<div dir="auto"><div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Sep 20, 2019, 20:09 Pete Wright <<a href="mailto:pete@nomadlogic.org">pete@nomadlogic.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">so in light of all the recent sillyness of mozilla enabling DoH and all <br>
that it got me thinking it is past due for me to stop using my home ISP <br>
DNS servers.  i do have a server colo'd with an ISP i trust, so my first <br>
thought is to fire up a jail and setup unbound as a recursive resolver <br>
that i would then point my home at.  seems simple enough.<br>
<br>
so on a scale of meh to omg-kill-it-with-fire would running a random <br>
resolver with no ACL's on the public internet be?  i've run resolvers <br>
(which had ACL's enabled) on the public net for work as well as public <br>
bind servers doing anycast - so i feel confident i won't horribly mess <br>
up my configuration.  i'd like to avoid setting restricting access as i <br>
want to avoid a hassle if my home internet ip changes, or if i want to <br>
use this resolver while i'm on the road.<br>
<br>
thoughts?<br>
-pete<br>
<br>
-- <br>
Pete Wright<br>
<a href="mailto:pete@nomadlogic.org" target="_blank" rel="noreferrer">pete@nomadlogic.org</a><br>
@nomadlogicLA<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">If you are sending DNS requests over UDP, no matter what DNS server you are using, the companies that own the pipe between you and your server can mine information about you. </div><div dir="auto"><br></div><div dir="auto">You could set up something like DNSCrypt [<a href="https://www.opendns.com/about/innovations/dnscrypt/">https://www.opendns.com/about/innovations/dnscrypt/</a>] to protect yourself. Basically, create an encrypted tunnel from your computer to your trusted server and run a DNS proxy on your computer that uses the tunnel. The tunnel can use whatever authorization you feel comfortable with using.</div><div dir="auto"><br></div><div dir="auto">The encrypted tunnel can be on whatever port you wish I'm case you are on a draconian network.</div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto">DNS over TLS also sounds interesting. This could have certificate authentication, too. </div><div dir="auto"><br></div><div dir="auto">Hmmm. Sounds like a fun project. </div><div dir="auto"><br></div><div dir="auto">Raúl</div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"></blockquote></div></div></div>