Dotaz: Jak blokovat Firefox používající TRR?

Zdar!

Blbci z Firefoxu se rozhodli obejít DNS a tím i lokální administrátory v jejich sítích. Bohužel se mě to dotýká, protože dosti extenzivně používám blokování a podvrhování adres přes DNS ve své síti - většinou se jedná o blokování reklamy, blokování trackerů a dalších sviňáren, blokování malware a stránek, které nechci, aby o mě a návštěvách v mé síti věděly (např. Facebook, telemetrie od Microšitu). Nutno říci, že DNS server je zároveň validujícím rekurzivním resolverem, takže co neblokuji, to by mělo být bezpečné proti podvrhu např. ze strany ISP. Navíc veškeré DNS dotazy ze sítě mám pomocí iptables transparentně přesměrované na svůj DNS server, aby to nikdo nemohl obejít jenom tím, že bude používat např. servery od Googlu

No, a teď do toho přichází Firefox s tou jeho hrůzou a závislostí na Cloudflare, což bych rád natvrdo blokoval (je mi jedno, jestli pak bude firefox na hostovském notebooku fungovat) - otázka je ale jak?

Máte, prosím, někdo nějakou informaci o tom, jaké ip adresy/rozsahy/porty, případně jaké DNS jména blokovat, abych tuto bezpečnostní díru najisto zalátal?

(Pokud mě naserou a jinak to nepůjde, tak mi asi nezbyde, než odříznout kompletně AS Cloudflare, nu což...)

"Navíc veškeré DNS dotazy ze sítě mám pomocí iptables transparentně přesměrované na svůj DNS server, aby to nikdo nemohl obejít jenom tím, že bude používat např. servery od Googlu"

To neděláš dobře, buď to dropuj, nebo do té komunikace nesahej.

To označení za "blbce" jsi si mohl odpustit .

Jinak TRR je snad zatím libovolná fce, která je by default off, ne?

Každopádně nějak nerozumím tvému postoji, protože pokud je to firemní síť, tak budeš asi i správce těch PC, tzn. že by jsi aktuálně řešil problém na špatném místě.
Pokud nejsi správce těch PC, tak se domluv s nimi.
Pokud to jsou nějací uživatelé, se kterými nemáš moc společného, tak nechápu, proč něco takového vůbec řešíš.
Zdar Max

Mně spíš vadí padající FF 61 na vlastní stánce s doplňky a na wiki Archu. Co má tohle na svědomí zatím netuším.

Tak zatím to řeším tak, že jsem dal blokovat následující domény (včetně subdomén) na rovině DNS:

dns.cloudflare.com
cloudflare-dns.com
dns.google.com

A zároven blokuji na firewallu ochozí TCP spojení na port 443 na tyto IPv4:

104.16.111.25  # cloudflare-dns.com
104.16.112.25        # cloudflare-dns.com
104.19.198.29        # dns.cloudflare.com
104.19.199.29        # dns.cloudflare.com
172.217.23.206       # dns.google.com
1.1.1.1              # cloudflare
1.0.0.1

Těžko ale říct, jak často se to bude měnit. Opravdu se to bude dát otestovat, až to FF vnutí defaultně všem. 100% to nebude nikdy, co se dá dělat...

Navrhujem diskutérom prijať fakt, že Petr má svoju predstavu prečo niečo chce a miesto odhovárania sa sústrediť na zodpovedanie otázky. Bez ohľadu na to, aký máte na otázku názor. Kto chce kam, pomôžme mu tam.

Tá feature je popísaná napr. tu.

network.trr.mode môže mať hodnoty:

• 0 - Off
• 1 - Race
• 2 - First
• 3 - Only
• 4 - Shadow
• 5 - Off by choice

Ideálne by bolo žiadať užívateľov, aby si nastavili 5. Ale ako to už s ideálnymi riešeniami býva, realistické to asi nebude.

Ďalej sa tam píše o "network.trr.uri". Ak sa dobre dívam, tak teraz je to prázdny string a sú ohlásené nasledovné URL:

• https://mozilla.cloudflare-dns.com/dns-query
• https://dns.google.com/experimental
• https://doh.cleanbrowsing.org/doh/family-filter/
• https://doh.cleanbrowsing.org/doh/secure-filter/

Takže v prvom kole by som sledoval, čo sa dostane do default hodnoty pre "network.trr.uri". V druhom kole môžeš blokovať resolvovanie serverov v tých URL. Ak si tam dotyčný nastaví niečo non-default, alebo ak ten zoznam neúmerne narastie, tak svoju baštu asi neubrániš.

Hosty bych přes domácí router propojil VPN s nějakým svým virtuálním serverem, který jim bude sloužit jako proxy. Možno i obráceně.

Asi takhle, arogantnímu debilovi nic neporadím, nechť si poradí sám. Je to jeho síť, tak ať si jí i podle sebe nastavuje a to bez cizí pomoci. Klidně i s hlavou strčenou do zadku.