ADSL vs DNS

[TomKov]

Už se tady vedla diskuse na toto téma asi před dvěma lety, ale výsledku jsem se nedopátral.
Podle všeho blokují provozovatelé ADSL TCP i UDP balíky, adresované na port 53, což znemožňuje provoz soukromých DNS.
Před dvěma lety jsem používal ADSL od GTS (přes resellera EMEA Telekom), a asi před dvěma lety jsem zjistil, že mi přestaly na port 53 přicházet balíky. Zavolal jsem na EMEA, a po pár dnech se to spravilo.
EMEA se stáhla z trhu, tak jsem přešel ke GoMobil, ti také resellují GTS (dneska aka T-Mobile), když se podívám na traceroute ke svému serveru, tak se liší od minulosti akorát v posledním hopu. A ejhle - problém se vrátil, žádné 53-balíky nepřicházejí. Leč amatéři z GoMobil mi podávají standardní call centrovou odpověď - na naší straně nic, problém musí být u Vás.  Není - koukám se na provoz na lince hned za modemem, ještě před routerem a firewallem - a prostě tam ty balíky nejsou. Jako před oněmi dvěma lety, akorát se oproti tehdy nemůžu dostat přes resellera k operátorovi.

Podařilo se už někomu prostřelit až k T-Mobile, aby blokování zrušili? Pokud jsem pochopil, bojuje s tím hodně lidí. Tentýž problém zdá se existuje i u kyslíků.

Any advice appreciated.

Díky
   --- Tom

[Reklama]

[Dzavy]

No provozovat DNS server na domaci ADSL pripojce, to je lahoda...to by me zajimalo, co znamena "hodne" lidi (co s tim bojuji).

[TomKov]

A co je na tom jako zlého? Dělám to už přes 10 let.

[JardaP .]

Mozna by pomohlo zachrastit argumenty typu, ze od nich odejdete, pokud s tim neco neudelaji. Nekde slysi jen na prachy.

[Dzavy]

A co je na tom jako zlého? Dělám to už přes 10 let.

A proc jestli se muzu tak blbe zeptat? Kdyz nekdo skopne doma ten ADSL modem, kdyz umre ten "server", kdyz provider prideli jinou IP adresu, kdyz ma provider vypadek (pro domaci pripojky obvykle garance nejsou nic moc), kdyz nekdo doma vydatne stahuje, kdyz doma vypadne proud...atd...tak DNS proste nebezi?

[Reklama]

[SB]

Aha, takže to má jinou míru spolehlivosti, jinak je to to samé jako jinde.

[j]

A co je na tom jako zlého? Dělám to už přes 10 let.

A proc jestli se muzu tak blbe zeptat? Kdyz nekdo skopne doma ten ADSL modem, kdyz umre ten "server", kdyz provider prideli jinou IP adresu, kdyz ma provider vypadek (pro domaci pripojky obvykle garance nejsou nic moc), kdyz nekdo doma vydatne stahuje, kdyz doma vypadne proud...atd...tak DNS proste nebezi?

A? Pokud si doma treba provozuje mta na vlastni domene, tak je mu bezici dns stejne na kulovy. Zato se nemusi dohadovat s nejakym registratorem co mu milostive umozni nebo neumozni do dns naladovat a zaroven se nemusi dohadovat s ISP, ze mu neco resolvuje blbe nebo vubec.

2TomKov: Napis jim, ze tvoje pripojeni neodpovida uzavreny smlouve, a ze pokud to urychlene nenapravi, vypovis okazite a bez dalsiho smlouvu. Samo v pripade, ze ses pripraven to opravdu udelat. Jinak si bez zarvat na nadrazi.

[Dzavy]

A? Pokud si doma treba provozuje mta na vlastni domene, tak je mu bezici dns stejne na kulovy. Zato se nemusi dohadovat s nejakym registratorem co mu milostive umozni nebo neumozni do dns naladovat a zaroven se nemusi dohadovat s ISP, ze mu neco resolvuje blbe nebo vubec.

Jojo to zni jako samy vyhody.

2TomKov: Napis jim, ze tvoje pripojeni neodpovida uzavreny smlouve, a ze pokud to urychlene nenapravi, vypovis okazite a bez dalsiho smlouvu. Samo v pripade, ze ses pripraven to opravdu udelat. Jinak si bez zarvat na nadrazi.

Jsi tu smlouvu videl? ISP asi dobre vi, proc ve svy siti pro DOMACNOSTI nechce zadnej pochybnej DNS server, kterej muze bejt zdrojem pripadnyho DDoS utoku. Za par stovek mesicne mu to za to fakt nestoji, takze bejt ISP, klidne ho necham jit.

[j]

Milej zlatej, smluv sem videl pomerne dost, ve vsech je vzdy zminovano tak maximalne ze jde o pripojeni k internetu a rychlost.

A klidne bych se nebal jim do toho pripsat par § telco zakona na tema zasahovani do telco spojeni, za coz jsou celkem pekny 6ti a vicemistny flastriky.

Jestli TY si nechas srat nahlavu, je TVUJ problem. A nekoho kdo mi bude filtrovat nejaky porty bych ja osobne nakop s paradnim rozebehem.

[Karel]

Jen pro upřesnění: tazateli nejede DNS server (resp. není přístupný z Internetu) nebo mu nejede vlastní DNS resolver (tj. má blokované dotazy na port 53 mimo povolené DNS servery provozované jeho ISP)?

[TomKov]

j: přesně, mluvíte mi z duše.
Ani mi tak nejde o to, že se ke mně nedoplují balíky, adresované na port 53, a že tím pádem je můj DNS zvenku nedosažitelný (Karel: domnívám se, že jsem problém popsal dost srozumitelně, o resolveru tady nepadlo ani slovo) - trochu překonfiguruju síť, mám pár linek v zahraničí, kde si mi žádný big brother nedovolí pakety filtrovat, přehodím VPNku, trocha zbytečné práce navíc, a jedeme dál. A přes tuhle ADSLku si holt budou jenom hrát děti na facebooku.
Problémy vidím spíš v principu, a to 2:
a) dneska mi provozovatel sítě, bez oznámení a zdůvodnění, začne odfiltrovávat pakety, adresované na port 53/UDP a 53/TCP (a přitom to na infolince popírá, a nejen mně, vím o pár dalších lidech s týmž problémem). Co bude zítra? Nasadí DPI a budou blokovat pakety, které budou mít v payloadu "Putin je vůl" ? Začnou odchytávat SIP, aby mě donutili používat svůj předražený POTS? Zablokujou ssh, aby si mohli snáz přečíst, co se mezi mnou a světem posílá? Když přece řádný občan nemá žádné tajnosti?
b) fascinuje mě profesionalita ISP, kteří v jedné větě dokážou říci, že "náš technický partner říká, že je vše v pořádku a nic neblokují" a současně "i kdyby něco blokovali, tak na to mají právo". A přitom jsem napojený o jeden router vedle, než do minulého týdne, u stejného core operátora - kdy všechno jelo jako na másle.
Dzavy - máte pravdu, ptáte se hodně blbě a mimo mísu, a nic vám do toho není. A pokud mi nějaký školáček tady začne vyprávět o tom, jak bojuje proti DDoS zašpérováním portů, tak se málem počůrám smíchy. To se pozná odborník.

No nic. Díky za plodnou diskusi.

[Kolemjdoucí]

Co bude zítra?

Kdeže zítra. Už dnes se blokují DNS dotazy na nepohodlné stránky a to prosím naprosto neprůhledně, není možné získat seznam.
http://www.zive.cz/clanky/telefonica-o2-zacala-filtrovat-internetove-stranky/sc-3-a-148331/default.aspx

[M.]

Ano, velká trojka a pár dalších filtruje DNS dotazy na svých DNS serverech v rámci "boje za lepší zítřky". Naštěstí jen na svých, takže pokud jako DNS server mám vlastní rekurzivní resolver nebo použiju jiné veřejné dostupné, tak filtrování obejdu.

Ohledě blokování DNS na UDP/53 - velká trojka už patřičně mění smluvní podmínky dle doporučení ČTU ohledně řízení provozu (zatím nezávazného), takže řada tarifů je už definována jako "služba přístupu k síti internet s omezením" (a pak je popsáno jak je limitováno). Takže to chce důkladně číst podmínky.
Bohužel, konkrétně u toho blokování UDP/53 se to schová pod omezení, které slouží "pro předcházení mimořádným situacím a za účelem zachování integrity a bezpečnosti sítí a služeb poskytovaných prostřednictvím těchto sítí, za účelem minimalizace účinků mimořádného rizika přetížení sítě." a v takovém případě jde stále o "službu přístupu k síti internet". Argument je, že mezi lidma je stále tuna debilních koncových routerů/debilně nastavených, které odpovídají na DNS na portu UDP/53 na dotazy z WAN strany a pak se snadno stávaly součástí DDoS útoků přes DNS. A můžu říci, že to jsou značné toky, co se tím dají vyprovokovat. Proto to snad všichni ISP dneska plošně blokují a spíše u těch malých ISP si vyřvu, ať mi ten UDP/53 otevře, než u molocha, zvláště u tarifů pro residenční segment.