• [cancellato]

  • Messaggio #30

eang Quindi tanto vale davvero usare il DNS dell'ISP. O al massimo se l'ISP impone filtri DNS troppo stringenti si può usare un resolver locale tipo unbound, che quantomeno ti garantisce l'autenticità delle risposte tramite DNSSEC.

Vi torna?

Usare DNS dell'ISP è una soluzione per i "tecnici" sconsigliabile sia perché appunto è un facile punto di raccolta di dati statistici sulla navigazione (molto più semplice esaminare un log query che andare ad analizzare il traffico di rete, pur se è possibile farlo) e perché in passato avevano la facile tendenza a mandarti su pagine pubblicitarie al posto che restituirti NXDOMAIN.
Unbound nella propria rete con validazione DNSSEC e risoluzione ricorsiva è una delle soluzioni migliori, si perdono i filtri che gli ISP devono imporre per legge (siti sequestrati dalla GdF e portali di scommesse illegali che non sottostanno ai monopoli AAMS), però si è tranquilli che le risposte non possono venir alterate da soggetti terzi (per i resolver che firmano le zone con DNSSEC, lasciamo perdere che è un'altra storia infinita, un po' come IPv6).

      [cancellato] quindi per un utente come il sottoscritto, che dispone:

      • ffth tiscali of
      • fritzbox 7530
      • pc muletto acceso h24 con ubuntu , 8 giga di ram e disco a volontà

      Qual'è la configurazione migliore per gestire il servizio DNS? Installare unbound su Linux e far puntare il 7530 a lui come dns server?

      Grazie per l'aiuto

          • [cancellato]

          • Messaggio #32
          • Modificato

          mkonsel Se vuoi usare un tuo resolver, sì, anzi potresti banalmente andare a far puntare direttamente i cilent al muletto andando a cambiare le impostazioni del DHCP.
          Ah, le risorse occupate da un resolver DNS sono infime, ne ho 3 che girano su un OrangePi Zero + altra roba 😃

          • mkonsel ha risposto a questo messaggio

              [cancellato] io ho anche dei Raspberry, dal modello zero al 3, inutilizzatiml. Ne dedico uno a questi servizi di rete? Ha senso? Il muletto ha una cpu j3710 quad core...

                  • [cancellato]

                  • Messaggio #34

                  mkonsel A tua scelta! Come ti va meglio.
                  Puoi dare un'occhiata anche al progetto PiHole se vuoi anche prendere la palla al balzo per abilitare qualche filtraggio di base.
                  Ci sono anche delle guide per integrarlo con Unbound 😉

                    Nell'attuale configurazione, dove i client puntano il router come dns, e il 7530 punta i dns Tiscali impostati in automatico, ho fatto qualche prova dal muletto linux con il comando DIG. Se cerco www.google.com da @192.168.2.1 , ottengo risposte tra 0 e 4 ms. Se imposto @1.1.1.1 o @8.8.8.8, ottengo 13-20 ms di risposta. Che significa? Che il 7530 fa già da cache delle query DNS?

                    Aggiungo che ho fatto il dig con @213.205.32.70 (dns tiscali), e ottengo comunque 4ms, quindi il 7530 non fa cache.

                    while true; do dig www.dropbox.com @213.205.32.70 | grep time; sleep 2; done
                    ;; Query time: 4 msec
                    ;; Query time: 4 msec
                    ;; Query time: 16 msec
                    ;; Query time: 0 msec
                    ;; Query time: 4 msec
                    ;; Query time: 4 msec
                    ;; Query time: 4 msec
                    ;; Query time: 4 msec
                    ;; Query time: 4 msec
                    ;; Query time: 4 msec
                    ;; Query time: 4 msec
                    ;; Query time: 4 msec
                    ;; Query time: 4 msec

                    Con 4ms di risposta alle query dal dns del provider, ha comunque senso realizzare un proprio resolver dns casalingo?

                    Intendo dal punto di vista performance... È chiaro che dal punto di vista privacy e sicurezza, il resolver dns ha i suoi vantaggi.

                    • [cancellato]

                    • Messaggio #37
                    • Modificato

                    mkonsel Qual'è la configurazione migliore per gestire il servizio DNS? Installare unbound su Linux e far puntare il 7530 a lui come dns server?

                    Ti conviene a quel punto impostare direttamente il DNS server sui client, per quelli con DHCP basta poi configurare il server DHCP con il nuovo indirizzo. Puoi anche lasciare il Fritz come secondo server DNS in caso che il primo abbia problemi.

                    Una nota però: spesso DNS e DHCP lavorano insieme per la risoluzione dei nomi host locali, associando gli IP rilasciati dal DHCP ai client con il nome host nella opportuna zona DNS. Non so se il Fritz lo faccia. Se si utilizza un server DNS separato questa funzionalità viene persa finché non si configurano opportunamente server DHCP e DNS.

                    eang erchè se è vero che il tuo ISP non vedrà le tue query DNS, vedrà comunque l'IP di destinazione che farai nelle request HTTP successive alle query DNS...

                    Dalla query DNS veri però il nome host. Dietro un IP ci possono essere più "host" web che condividono l'IP, specialmente quando di mezzo ci sono reverse proxy e altre funzionalità di caching, balancing, ecc. che possono anche far sì che l'IP non sia sempre lo stesso. Vedi appunto caso CDN dove l'ip risolto può dipendere da dove fai la query.

                        4 mesi dopo

                        Quindi se uso netflix e Amazon prime video mi sconsigliate cloudfire? Sembrava eccellente per non regalare altri dati a Google

                          alealeale per non regalare altri dati a Google

                          Mah, la privacy policy del public resolver di Google è quasi uguale a quella di Cloudflare, a me pare l'ultimo dei problemi... Anche il fatto che 1.1.1.1 abbia latenza più bassa è disputable

                            Filippo94 appena sono da pc provo, da iPad non so fare il Ping 🙂

                                alealeale puoi usare l’app network tools, ovviamente in Wi-Fi non è come da cavo, ma ti dà l’idea se risponde più veloce Google o Cloudflare (spesso va meglio se si è di Roma o più a sud)

                                  Filippo94 quanto fai di ping verso 8.8.8.8 e quanto verso 1.1.1.1?

                                  Piu bassa ora no.
                                  Google 8ms e 1.1.1.1: 22ms

                                      Coi Google dns mi sono sempre trovato molto bene, però mi stavo chiedendo se Google non abbia già abbastanza dati senza regalare anche questi.
                                      Ma mi romperebbe avere problemi con lo streaming se cambio

                                        alealeale

                                        Per Netflix non ci sono problemi (usano API più sofisticate per restituirti il server più vicino). Con Amazon Prime Video invece dipende da quale CDN viene fornito il contenuto (cloudfront usa EDNS e quindi Cloudflare non sarebbe la scelta migliore, ad esempio).

                                        Inoltre, non so dove sei, ma su https://1.1.1.1/help che Cloudflare Data Center è indicato? Data la latenza, credo sia anche fisicamente distante e di conseguenza lo sarebbero anche i contenuti delle CDN.

                                        Puoi fare questo test: prova a pingare a2.w10.akamai.net (è una cache di akamai), prima impostando i DNS di Google e poi quelli di Cloudflare.

                                        Con la mia connessione (Eolo), ad esempio, ottengo una media di 19ms usando Google (viene restituito un ip locale dell'ISP - 88.149.130.233) attraversando 4hop, mentre con Cloudflare ottengo 39ms attraversando ben 12hop (ip restituito: 104.125.3.144; il mio datacenter di riferimento è a Zurigo, visto che quello a Milano sembra in manutenzione).

                                            stemax97 uso Roma e sono di Treviso.. dici vada bene tenere cloudflare?
                                            sennò come soluzione tengo cloudflare sul modem e sulla Smart tv metto i Google dns così salvo capra e cavoli, no? (Privacy nella navigazione di pec, iPad e cellulari e cdn vicini nella Smart tv)

                                            gia che sei così gentile mi dici se i dati che ottengo dal tuo test sono ok?

                                                alealeale

                                                Significa che ti stai collegando al datacenter di Roma.

                                                alealeale sennò come soluzione tengo cloudflare sul modem e sulla Smart tv metto i Google dns così salvo capra e cavoli, no? (Privacy nella navigazione di pec, iPad e cellulari e cdn vicini nella Smart tv)

                                                Può andare come soluzione (in passato avevo tenuto un approccio simile), ma non è che usare sempre e solo Google sia dannoso (anche se non gli affidi i DNS, tutti i dati delle ricerche e dei siti che visiti vengono analizzati)... inoltre, a livello di velocità probabilmente saranno equivalenti (Google è tendenzialmente più lento a fornire una risposta ma è a 8ms di distanza, mentre Cloudflare è più veloce ma è a quasi il triplo di latenza). Ok che stiamo parlando di valori molto bassi, però a livello di prestazioni io userei direttamente Google ovunque.

                                                Se vuoi salvaguardare veramente la privacy avrebbe più senso installare un server ricorsivo unbound (o knot) che contatti direttamente ogni authoritative server senza affidarsi a intermediari, ma francamente dovresti valutare se ne vale la pena (è un pochetto complicato da attivare, serve un raspberry pi o un dispositivo sempre acceso oltre al router che faccia da server, i tempi di risposta a freddo sono nell'ordine dei 100-150 ms).

                                                      Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                      P.I. IT16712091004 - info@fibraclick.it

                                                      ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile