DNS transparent proxy pianetafibra

Qualche tempo fa bloccavano ogni DNS che non fosse google o cloudflare, ora magari sono passati a intercettare e rederigere i pacchetti verso un server DNS "autorizzato", quindi la risoluzione "funziona" ma non con il server impostato dall'utente.

Usa DNS over HTTPS o over TLS se possibile.

edofullo ma anche no, semplicemente erano e sono bloccati i pacchetti in entrata sulla 53/udp provenienti da un dato transito. Nessun redirect, nessuna intercettazione, solo un filtro che blocca determinati pacchetti in entrata, con motivazione anti-DDoS che ben si conosce. Non spargiamo disinformazione a caso, grazie!

Semmai e' Android (da sempre, e fa cosi' anche AOSP senza il trojan Google Play Services), e a sto punto mi immagino anche Google Chrome, che reindirizza a caso e di sua spontanea volonta' il DNS a quelli di Google (8.8.8.8 e 8.8.4.4 ed equivalenti IPv6), e questo non accade solo quando i DNS impostati non sono raggiungibili. Anzi.

Inoltre ci sono da considerare altri fattori, ad esempio su versioni "moderne" di Linux c'e' systemd-resolved che collassa a caso quando viene usato un DNS "filtrante", per via della sua gestione decisamente molto "allegra" della cache e dei CNAME. Stessa cosa se si usa un client DNS con la validazione DNSSEC attiva, un DNS "filtrante" lo rompe male (e "giustamente" direi, visto che con DNSSEC attivo si dice al client di fidarsi del provider che vuole servire pubblicita' e altre invasioni della privacy, e non invece del provider che vuole filtrare tali schifezze).

Infine... Non vedo in che maniera una pagina web possa essere tecnicamente in grado di testare i reindirizzamenti del DNS a cura di un Man-in-the-Middle che reindirizza i pacchetti in chiaro ad un'altra destinazione, visto che la pagina web non puo' fare override dei server DNS cui decide di rivolgersi il browser in uso. Per cui probabilmente quella pagina e' fuffa, e/o non spiega bene quello che vuole testare.

Andrea23 Cisco Umbrella ex OpenDNS passa anche dal transito impattato e quindi puo' essere che sia parzialmente filtrato se non sono stati whitelistati da PF tutti gli IP di tutte le varianti dei servizi che offrono. Apri un ticket a PF specificando gli indirizzi esatti dei server DNS impattati che non rispondono.

gandalf2016 ok, e cosi' fa ad esempio anche ipleak.net inviando un centinaio di query custom, mostrando poi da quale provider e IP risultano provenire tali query; quindi l'utente puo' valutare se l'informazione e' corretta oppure no in base a cio' che sa aver impostato come server DNS nei propri dispositivi (ad es, se imposto OpenDNS, mi aspetto che vengano indicati degli IP registrati a nome di OpenDNS/Cisco).

Quello che non mi e' per nulla chiaro, e' in base a cosa quel sito di cui sopra (http://whatismyip.network/detect-isp-proxy-tool/) scriverebbe "Success" oppure "Failure"... (Era a questo sito che mi riferivo, presente nel post di OP e anche nei due screen qui sopra )

gandalf2016

Mi hai anticipato, avevo pure fatto la cattura su tcpdump (nello spoiler) da macchina virtuale per rimuovere un po' di rumore

20:38:05.964547 IP6 fe80::ac95:b0ff:fe55:a84f.54197 > fe80::b3ce:713f:fe00:a2dd.53: 25897+ [1au] AAAA? dnsleaktest.com. (44)
20:38:06.095899 IP6 fe80::ac95:b0ff:fe55:a84f.39956 > fe80::b3ce:713f:fe00:a2dd.53: 5660+ [1au] AAAA? dnsleaktest.com. (44)
20:38:06.159891 IP6 fe80::ac95:b0ff:fe55:a84f.43070 > fe80::b3ce:713f:fe00:a2dd.53: 892+ [1au] A? 41e8bb01-9404-4398-9ca2-3a021e44ff75.test.dnsleaktest.com. (86)
20:38:06.161194 IP6 fe80::ac95:b0ff:fe55:a84f.55878 > fe80::b3ce:713f:fe00:a2dd.53: 59141+ [1au] AAAA? 41e8bb01-9404-4398-9ca2-3a021e44ff75.test.dnsleaktest.com. (86)
20:38:06.353328 IP6 fe80::ac95:b0ff:fe55:a84f.33947 > fe80::b3ce:713f:fe00:a2dd.53: 63484+ [1au] A? 71a100a8-c8d3-4aad-b83d-f86bd7487bc1.test.dnsleaktest.com. (86)
20:38:06.353392 IP6 fe80::ac95:b0ff:fe55:a84f.37943 > fe80::b3ce:713f:fe00:a2dd.53: 58229+ [1au] AAAA? 71a100a8-c8d3-4aad-b83d-f86bd7487bc1.test.dnsleaktest.com. (86)
20:38:06.528848 IP6 fe80::ac95:b0ff:fe55:a84f.37599 > fe80::b3ce:713f:fe00:a2dd.53: 11972+ [1au] A? 5b71fae0-e047-4188-abe8-3489f23ced07.test.dnsleaktest.com. (86)
20:38:06.529774 IP6 fe80::ac95:b0ff:fe55:a84f.52563 > fe80::b3ce:713f:fe00:a2dd.53: 64160+ [1au] AAAA? 5b71fae0-e047-4188-abe8-3489f23ced07.test.dnsleaktest.com. (86)
20:38:06.698236 IP6 fe80::ac95:b0ff:fe55:a84f.34992 > fe80::b3ce:713f:fe00:a2dd.53: 25771+ [1au] A? 2a41dbfd-491d-468c-97e7-b571ef048026.test.dnsleaktest.com. (86)
20:38:06.698292 IP6 fe80::ac95:b0ff:fe55:a84f.47416 > fe80::b3ce:713f:fe00:a2dd.53: 49182+ [1au] AAAA? 2a41dbfd-491d-468c-97e7-b571ef048026.test.dnsleaktest.com. (86)
20:38:06.867291 IP6 fe80::ac95:b0ff:fe55:a84f.35222 > fe80::b3ce:713f:fe00:a2dd.53: 35857+ [1au] A? 3059fd9c-1908-4d41-acf9-82e0668971a7.test.dnsleaktest.com. (86)
20:38:06.867365 IP6 fe80::ac95:b0ff:fe55:a84f.50577 > fe80::b3ce:713f:fe00:a2dd.53: 41858+ [1au] AAAA? 3059fd9c-1908-4d41-acf9-82e0668971a7.test.dnsleaktest.com. (86)
20:38:07.049226 IP6 fe80::ac95:b0ff:fe55:a84f.50348 > fe80::b3ce:713f:fe00:a2dd.53: 32641+ [1au] A? b37c3dea-4b64-4435-a606-34dc2558c9ad.test.dnsleaktest.com. (86)
20:38:07.049284 IP6 fe80::ac95:b0ff:fe55:a84f.32864 > fe80::b3ce:713f:fe00:a2dd.53: 2584+ [1au] AAAA? b37c3dea-4b64-4435-a606-34dc2558c9ad.test.dnsleaktest.com. (86)
20:38:07.232116 IP6 fe80::ac95:b0ff:fe55:a84f.50547 > fe80::b3ce:713f:fe00:a2dd.53: 13686+ [1au] AAAA? dnsleaktest.com. (44)
20:38:07.279678 IP6 fe80::ac95:b0ff:fe55:a84f.48694 > fe80::b3ce:713f:fe00:a2dd.53: 63726+ [1au] AAAA? dnsleaktest.com. (44)

20:38:42.242057 IP6 fe80::ac95:b0ff:fe55:a84f.47152 > fe80::b3ce:713f:fe00:a2dd.53: 15432+ [1au] AAAA? dnsleaktest.com. (44)
20:38:42.254113 IP6 fe80::ac95:b0ff:fe55:a84f.55739 > fe80::b3ce:713f:fe00:a2dd.53: 62181+ [1au] AAAA? www.dnsleaktest.com. (48)
20:38:42.558512 IP6 fe80::ac95:b0ff:fe55:a84f.59489 > fe80::b3ce:713f:fe00:a2dd.53: 13094+ [1au] AAAA? www.dnsleaktest.com. (48)
20:38:44.219124 IP6 fe80::ac95:b0ff:fe55:a84f.44906 > fe80::b3ce:713f:fe00:a2dd.53: 51081+ [1au] AAAA? dnsleaktest.com. (44)
20:38:44.289638 IP6 fe80::ac95:b0ff:fe55:a84f.47150 > fe80::b3ce:713f:fe00:a2dd.53: 6282+ [1au] A? 8b088784-0b25-4ba6-8eeb-a705f1fb6232.test.dnsleaktest.com. (86)
20:38:44.289698 IP6 fe80::ac95:b0ff:fe55:a84f.37897 > fe80::b3ce:713f:fe00:a2dd.53: 49837+ [1au] AAAA? 8b088784-0b25-4ba6-8eeb-a705f1fb6232.test.dnsleaktest.com. (86)
20:38:44.469252 IP6 fe80::ac95:b0ff:fe55:a84f.41758 > fe80::b3ce:713f:fe00:a2dd.53: 16542+ [1au] A? 610bf398-3739-42c5-b69e-b3bbd287c1ce.test.dnsleaktest.com. (86)
20:38:44.469331 IP6 fe80::ac95:b0ff:fe55:a84f.53082 > fe80::b3ce:713f:fe00:a2dd.53: 13728+ [1au] AAAA? 610bf398-3739-42c5-b69e-b3bbd287c1ce.test.dnsleaktest.com. (86)
20:38:44.669730 IP6 fe80::ac95:b0ff:fe55:a84f.55858 > fe80::b3ce:713f:fe00:a2dd.53: 17682+ [1au] A? c180741f-af32-47a7-8e2a-acefebd5a68a.test.dnsleaktest.com. (86)
20:38:44.669931 IP6 fe80::ac95:b0ff:fe55:a84f.60230 > fe80::b3ce:713f:fe00:a2dd.53: 3118+ [1au] AAAA? c180741f-af32-47a7-8e2a-acefebd5a68a.test.dnsleaktest.com. (86)
20:38:44.832485 IP6 fe80::ac95:b0ff:fe55:a84f.33089 > fe80::b3ce:713f:fe00:a2dd.53: 41768+ [1au] A? dff0d03c-432c-4815-87d5-270fe1fb1d3f.test.dnsleaktest.com. (86)
20:38:44.832539 IP6 fe80::ac95:b0ff:fe55:a84f.58000 > fe80::b3ce:713f:fe00:a2dd.53: 54852+ [1au] AAAA? dff0d03c-432c-4815-87d5-270fe1fb1d3f.test.dnsleaktest.com. (86)
20:38:45.025770 IP6 fe80::ac95:b0ff:fe55:a84f.44172 > fe80::b3ce:713f:fe00:a2dd.53: 26487+ [1au] A? cf177b3f-7f93-4731-87fc-7f8f9ae15247.test.dnsleaktest.com. (86)
20:38:45.025841 IP6 fe80::ac95:b0ff:fe55:a84f.41474 > fe80::b3ce:713f:fe00:a2dd.53: 51188+ [1au] AAAA? cf177b3f-7f93-4731-87fc-7f8f9ae15247.test.dnsleaktest.com. (86)
20:38:45.230072 IP6 fe80::ac95:b0ff:fe55:a84f.47219 > fe80::b3ce:713f:fe00:a2dd.53: 27475+ [1au] A? 324a780f-56df-45b8-99b6-500189637b45.test.dnsleaktest.com. (86)
20:38:45.230119 IP6 fe80::ac95:b0ff:fe55:a84f.47503 > fe80::b3ce:713f:fe00:a2dd.53: 534+ [1au] AAAA? 324a780f-56df-45b8-99b6-500189637b45.test.dnsleaktest.com. (86)
20:38:45.415528 IP6 fe80::ac95:b0ff:fe55:a84f.46762 > fe80::b3ce:713f:fe00:a2dd.53: 58859+ [1au] AAAA? dnsleaktest.com. (44)
20:38:45.460018 IP6 fe80::ac95:b0ff:fe55:a84f.52757 > fe80::b3ce:713f:fe00:a2dd.53: 44543+ [1au] AAAA? dnsleaktest.com. (44)

LATIITAY semplicemente erano e sono bloccati i pacchetti in entrata sulla 53/udp provenienti da un dato transito. Nessun redirect, nessuna intercettazione, solo un filtro che blocca determinati pacchetti in entrata, con motivazione anti-DDoS che ben si conosce. Non spargiamo disinformazione a caso, grazie!

Sto parlando con cognizione di causa, ho provato tempo fa direttamente diversi server DNS da una linea PF e soltanto Google e Cloudflare rispondevano mentre gli altri (OpenDNS, Quad9, non ricordo se HE o L3) andavano tutti in timeout (in IPv4).

Già la avevo trovata una mossa coraggiosa al tempo, visto che bloccare così il DNS whitelistando solo alcuni server vuol dire che chiunque aveva configurato DNS differenti si è trovato praticamente senza linea*.
Quindi, non potendo vedere esattamente cosa ha fatto il provider, ho fatto un ipotesi (cosa che ho indicato chiaramente in grassetto) che avessero potuto redirigere il traffico DNS di tutti gli altri server verso i server consentiti per evitare che la gente si ritrovasse improvvisamente senza linea.

Una manovra del genere avrebbe descritto perfettamente tutto quello che ha riportato OP (dnsleak che faila, la risoluzione che avviene correttamente ma senza i servizi che offrono smart DNS o simili).

Gli ho anche consigliato DoH o DoT che ha risolto il problema.

*il fatto che fossero quelli che passano "da un solo transito" non cambia la questione visto che non c'è (molto) controllo sui pacchetti in entrata. Oggi potrebbe funzionare e domani rompersi.

LATIITAY i pacchetti in entrata

Questo in entrata è fuorviante. Intendi che viene bloccata la risposta? Perchè si parla di query "in uscita" e non frega nulla a nessuno di query "in entrata" (verso un server DNS in LAN)

Mi muto, visto che evidentemente anche consigliare come risolvere i problemi scatena polemiche inutili.

edofullo Sto parlando con cognizione di causa, ho provato tempo fa direttamente diversi server DNS da una linea PF e soltanto Google e Cloudflare rispondevano mentre gli altri (OpenDNS, Quad9, non ricordo se HE o L3) andavano tutti in timeout (in IPv4).

E infatti qui (e solo qui, in grassetto) confermi quello che ho detto anche io, e che e' ancora cosi' in quanto l'ho provato ieri prima di scrivere il mio post. I pacchetti che entrano dal transito incriminato e che non sono in whitelist, vengono droppati, per evidenti motivi di antiflood.

Il mio "Non spargiamo disinformazione a caso, grazie!" e' pero' ovviamente chiaramente riferito al tuo bel "magari" in grassetto visto che tale tua ipotesi e' completamente infondata e non rispondente al vero, e quindi confermo, sottolineo e reitero il mio invito a non spargere disinformazione a caso, grazie!

Ripeto, in grassetto: Nessun redirect, nessuna intercettazione (che sarebbero gravissimi), solo un filtro che blocca determinati pacchetti in entrata, con motivazione anti-DDoS che ben si conosce.

edofullo Questo in entrata è fuorviante. Intendi che viene bloccata la risposta? Perchè si parla di query "in uscita" e non frega nulla a nessuno di query "in entrata" (verso un server DNS in LAN)

Perche' mai dovrebbe essere fuorviante? Ho descritto correttamente quello che accade (in grassetto), ossia, i pacchetti in uscita destinati alla 53/udp non vengono bloccati, e arrivano alla destinazione, vengono pero' bloccati i pacchetti in entrata provenienti dalla 53/udp ed entranti da un dato transito. Quindi si', "viene bloccata la risposta", se vuoi dirlo cosi'. Ma la "risposta" e' pur sempre un pacchetto in entrata... E ai router stateless come quelli nelle reti degli ISP frega nulla se un pacchetto fa parte di una connessione (anzi conntrack entry, va, che stiamo parlando di UDP), o di chi ha inviato il "primo pacchetto", e men che mai del contenuto del pacchetto.

/fin

LATIITAY Ripeto, in grassetto: Nessun redirect, nessuna intercettazione (che sarebbero gravissimi), solo un filtro che blocca determinati pacchetti in entrata, con motivazione anti-DDoS che ben si conosce.

Che mi sembra comunque abbastanza grave, considerando che magari qualcuno deve utilizzare DNS diversi da quelli nelle grazie del suo provider (tipo ns1.google.com, cloudflare for teams o un custom dns stile adguard).

Sembra assurdo dover necessariamente usare Do(H|T|Q) (e su Q non sono sicuro) per scappare da filtri indegni.
Oltretutto considerando che anche la porta 443/udp viene talvolta bloccata, e non penso serva specificare cosa passi sulla 443.
Certo certo, il mondo funziona anche senza 443/udp, basta la 443/tcp, ma se qualcuno avesse roba strettamente basata su HTTP/3? Ricordiamoci sempre che sti filtri si applicano a tutta la rete, non solo alla parte linee internet per consumer.

Tutto ciò al netto del fatto che non ho mai sentito di Google/Azure/AWS tagliare via porte tipo 53 e 443 (udp) per mitigare dei DDoS, sicuramente sono aziende di grandezza diversa, ma si chiama antiddos e non "insieme di regole fisse" proprio perché dovrebbe essere in grado di causare meno problemi possibili neutralizzando l'attacco.

Un po' di PL su udp durante la mitigazione di un attacco in entrata si può accettare, 53/udp e 443/udp chiuse in idle un po' meno.