Der Sinn für dnsmasq?

[debiator]

@MSfree: mag sein. Für mich ist es für das HomeLAN unnütz

[debiator]

Wie kann ich eigentlich den dnscrypt-proxy.socket neustarten? Was ist damit gemeint?
Einfach die Netzverbindung?

[debiator]

OK!

Nach langem Suchen und rumprobieren, hab ich den dnsmasq mit dnscrypt zum Laufen bekommen!!!
Aaalso:

Code: Alles auswählen

sudo nano /etc/rc.local

bearbeiten und den localhost auf 127.0.0.2:53 ändern. Damit dnscrypt nicht auf 1, sondern auf 2 läuft.
Dann im Networkmanager selbstverständlich den DNS ebenfalls auf 127.0.0.2 umstellen.

Die Haupteinstellung geschieht hier

Code: Alles auswählen

sudo nano /etc/dnsmasq.conf

Dort trägt man Folgendes ein:

Code: Alles auswählen

server=127.0.0.2#53
listen-adress=127.0.0.1
cache-size=1000
no-hosts
no-resolv
keep-in-foreground
no-dhcp-interface=lo
bind-interfaces
bogus-priv
stop-dns-rebind
rebind-localhost-ok
proxy-dnssec

Dann trägt man es in den Startup ein

Code: Alles auswählen

sudo systemctl enable dnsmasq

Danach startet man im Zweifelsfall neu.
Und checkt mit mehrmaliger Eingabe von

Code: Alles auswählen

dig debianforum.de | grep "Query time"

, ob dnsmasq mit dem Cache läuft. Wenn die 2 oder 3 Anfrage gleich 0 msec ist, dann läufts!

Und TADAAA!!! Und ich muss sagen, ja, die Geschwindigkeit ist wirklich deutlich gestiegen!!

[debiator]

Was ich jetzt noch nicht verstehe.
dnsmasq speichert ja irgendwo lokal die besuchten Seiten und die dazugehörigen Adressen.
Also es legt sozusagen eine eigene Datenbank an, richtig?

Wenn man aber vermeiden will (z.B. bei der Nutzung von verschlüsseltem VPN), dass jemand das Surfverhalten nachvollziehen kann.
Ist es doch kontraproduktiv oder nicht?

Wo geschieht die Speicherung?

[mat6937]

dnsmasq speichert ja irgendwo lokal die besuchten Seiten ...

Nein, warum sollte dnsmasq das machen? Ich kann z. B. dnsmasq für eine Namensauflösung nutzen (host heise.de), ohne die Seite zu besuchen.

EDIT:

Hier ein anderes Beispiel: Ich nutze nie twitter, facebook, google, doubleclick und trotzdem hat iptables auch heute Abend, den Versuch der Namensauflösung für diese "Dienste", auf meinem Rechner "ein paar mal" verhindert:

Chain OUTPUT (policy ACCEPT 22490 packets, 2345417 bytes)
pkts bytes target prot opt in out source destination
210 14560 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 STRING match "twitter" ALGO name kmp TO 65535 reject-with icmp-port-unreachable
210 14560 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 STRING match "facebook" ALGO name kmp TO 65535 reject-with icmp-port-unreachable
2340 163260 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 STRING match "google" ALGO name kmp TO 65535 reject-with icmp-port-unreachable
1590 111830 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 STRING match "doubleclick" ALGO name kmp TO 65535 reject-with icmp-port-unreachable

[debiator]

Nein, warum sollte dnsmasq das machen? Ich kann z. B. dnsmasq für eine Namensauflösung nutzen (host heise.de), ohne die Seite zu besuchen.

Aber wozu dann der Cache mit z.B. 1000 (Adressen?)
Wie ist dann die Arbeit von dnsmasq diesbezüglich zu verstehen?

[mat6937]

Aber wozu dann der Cache mit z.B. 1000 (Adressen?)
Wie ist dann die Arbeit von dnsmasq diesbezüglich zu verstehen?

Zum speichern der Namensauflösung, aber nicht der besuchten Seiten. Du setzt Namensauflösung gleich mit den besuchten Seiten, und das ist nicht richtig. OK, einige Seiten aus der zwischengespeicherten Namensauflösung wirst Du schon besucht haben, aber welche?

BTW: Nach einem restart von dnsmasq ist der Cache wieder leer:

Code: Alles auswählen

:~$ dig loc.gov | grep -i 'query time'
;; Query time: 0 msec

Code: Alles auswählen

:~$ sudo service dnsmasq restart
 * Restarting DNS forwarder and DHCP server dnsmasq

Code: Alles auswählen

:~$ dig loc.gov | grep -i 'query time'
;; Query time: 249 msec

[debiator]

Zum speichern der Namensauflösung, aber nicht der besuchten Seiten.

Aber wie ist das genau zu verstehen? Wie kann ich die Namensauflösung speichern, ohne die besuchten Seiten dazu?

Ok. D.h. der Cache gilt nur für eine Surf-Session und muss erneut geladen werden.

[mat6937]

Aber wie ist das genau zu verstehen? Wie kann ich die Namensauflösung speichern, ohne die besuchten Seiten dazu?

Die gespeicherte Namensauflösung beinhaltet auch die Seiten, aber d. h. doch nicht, dass Du auch all diese Seiten besucht hast.

D.h. der Cache gilt nur für eine Surf-Session und muss erneut geladen werden.

Nein, der Cache wird neu "aufgebaut", denn da gibt es nichts zum laden.

EDIT:

Hier ein Auszug aus einem nicht mehr aktuellen Cache von dnsmasq, den ich in eine Text-Datei geschrieben habe:

...
78.46.255.243 adserver.ip-phone-forum.de
173.194.70.101 www-google-analytics.l.google.com
173.194.70.100 www-google-analytics.l.google.com
173.194.70.138 www-google-analytics.l.google.com
173.194.70.102 www-google-analytics.l.google.com
173.194.70.113 www-google-analytics.l.google.com
173.194.70.139 www-google-analytics.l.google.com
213.95.41.13 static.cdn.ubuntu-de.org
173.194.70.95 googleapis.l.google.com
127.0.0.1 localhost
213.95.41.13 ubuntuusers.de
192.168.0.1 ztewifi.base
8.23.224.120 dynupdate.no-ip.com
213.95.41.13 media.cdn.ubuntu-de.org
78.46.255.242 www.ip-phone-forum.de
207.171.163.129 s3-website-us-east-1.amazonaws.com
...

[debiator]

geladen, aufgebaut... wie auch immer


mit welchem Befehl lässt Du dnsmasq den Cache in eine Datei logen?

[mat6937]

mit welchem Befehl lässt Du dnsmasq den Cache in eine Datei logen?

Das geht aber nur wenn Du den dnsmasq gepatcht und selber kompiliert hast, und dann mit z. B.:

Code: Alles auswählen

sudo kill -s USR1 $(pidof dnsmasq) && sudo cp /var/log/dnsmasq/cache/dnsmasq.txt /var/log/dnsmasq/cache/dnsmasq"$(date +%d-%m-%Y-%H:%M:%S-%N)".txt

[debiator]

bei dem nicht von eigener Hand kompiliertem dnsmasq kann ich keine logs einsehen???

[mat6937]

bei dem nicht von eigener Hand kompiliertem dnsmasq kann ich keine logs einsehen???

Du könntest dnsmasq so konfigurieren:

Code: Alles auswählen

# For debugging purposes, log each DNS query as it passes through
# dnsmasq.
log-queries

dass alle Anfragen geloggt werden. Das ist aber unübersichtlicher und beansprucht mehr Speicherplatz als den cache zu loggen/speichern. Denn im cache taucht jede IP-Adresse nur einmal auf (unabhängig von der Anzahl der Anfragen).

[debiator]

Na wenn man da keine Logs einsehen kann, ist es noch besser.
Ich wundere mich nur, warum.
Wenn man schon den Cache eingibt, aber den Cache dann nicht einsehen kann, ist es irgendwie seltsam.

[mat6937]

Na wenn man da keine Logs einsehen kann, ist es noch besser.
Ich wundere mich nur, warum.
Wenn man schon den Cache eingibt, aber den Cache dann nicht einsehen kann, ist es irgendwie seltsam.

Der cache befindet sich im Arbeitsspeicher (d. h. temporär/flüchtig). Wenn z. B. dein Rechner im eingeschalteten Zustand und mit "vollem" cache beschlagnahmt wird, dann kann ein Experte diesen cache evtl. schon auswerten/einsehen.

[debiator]

d.h. den berühmten roten "mein Rechner verbrennt Knopf" installieren

[mat6937]

... "mein Rechner verbrennt Knopf" installieren

Ja.

[debiator]

alles klar... heute mache ichs über den normalen Ausschaltknopf. Gute Nacht und vielen Dank an alle Beteiligten!