Možná už jste slyšeli o některých otevřených DNS serverech, které jsou veřejně dostupné na internetu. Já je občas používám a tak vám o některých z nich řeknu a ukážeme si, co a jak.
Protože jsem notebookář, šťoural a nenechavec. Taky vím něco o sítích a tak se často a rád připojuji k různým veřejným Wi-Fi bodům. Samozřejmě jen k těm otevřeným a veřejným. O tom jaké jsou s Wi-Fi spojené bezpečnostní problémy si můžeme povědět jindy.
Velmi často se mi stává, že se k síti připojím, ale ouha, cesta dál nevede. Běžný uživatel by se asi naštval a s tím, že „to zase nejde“ by odkráčel. Ne tak já. Já se obvykle pustím do zkoumání příčiny, zkusím zjistit co se děje a někdy dopadnu stejně, jako výše zmíněný uživatel.
Překvapivě často ale narazím na to, že síť vlastně funguje, jen je rozbitá místní DNS, kterou mi podalo DHCP. Pravidelně se mi to stává například (ale zdaleka nejen tam) v autobusech StudentAgency, kde je k dispozici Wi-Fi. Zřejmě jejich AP neunese poměrně časté rozpadání připojení (mají za tím CDMA) a kešovací DNS v krabičce prostě odmítne resolvovat. Ověřuje se to samozřejmě snadno, stačí si zapamatovat nějakou pěknou veřejnou IP adresu a pingnout si. Hezké adresy budou následovat, počkejte.
V takové situaci ale máme samozřejmě problém, protože k čemu je nám dneska připojení bez DNS (jak jsme zhýčkaní!)? Vyhrává samozřejmě ten, kdo zná některou veřejnou a otevřenou DNS, která je dostupná z vnějšího internetu a umí pro nás pracovat, ať jsme kdekoliv. Běžný uživatel o ničem takovém (bohužel) samozřejmě neslyšel, takže ten vyhrát nemůže. My ale víme, takže můžeme využít.
Zřejmě nejznámější je v tomto směru projekt OpenDNS. U něj si můžete koupit vlastní virtuální DNS, na které si můžete ponastavovat různé vlastní věci a využít tak třeba tuhle DNS ve firmě. Pokud ale chcete jen veřejný resolver, ten je samozřejmě k dispozici zdarma, na IP adresách:
208.67.222.222 208.67.220.220
To první je samozřejmě primár, to druhé sekundár. Existují samozřejmě další projekty jako ScrubIT nebo DNSAdvantage.com a další. Vždy u nich dostanete dvě veřejné IP, které stačí použít.
Dobrá, přiznávám se bez mučení, že já používám Google Public DNS. Důvod je (s)prostý – má nejhezčí a nejjednodušší IP adresy. Posuďte sami:
8.8.8.8 8.8.4.4
No může to být jednodušší? Tyhle adresy si zapamatujete velmi snadno a když máte problém, stačí si vzpomenout a použít.
Samozřejmě to můžete nějak vyklikat (mělo by to jít v NetworkManageru), ale já jsem milovníkem unixového pořádku, takže používám staré a dobré konfigurační soubory. Ten pro vaši DNS se jmenuje /etc/resolv.conf
a jeho formát po změně je velmi jednoduchý:
nameserver 8.8.8.8 nameserver 8.8.4.4
Obvykle je ještě třeba restartovat síťové aplikace, minimálně v případě Firefoxu je to nutné. Pak už aplikace začne používat vaši novou DNS. Podobně můžete konfiguraci zapsat do svého routeru (nebo AP) a nové servery budou využívat všichni uživatelé na síti. Samozřejmě tyhle IP adresy můžete používat i pro testovací ping, o kterém jsem psal na začátku.
Vím, že část z vás se teď osype nad tím, že Google. Samozřejmě vím o Velkém Bratrovi (sám jsem byl několikrát v české porotě BBA) a o těch problémech okolo. Je taky známo, že Google využívá svou otevřenou DNS jako další zdroj dat pro svůj vyhledávač.
Pokud ale chcete navštívit pár veřejných webů, tak to podle mého názoru není problém, vždyť je to jen DNS. Pokud se vám to nelíbí, samozřejmě můžete využít služeb jiných poskytovatelů a nemusíte si adresy zapamatovat, stačí si je někam poznamenat a je to. Volba je jako vždy na vás.
Ještě užitečná poznámečka na závěr: pokud si chcete nějakou DNS jen tak vyzkoušet, aniž byste měnili nastavení systému, můžete použít třeba příkaz host
(nebo profesionálnější a ukecanější dig
), který se umí zeptat jen na překlad adres a výsledek vám vyplivne na obrazovku. Můžete mu ručně vnutit, kterého serveru se má ptát. Příklad:
$ host root.cz 8.8.8.8 Using domain server: Name: 8.8.8.8 Address: 8.8.8.8#53 Aliases: root.cz has address 91.213.160.118 root.cz mail is handled by 10 stana.iinfo.cz.
Rozmyslal som (tak laicky), ci sa neoplati vzdy si davat sekundarnu DNS adresu ako primarnu... Ze ked vacsina ludi pouziva tu prvu, ci ta druha nebude o kusok rychlejsia... Na druhej strane je mozne ze ta viac pouzivana ma viac stranok v cache...
Co si o tom myslite?
Myslim napr. nieco taketo:
nameserver 8.8.4.4
nameserver 8.8.8.8
Ne ze by se mi tyto informace nehodily, ale co vam brani si na vlastnim notebooku pustit vlastni resolver, predpokladam, ze na nem stejne jako ja mate Linux? Jedine, kde s timto mam problem jsou site, kde nejaka chytra hlava zablokovala DNS dotazy mimo sit, ale tam pravdepodobne neuspejete ani s timto postupem.
[12]: Ako som pisal, mozno je to zbytocne. Spravil som to preto, ze kopec "drobnych" poskytovatelov pri pouziti ich DNS presmerovava neplatne poziadavky na rozne reklamne stranky, pripadne na vyhladavanie (openDNS) a podobne. Tak mi to liezlo na nervy, ze som si spravil normalny resolver. A on je s dnsmasq ten isty problem - nasmerovat ho "na nejake vnejsi DNS" znamena to iste.
Mne to proste pride ako jednoduche riesenie, ktore funguje vzdy, ked mam IP konektivitu.
Co sa bezpecnostnych dier tyka - hej, uznavam. Ako riesenie som zakazal komunikaciu dnu cez iptables - moj resolver sa zvonku pouzit neda - a spolieham sa na to, ze na notasi aj tak dolezite data nenosim - su doma na serveri.
Ja bych jeste dodal, ze resolv.conf se obnovuje automaticky po startu network deamona (pokud je brano nastaveni z dhcp), proto je to jako stale reseni ponekud ne nejlepsi. Napriklad arch (ale verim, ze to bude i u jinych distribuci) umoznuje mit jeste 2 soubory s name servery, resolv.conf.head a resolv.conf.tail, ktere se nikdy nemeni automaticky. Tzn. pokud chcete uprednostnovat opendns pred dns prirazenymi DHCP, staci jejich IP umistit do souboru /etc/resolv.conf.head, naopak pokud chcete pouzit opendns pouze pokud selze resolvovani z prirazenych dns, staci umistit onu adresu do /etc/resolv.conf.head (format jako u resolv.conf tzn s prefixem nameserver).
Dik nebylo mi jasny kam se podel parametr "-a" z "ping" na MSwinXT/cmd,
kterej vraci domenove jmeno ... ted uz je mi to jasny :-)
MSwinXP/cmd:
ping -a 91.213.160.118
Prikaz PING na www.root.cz [91.213.160.118] ...
linux-SUSE11.2/bash:
petr@terra:~> ping -a 91.213.160.118
PING 91.213.160.118 (91.213.160.118) ....
petr@terra:~> host 91.213.160.118
118.160.213.91.in-addr.arpa domain name pointer www.root.cz.
Jen dodám, že představa o vyhledávači z OpenDNS je dost častou neznalostí nastavení. V dashboardu se dá snadno na jedno kliknutí vypnout. OpenDNS pak už vrací normální NXDOMAIN.
P.S.: 81.27.192.33 a 81.27.192.97 (UPC, ex Karneval DNS). Nic rychlejšího (v porovnání s OpenDNS i Google) jsem zatím neobjevil. DNS fungují i z cizích sítí.
OpenDNS? No fuj. Google? Uh.
# OpenNIC http://www.opennicproject.org/
nebo
# Comodo Secure DNS
# http://www.comodo.com/secure-dns/
nameserver 156.154.70.22
nameserver 156.154.71.22
Pro 20: Nerozumim tomu, proc si myslite, ze nejake Comodo je lepsi nez OpenDNS anebo Google. Jste majitel?? Me se Comodo nelibi, pusobi neduveryhodne. Ale kazdy sveho stesti strujcem...
$ host 8.26.56.26
26.56.26.8.in-addr.arpa domain name pointer ns1.recursive.dns.com.
$ host 156.154.70.22
Host 22.70.154.156.in-addr.arpa. not found: 3(NXDOMAIN)
$ host 156.154.71.22
Host 22.71.154.156.in-addr.arpa. not found: 3(NXDOMAIN)
Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. GNU/Linuxem a Unixem obecně se zabývá již více než deset let a věnuje se především jeho nasazení v počítačových sítích a bezpečnostní politice. Zde bloguje o Root.cz, Linuxu, internetu a světě kolem sebe.
Přečteno 110 024×
Přečteno 89 040×
Přečteno 72 327×
Přečteno 57 774×
Přečteno 54 147×