (das ist exakt das, was die
DNS-Server bei $ISP machen) aufzusetzen ist nochmal 'n bischen einfacher. Ist
ja nicht so wie bei Mailservern, wo man höllisch aufpassen muß, nicht ein
Open Relay draus zu machen. Nen kompletten bind will man zwar nicht auf nen
WRT basteln, aber alle Router, die auf nem stinknormalen Rechner basieren
(wie bei mir zuhause) sind recht bequem in der Lage, Namensauflösung nebenbei
mitzuerledigen. Inkl. direktem Befragen der Root-Server und Caching. Das hat
hier ne ganze Zeit lang ein 75er Pentium erledigt. Von der benötigten
Rechenleistung her wäre also auch ein WRT grad noch ausreichend, allerdings
will man dann etwas mehr Speicher haben...
Aber: das Aufsetzen alleine reicht nicht, man muß die Resolver dann auch
benutzen. Ist ja nicht besonders hilfreich, wenn aufgrund älterer
Konfigurationen die User-Rechner trotzdem den Nameserver von T-Offline fragen
#-)
> 2) ihr announced per HNA die public IP Addressen der DNS server der
> ISPs innerhalb des Freifunk Netzes und lasst sie auf die internen
> (recursive) DNS server zeigen. Somit umgehen die clients die
> gefilterten DNS server der ISPs.
>
Das ist bestenfalls unelegant. und zwar, weil
a) Unter den entsprechenden IP-Adressen auch andere Dienste laufen können, die
dann nicht mehr zugänglich sind.
b) Dem Nutzer dann garnicht die eigentliche Problematik klar ist
c) Im Fehlerfalle ("Internet geht nicht...") nicht immer klar ist, wo der
Fehler zu suchen ist.
Insbesondere c) kenn' ich ganz gut: irgendein Kollege schreit mal wieder "Das
Internet geht hier nicht, geht's bei Dir?" In 99% dieser Fälle ging's bei mir
noch, lediglich der interne Nameserver hat die Hufe hochgerissen. Hat mich
nie gestört, auf meinem Laptop läuft lokal ein Resolver ;-) Das macht auch
unabhängig von ständig wechselnden und oft halbkaputten Netzwerkumgebungen...
Wenn aber beispielsweise auf den Uplinks nur die IP-Adressen (die durchaus
auch gelegentlich wechseln können -> ständiger Arbeitsaufwand, die Liste
aktuell zu halten) umgebogen werden, kann man als Endnutzer nie sagen, ob es
nun der ursprünglich gefragte Nameserver ist, der Mist macht, oder die
Umleitung auf nen eigenen Nameserver nicht hinhaut oder einfach der eigene
Nameserver Mist zurückliefert. Mit einer solchen Maßnahme ist nämlich die
Eindeutigkeit von IP-Adressen dahin. Mit den 104ern ging das vielleicht noch
halbwegs, weil bislang der Bereich nicht anderweitig genutzt wird, aber wenn
die Adressen tatsächlich benutzt werden, kann das die allerfeinsten Probleme
mit sich bringen (Routing loops und schwarze Löcher z.B.), die richtig fies
zu debuggen sind.
Mal ganz davon abgesehen, daß die Nutzer dann darauf angewiesen sind, daß "die
Fachleute" das dann schon richtig machen, aber keine Möglichkeit haben, diese
Annahme zu verifizieren, und auch sonst keine Wahl haben als damit zu leben.
Das heißt, den Teufel mit dem Beelzebub austreiben...
> Frei nach dem Motto "wenn das Internet (die ISP DNS server) mir
> Bloedsinn erzaehlen, route ich rundherum und finde die richtige
> Antwort selber".
>
Das ist das Ziel, doch man erreicht das auf mehreren Wegen, von denen nicht
alle wirklich schlau sind.
Ich finde, man muß dem Nutzer die Wahl lassen, und das schließt die meisten
Lösungswege aus (IP-basierte Umleitung, portbasierte Umleitung,
Content-basierte Umleitung), im wesentlichen bleibt nur noch das Angebot,
unabhängige Resolver zu betreiben, übrig.
Gruß,
Florian
More information about the WLANware
mailing list