AbcLinuxu:/ Poradna / Linuxová poradna / Jak blokovat Firefox používající TRR?

Štítky: DNS, Facebook, Firefox, firewally, Internet, iptables, ISP, jeho, malware, Mate, prohlížeče, server, sítě, tom

Dotaz: Jak blokovat Firefox používající TRR?

10.8.2018 15:23 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Jak blokovat Firefox používající TRR?

Přečteno: 1851×

Odpovědět | Admin

Zdar!

Blbci z Firefoxu se rozhodli obejít DNS a tím i lokální administrátory v jejich sítích. Bohužel se mě to dotýká, protože dosti extenzivně používám blokování a podvrhování adres přes DNS ve své síti - většinou se jedná o blokování reklamy, blokování trackerů a dalších sviňáren, blokování malware a stránek, které nechci, aby o mě a návštěvách v mé síti věděly (např. Facebook, telemetrie od Microšitu). Nutno říci, že DNS server je zároveň validujícím rekurzivním resolverem, takže co neblokuji, to by mělo být bezpečné proti podvrhu např. ze strany ISP. Navíc veškeré DNS dotazy ze sítě mám pomocí iptables transparentně přesměrované na svůj DNS server, aby to nikdo nemohl obejít jenom tím, že bude používat např. servery od Googlu

No, a teď do toho přichází Firefox s tou jeho hrůzou a závislostí na Cloudflare, což bych rád natvrdo blokoval (je mi jedno, jestli pak bude firefox na hostovském notebooku fungovat) - otázka je ale jak?

Máte, prosím, někdo nějakou informaci o tom, jaké ip adresy/rozsahy/porty, případně jaké DNS jména blokovat, abych tuto bezpečnostní díru najisto zalátal?

(Pokud mě naserou a jinak to nepůjde, tak mi asi nezbyde, než odříznout kompletně AS Cloudflare, nu což...)

multicult.fm | monokultura je zlo | welcome refugees!

Řešení dotazu:

Komentář #26 (Max, 1 hlasů)
Komentář #6 (Max, 1 hlasů)
Komentář #1 (Max, 1 hlasů)

Nástroje: Začni sledovat (1) ?

Odpovědi

Řešení 1× (Filip Jirsák)

10.8.2018 15:40 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

"Navíc veškeré DNS dotazy ze sítě mám pomocí iptables transparentně přesměrované na svůj DNS server, aby to nikdo nemohl obejít jenom tím, že bude používat např. servery od Googlu"

To neděláš dobře, buď to dropuj, nebo do té komunikace nesahej.

To označení za "blbce" jsi si mohl odpustit ;-)

.

Jinak TRR je snad zatím libovolná fce, která je by default off, ne?

Každopádně nějak nerozumím tvému postoji, protože pokud je to firemní síť, tak budeš asi i správce těch PC, tzn. že by jsi aktuálně řešil problém na špatném místě.
Pokud nejsi správce těch PC, tak se domluv s nimi.
Pokud to jsou nějací uživatelé, se kterými nemáš moc společného, tak nechápu, proč něco takového vůbec řešíš.
Zdar Max

Měl jsem sen ... :(

10.8.2018 16:35 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Každopádně nějak nerozumím tvému postoji, protože pokud je to firemní síť, tak budeš asi i správce těch PC, tzn. že by jsi aktuálně řešil problém na špatném místě.

Je to domácí síť, do které pouštím hosty, kterým ale ze slušnosti nemůžu šahat do jejich PC. Rád bych je do své sítě pouštěl dál, ať už přijdou s jakýmkoliv nastavením...

To neděláš dobře, buď to dropuj, nebo do té komunikace nesahej

Bohužel některé systémy jdou defaultně na servery Googlu a uživatelé jsou natolik BFU, že mi vlastní transparentní DNS server přijde jako lepší řešení.

Jinak TRR je snad zatím libovolná fce, která je by default off, ne?

To nebude dlouho trvat...

multicult.fm | monokultura je zlo | welcome refugees!

10.8.2018 18:27 kolemjdouci
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Můj názor: Proč bys proboha měl návštěvě cokoli omezovat?! Pokud nechceš, aby vyžírali linku tak jim omez rychlost, ale nenuť svou DNSku. Izoluj je do VLANy a firewallem zakaž provoz do LAN domácnosti. V případě, že se jedná o jinou než domácí síť použij řadič domény nebo-li active directory by MS, se kterou můžeš spoustu věcí vinutit/zakázat. Pro malou firmu nebo damácnost bych volil distribuci Zentyal. Pro větší firmu Windows Server.

10.8.2018 18:32 kolemjdouci
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Ježíš !vynutit! Tak to dopadá když zapracuje automatická oprava s nedodělkem a člověk píše z mobilu.

10.8.2018 20:14 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Protože chci prostě a nekecej mi do toho :). Je to moje síť, tak si v ní můžu dělat, co chci.

(Koukám, že všichni mají spoustu debilních keců, místo, aby přinesli nějakou užitečnou informaci...)

(Těch důvodů je spousta, základní je, že prostě nechci, aby si šmíráci typu facebook atd. mohli dát do souvislosti moje návštěvy - které předpokládám, že mají "přečtené" - s mojí IP adresou.)

multicult.fm | monokultura je zlo | welcome refugees!

10.8.2018 23:38 jejda
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

prostě nechci, aby si šmíráci typu facebook atd. mohli dát do souvislosti moje návštěvy - které předpokládám, že mají "přečtené" - s mojí IP adresou.

To bys musel všecky návštěvy tlačit tunelem na nějakou socks proxy někde venku. Šachování s DNS ti před tímto nepomůže.

11.8.2018 09:01 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Skôr mám dojem, že to niesú návštevy.

11.8.2018 12:50 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Když se nedostanou na FB nebo se jim nenačtou reklamy apod. na stránkách, tak pochopitelně pomůže...

multicult.fm | monokultura je zlo | welcome refugees!

10.8.2018 20:19 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

BTW, ano hosty pochopitelně mám izolované do zvláštní VLAN, to ale ty zásadní problémy neřeší.

multicult.fm | monokultura je zlo | welcome refugees!

Řešení 1× (Filip Jirsák)

10.8.2018 19:27 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

V tom případě to řešíš na špatném místě.
Základní pravidlo je, že do komunikace se nesahá. To, co ty děláš s dns, je špatný a může to způsobovat problémy klientům. Osobně jsem jednou zažil jednoho ISP, co tohle dělal a zjistil jsem to tak, že mi nefungoval dns server a později jsem přišel i na další věci. Chvilku mi trvalo, než jsem sniffem zjistil, co ten isp dělá. Jinak nebyl to nějaký zlý úmysl, prostě jen předělával síť a na spoustě místech měl nastavené staré dns servery, tak to vyřešil takto.

Zdar Max

Měl jsem sen ... :(

10.8.2018 20:17 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Jakákoli svoje pravidla si strč do zadnice, je to moje síť a v té určuji pravidla já!

(Ano, pokud by mi to udělal ISP - jakože už se mi to taky stalo a znamenalo to nefunkčnost DNSSEC - tak ho nakopu do zadnice. Jenomže já nejsem ISP a nikdo z hostí není povinnen se u mě na návštěvě kamkoliv připojovat, atd.)

multicult.fm | monokultura je zlo | welcome refugees!

13.8.2018 01:08 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

To nejsou má pravidla, to jsou obecná pravidla.
Zdar Max

Měl jsem sen ... :(

16.8.2018 20:29 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Nesmysl.

multicult.fm | monokultura je zlo | welcome refugees!

17.8.2018 07:35 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Aha, v jaké jeskyni žiješ, že je pro tebe naprosto normální podvrhování dns komunikace, což způsobuje problémy? A sám jsi to i napsal. Každý normálnější ISP ti odmítne změnit i blbý MSS, musíš to udělat sám na svý straně.
Zdar Max

Měl jsem sen ... :(

10.8.2018 19:25 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Mně spíš vadí padající FF 61 na vlastní stánce s doplňky a na wiki Archu. Co má tohle na svědomí zatím netuším.

Archlinux for your comps, faster running guaranted!

10.8.2018 20:21 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

A co takhle napsat vlastní dotaz nebo příspěvek do blogu a nespamovat nesouvisející téma?

multicult.fm | monokultura je zlo | welcome refugees!

10.8.2018 20:31 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Tak zatím to řeším tak, že jsem dal blokovat následující domény (včetně subdomén) na rovině DNS:

dns.cloudflare.com
cloudflare-dns.com
dns.google.com

A zároven blokuji na firewallu ochozí TCP spojení na port 443 na tyto IPv4:

104.16.111.25  # cloudflare-dns.com
104.16.112.25        # cloudflare-dns.com
104.19.198.29        # dns.cloudflare.com
104.19.199.29        # dns.cloudflare.com
172.217.23.206       # dns.google.com
1.1.1.1              # cloudflare
1.0.0.1

Těžko ale říct, jak často se to bude měnit. Opravdu se to bude dát otestovat, až to FF vnutí defaultně všem. 100% to nebude nikdy, co se dá dělat...

multicult.fm | monokultura je zlo | welcome refugees!

10.8.2018 20:49 rastos | skóre: 63 | blog: rastos
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Navrhujem diskutérom prijať fakt, že Petr má svoju predstavu prečo niečo chce a miesto odhovárania sa sústrediť na zodpovedanie otázky. Bez ohľadu na to, aký máte na otázku názor. Kto chce kam, pomôžme mu tam.

Tá feature je popísaná napr. tu.

network.trr.mode môže mať hodnoty:

0 - Off
1 - Race
2 - First
3 - Only
4 - Shadow
5 - Off by choice

Ideálne by bolo žiadať užívateľov, aby si nastavili 5. Ale ako to už s ideálnymi riešeniami býva, realistické to asi nebude.

Ďalej sa tam píše o "network.trr.uri". Ak sa dobre dívam, tak teraz je to prázdny string a sú ohlásené nasledovné URL:

https://mozilla.cloudflare-dns.com/dns-query
https://dns.google.com/experimental
https://doh.cleanbrowsing.org/doh/family-filter/
https://doh.cleanbrowsing.org/doh/secure-filter/

Takže v prvom kole by som sledoval, čo sa dostane do default hodnoty pre "network.trr.uri". V druhom kole môžeš blokovať resolvovanie serverov v tých URL. Ak si tam dotyčný nastaví niečo non-default, alebo ak ten zoznam neúmerne narastie, tak svoju baštu asi neubrániš.

11.8.2018 20:57 LuPiNo
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

+1 Dobře ty! Jako diskutérovi s asi nejsmysluplnější odpovědí, co se split DNS ? firma.cz / firma.local ? Díky

11.8.2018 13:47 Kit | skóre: 46 | Brno
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Hosty bych přes domácí router propojil VPN s nějakým svým virtuálním serverem, který jim bude sloužit jako proxy. Možno i obráceně.

Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.

11.8.2018 19:10 Pavel 'TIGER' Růžička | skóre: 54
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Asi takhle, arogantnímu debilovi nic neporadím, nechť si poradí sám. Je to jeho síť, tak ať si jí i podle sebe nastavuje a to bez cizí pomoci. Klidně i s hlavou strčenou do zadku.

14.8.2018 10:07 co ma chudak delat
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

kdyby po tobe taky sly vsechny tripismenkove agentury z cele galaxie, mluvil bys jinak :)

14.8.2018 11:55 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Tak nemáš sdílet dětské porno!

Ne a teď vážně prostě návštěvy nemají co lozit v mé síti takže vyhrazena vlastní vlan, proti odesílání různých škůdců na firewallu omezit počet spojení, rychlost na nějakou rozumnou hodnotu, případně nějaká proxy atd.....

14.8.2018 17:09 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Ale ako sa s takým niečim staneš dedinským odborníkom na počítače ktorý zaviedol do kulturáku ten interfernet?

15.8.2018 10:14 Pavel 'TIGER' Růžička | skóre: 54
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Když bych potřeboval pomoct, tak bych s diskutujícími nezacházel jako s toaletním papírem u zadku. Naopak, zvažoval bych všechny názory a rady. No a v případě neznalosti bych diskuzi rozvedl více i kdybych měl vypadat jako idiot. Nejsem mistr světa a nemohu znát vše. Důežité však je, umět si to přiznat.

16.8.2018 20:11 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Poradny jsou od toho, aby se odpovídalo na dotazy, a ne aby se banda debílků předháněla v potřebě honit si péro a dokazovat tazateli, že vůbec nechce to, na co se ptal. Opravdu nechápu, proč ti, kteří neznají odpověď na otázku, mají potřebu zaplevelovat poradnu zbytečnými pindami o ničem.

Takové chování je dle mého arogance a sprostota nejhrubšího zrna a zaslouží si poprávu náležitou reakci.

multicult.fm | monokultura je zlo | welcome refugees!

Řešení 1× (Michal Kubeček)

17.8.2018 07:31 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

To si pleteš, poradna je od toho, aby se pomáhalo. Když někdo přijde s návrhem řešení, který je špatný, tak není nic špatného, když na to ostatní upozorní. Tak to tady bylo vždy a nejen tady. Nejde o to, že by reagující neznal odpoveď, ale spíše o to, že je to prostě špatný návrh, který není dobré uskutečňovat.
A pokud tazatel přijde, že chci prostě tohle (i když sám ví, že to způsobuje problémy) a lidi, co upozorňují na chybu návrhu jsou třídními nepříteli, tak veškerá další snaha pomoci končí.
Zdar Max

Měl jsem sen ... :(

17.8.2018 09:31 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Ano, podobně arogantní přístup, jaký tu ukazuješ, potkávám u Svědků jehovových a podobných vypatlanců. Ti taky chtějí jenom pomoct a mají pocit, že ví líp, než ty, co potřebuješ a co je správné a co špatné.

multicult.fm | monokultura je zlo | welcome refugees!

17.8.2018 09:36 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Bohužel, jediný arogantní přístup v této diskuse je od tebe, a stejný arogantní přístup máš k lidem, co pouštíš do své sítě (já jsem Bůh, v mé síti si s vámi můžu dělat co chci).
A i když jsi zjevně nakloněn vulgaritám, doporučuji se jim v zájmu slušného chování vyhnout.
Zdar Max

Měl jsem sen ... :(

17.8.2018 13:14 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Jejda, takhle ideologicky zaslepeného člověka už jsem dlouho nepotkal!

Síť je moje (a mojí rodiny), kde panuje konsensus, o tom, co se v síti blokuje a co ne. To, že čas od času poskytnu přístup do sítě návštěvám je projevem mé pohostinnosti a dělám to dobrovolně, stejně jako jim uvařím kafe nebo čaj, napeču nebo koupím buchtu atd. To, že ze sítě nemají např. přístup na Facebook & co. mé návěštěvy akceptují (zvlášť, když jim vysvětlím, proč), protože nejdou ke mně na návštěvu proto, aby se připojovali na Facebooku & co, ale proto, že mě rádi zase jednou uvidí. (A pokud by opravdu potřebovali se někam dostat, kde to normálně blokuji, tak nemám problém udělat vyjímku na tu chvíli jim to povolit, pokud by to opravdu bylo nutné. Ale ještě se mi to nestalo...)

V tomto je samozřejmě primární, abych chránil sebe a své blízké před Velkými Bratry(tm) jako je Google, Cloudflare, Fašistbook atd., na tom není nic arogantního. A ani na tom nemění to, že 100% chránit se je nemožné...

multicult.fm | monokultura je zlo | welcome refugees!

17.8.2018 13:57 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Ideologii sem pleteš jen ty, nějakou svou vlastní mocenskou. Já se jen vyjádřil k technice ohledně podstrkávání jiných dns serverů, protože z technického hlediska je to prostě velká prasárna.
Zdar Max

Měl jsem sen ... :(

17.8.2018 21:40 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Na takové nesmysly nemá cenu dál odpovídat.

Různé transparentní proxy (včetně těch DNS) jsou standardním technickým řešením.

multicult.fm | monokultura je zlo | welcome refugees!

18.8.2018 00:30 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Pěkně si sypeš popel na hlavu ...
Zdar Max

Měl jsem sen ... :(

20.8.2018 15:10 f
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

A to je presne ten duvod, proc se Mozilla rozhodla TRR implementovat. Vetsina lidi nadava, ale kdyby byli v situaci, ze jim ISP DNS podvrhuje, mluvili by jinak.

20.8.2018 15:17 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Od toho je DNSSEC.

Heron

20.8.2018 15:34 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Pokud správce sítě DNS dotaz nebo odpověď zahodí (což je předpokládám to, co chce Petr Tomášek dělat), žádné DNSSEC mu nepomůže.

25.10.2018 11:10 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

V situaci, když ISP podvrhuje DNS je třeba rozbít ISP držku a/nebo přejít k jinému ISP.

Jenže je nutné rozlišovat mezi ISP (který by z definice měl dodržovat síťovou neutralitu) a subjektu, který poskytuje přístup jiným osobám do své sítě (např. zaměstnavatel svým zaměstnancům nebo soukromá osoba svým soukromým hostům). Ti pochopitelně mají právo si určit jaký provoz budou blokovat a jaký modifikovat a žádná debilní mozilla do toho nesmí co zasahovat!

multicult.fm | monokultura je zlo | welcome refugees!

25.10.2018 19:35 Pavel 'TIGER' Růžička | skóre: 54
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Zaměstnavatel zaměstnancům rozdá firemní počítače, které jsou striktně nainstalované a hostům je vstup zakázán. Tam je to poměrně jednoduché. Hosti většinou jedou v izolované a oddělené síti. Už jsem ale viděl i přístup, kdy se mohou připojit pouze na vzdálený počítač, ze kterého potom mohou na internet.

17.8.2018 09:15 Pavel 'TIGER' Růžička | skóre: 54
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

S tím nemohu souhlasit a pokud bychten tvůj post měl okomentovat, musel bych poslat tento odkaz.

17.8.2018 13:02 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Mohl bys už konečně držet hubu? Nikdo na ty tvoje pindy není zvědavej.

Z desítek odpovědí jsou 2 (slovy dva) k věci, z toho jeden jsem si odpověděl sám. Chápeš vůbec, jak obtížný je se takovým debilním balastem prokousávat, aby se člověk dostal k rozumné odpovědi???

multicult.fm | monokultura je zlo | welcome refugees!

17.8.2018 19:42 Pavel 'TIGER' Růžička | skóre: 54
Rozbalit Rozbalit vše Re: Jak blokovat Firefox používající TRR?

Nefňukej!

Založit nové vlákno • Nahoru

Tiskni Sdílej: