# OT:Zensur und Nameserver

## Marlo

Hi all,

zu den vielen Diskussionen um ein freies Internet habe ich mir auch 

http://www.ccc.de/censorship/dns-howto/index.html

angeschaut und bin dem Link nach hier gefolgt:

http://www.ccc.de/censorship/dns-howto/Debian/Debianhow-to.htm

dabei habe ich aus einem anderen Link die Nummern von angeblich "freien" Nameservern erhalten und ausprobiert:

```
##Die beiden unten sind von denic 

nameserver 81.91.162.5 #(dns2.denic.de)

nameserver 81.91.161.2 #(dns3.denic.de)

#unten ist von btx (dns02.btx.dtag.de)

nameserver 194.25.2.131

```

allerdings funktioniert nur der von btx, die von denic nicht. Hat noch jemand weitere nameserver - die er gerade nicht braucht -  :Very Happy:  und die hier veröffentlicht werden können? 

 :Twisted Evil: 

Gruß

Ma

----------

## rincewind

Klar !

127.0.0.1

vorher natürlich emerge bind   :Very Happy: 

Anleitung:

```
http://www.tldp.org/HOWTO/DNS-HOWTO.html#toc3
```

----------

## nephros

 *rincewind wrote:*   

> Klar !
> 
> 127.0.0.1
> 
> vorher natürlich emerge bind  
> ...

 

schon, schon, das bringt ihn aber auch nicht weiter, weil man braucht ja trotzdem ein paar forwarder, und wenn die "zensiert" sind...

----------

## ruth

nimmt man die root-server  :Wink: 

```

zone "." {

        type hint;

        file "root.hints";

};

```

dann:

```

; <<>> DiG 9.2.2 <<>> @e.root-servers.net . ns

;; global options:  printcmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9475

;; flags: qr aa rd; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 13

;; QUESTION SECTION:

;.                              IN      NS

;; ANSWER SECTION:

.                       518400  IN      NS      K.ROOT-SERVERS.NET.

.                       518400  IN      NS      L.ROOT-SERVERS.NET.

.                       518400  IN      NS      M.ROOT-SERVERS.NET.

.                       518400  IN      NS      A.ROOT-SERVERS.NET.

.                       518400  IN      NS      B.ROOT-SERVERS.NET.

.                       518400  IN      NS      C.ROOT-SERVERS.NET.

.                       518400  IN      NS      D.ROOT-SERVERS.NET.

.                       518400  IN      NS      E.ROOT-SERVERS.NET.

.                       518400  IN      NS      F.ROOT-SERVERS.NET.

.                       518400  IN      NS      G.ROOT-SERVERS.NET.

.                       518400  IN      NS      H.ROOT-SERVERS.NET.

.                       518400  IN      NS      I.ROOT-SERVERS.NET.

.                       518400  IN      NS      J.ROOT-SERVERS.NET.

;; ADDITIONAL SECTION:

K.ROOT-SERVERS.NET.     3600000 IN      A       193.0.14.129

L.ROOT-SERVERS.NET.     3600000 IN      A       198.32.64.12

M.ROOT-SERVERS.NET.     3600000 IN      A       202.12.27.33

A.ROOT-SERVERS.NET.     3600000 IN      A       198.41.0.4

B.ROOT-SERVERS.NET.     3600000 IN      A       128.9.0.107

C.ROOT-SERVERS.NET.     3600000 IN      A       192.33.4.12

D.ROOT-SERVERS.NET.     3600000 IN      A       128.8.10.90

E.ROOT-SERVERS.NET.     3600000 IN      A       192.203.230.10

F.ROOT-SERVERS.NET.     3600000 IN      A       192.5.5.241

G.ROOT-SERVERS.NET.     3600000 IN      A       192.112.36.4

H.ROOT-SERVERS.NET.     3600000 IN      A       128.63.2.53

I.ROOT-SERVERS.NET.     3600000 IN      A       192.36.148.17

J.ROOT-SERVERS.NET.     3600000 IN      A       192.58.128.30

;; Query time: 316 msec

;; SERVER: 192.203.230.10#53(e.root-servers.net)

;; WHEN: Wed Jul 23 13:01:27 2003

;; MSG SIZE  rcvd: 436

```

schon holt sich dein privater nameserver das, was er nicht kennt von

den dns-rootservern -  die telekom hat ausgespielt...  :Wink: 

die liste kann man mit dig refreshen....

ach ja, sowas muss natürlich raus aus den named.conf...

```

// forward first;

// forwarders {

//        xxx.xxx.xxx.xxx;

//        xxx.xxx.xxx.xxx;

// };

```

sonst fragt er doch zuerst die telekom, und das wollen wir ja vermeiden...

die x'e sind in meinem fall die telekom-server...

gruss

rootshell

----------

## liquidjoe

Noch zwo von der Telekom sind 

212.185.249.116

194.25.2.129

----------

## Marlo

Hi,

ja, dem kann ich folgen. Bei der Installation möchte ich mir die Arbeit erleichtern und mit

```
dig @A.ROOT-SERVERS.NET > root.hint
```

die Server auf dem laufenden halten; durch'nen cron-job.

Aber ich finde keine root.hint und dig gibt eine Fehlermeldung bzw. ist nicht da.

Hat jemand eine Idee für mich?

Danke

Ma

----------

## ruth

 *Marlboro wrote:*   

> Hi,
> 
> Aber ich finde keine root.hint und dig gibt eine Fehlermeldung bzw. ist nicht da.
> 
> 

 

hallo,

wie jetz? *lach*

hast du dig und du bekommst eine fehlermeldung oder hast du das

programm dig nicht???  :Wink: 

also, wenn du's nicht hast:

```

emerge bind-tools

```

hilft dir weiter...

gruss

rootshell

----------

## Marlo

na also, warum nicht gleich so.

schöndankauch.

----------

## Marlo

na also, warum nicht gleich so.

schöndankauch.

----------

## toskala

jetzt muss ich aber aus reiner neugierde mal was fragen: was zur hölle wird bei deinem surf-verhalten denn zensiert? nur mal so, ist mir noch nie passiert... hmm

----------

## nephros

Hmm, nur die root server abzufragen dauert natürlich länger als einen näheren DNS server.

Also nicht überrascht sein, wenn das web-browsing ein bisserl holpert.

----------

## ruth

hallo,

stimmt schon, aber nur die _erste_ abfrage dauert...

danach hats ja mein eigener nameserver im cache...  :Wink: 

-->> caching-nameserver, sagt ja der name schon *gg*

gruss

rootshell

----------

## ruth

 *toskala wrote:*   

> jetzt muss ich aber aus reiner neugierde mal was fragen: was zur hölle wird bei deinem surf-verhalten denn zensiert? nur mal so, ist mir noch nie passiert... hmm

 

mir auch nicht, denke ich. -  aber du und ich; wir wissen es nicht...

und:

so wie ich das ganze verstanden habe, passiert es durchaus, dass manche

anbieter die auflösung fqdn <-> ip ,naja, verbiegen.

beispiel:

www.naziseite.org ( das ist ein BEISPIEL, ok?  :Wink:  )

hat 192.168.12.2 ( auch ein beispiel, ok?  :Wink:  )

wenn jetzt der provider-dns diese ip umbiegt auf z.b. einen rechner

des BND ( mit webserver ) und dann auf die originalseite weiterleitet,

merkt der benutzer davon nichts.

im acces-log des webservers des BND steht aber ab sofort deine IP Adresse.

vorteil: der BND muss nicht umständlich die herausgabe der logs

des webhosters der verbotenen seite in die wege leiten und die interessanten

ips ( die von deutschen providern ) lassen sich sogar in realtime ermitteln.

nach einem reverse lookup siehst du sofort _mindestens_ den provider,

der diese ip vergeben hat. ( die uhrzeit sowieso )

naja, wenn der provider in deutschland ist, ist es ein leichtes, die restlichen

relevanten daten rauszufinden, um den surfer mal etwas näher unter

die lupe zu nehmen...  :Wink: 

das war jetzt ein beispiel, was noch nachvollziehbar ist,

aber:

 >=ICH HASSE KONTROLLE=<

wir haben ein freiheitliches, westliches wertesystem ( noch, zumindest )

und ich will mir von niemandem vorschreiben lassen, an welche

informationen ich gelangen kann und an welche nicht.

richtig, das lässt sich natürlich auch auf alle anderen arten von seiten

ausdehen, die für irgendwelche leute unliebsame inhalte enthalten.

das ist ZENSUR + SPIONAGE

in einer westlichen demokratie hat spowas NICHTS zu suchen...

und wer sagt mir denn, dass ich nicht geloggt werde, wenn ich mal auf

die seite der schill partei, der grünen, der csu, der spd gehe?

das passiert noch nicht, denke ich, aber das technische potential

ist vorhanden, und es wird für bestimmte seiten schon gemacht....

rausfinden könnte man sowas u.u. so:

angenommen, du hast eine seite, die mit _sicherheit_ illegal ist.

der betreiber der seite ist dann mit _sicherheit_ nicht in deutschland,

sondern auf den malediven, russland, usw.

wenn du dann einen traceroute auf die ip machst, und du landest

erstmal in deutschland, oder pullach  :Wink:  kannst du langsam anfangen

dir sorgen zu machen... *lach*

so, e bissl politisch geworden, das ganze  :Wink: 

naja

gruss

rootshell

----------

## c07

rootshell: Prinzipiell alles richtig, aber damit erschlägst du nur den Fall, dass das DNS auf Providerebene verändert wird. Das ist nur bei Providern mit Sitz im Bezirk Düsseldorf eine reale Gefahr, sonst muss man mit geichem Recht von Manipulationen an jeder anderen Stelle im DNS ausgehn. Der BND hat zwar höchstens Zugriff auf die Denic-Nameserver, aber inzwischen sind die amerikanischen Geheimdienste die größere Gefahr.

Das Problem ist eigentlich das DNS an sich, vor allem in der absoluten Stellung, die es inzwischen hat. HTTP nur mit IP-Adresse entspricht heute nicht mal mehr den Standards, und inzwischen erzwingen sehr viele Server den FQDN im Host-Header selbst dann, wenn eine dedizierte IP vorhanden ist. Wenn du den Host-Header filterst (oder einfach einen etwas älteren Browser verwendest), ist das Web ziemlich leer (Gentoo existiert aber noch).

----------

## toskala

rootshell: hihihi, der war fein zum lachen  :Smile:  cheerios  :Smile: 

----------

