<div dir="ltr">so, what you're saying is that if i have Bind9 running as a local DNS, i can just remove the 'forward' section and be done with it? or do i need something else?<div><br></div></div><br><div class="gmail_quote"><div dir="ltr">On Mon, Apr 3, 2017 at 11:56 AM Rick Moen <<a href="mailto:rick@linuxmafia.com">rick@linuxmafia.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Quoting Ehud Kaldor (<a href="mailto:ehud.kaldor@gmail.com" class="gmail_msg" target="_blank">ehud.kaldor@gmail.com</a>):<br class="gmail_msg">
<br class="gmail_msg">
> what about running a DNS in the home router, and forwarding to an open DNS,<br class="gmail_msg">
> like the ones listed at openNIC?<br class="gmail_msg">
<br class="gmail_msg">
[<a href="http://servers.opennicproject.org/" rel="noreferrer" class="gmail_msg" target="_blank">http://servers.opennicproject.org/</a>]<br class="gmail_msg">
<br class="gmail_msg">
That's _possibly_ an improvement, although you are still leaking detailed<br class="gmail_msg">
lookup information to the 'open DNS' recursive nameserver in question,<br class="gmail_msg">
and trusting to its security and performance.  Also, you suffer the same<br class="gmail_msg">
long lagtime of submitting all of your recursive queries across the slow<br class="gmail_msg">
uplink that you do when using ISP recursive nameservers.<br class="gmail_msg">
<br class="gmail_msg">
Listing the characteristic drawbacks of (most) ISP recursive nameservers:<br class="gmail_msg">
<br class="gmail_msg">
o  Long query & response lagtimes across uplink.  Ditto OpenNIC.<br class="gmail_msg">
o  Doubtful security inherent in a shared public recursive nameserver.<br class="gmail_msg">
   Ditto OpenNIC.<br class="gmail_msg">
o  In many cases, terrible performance on account of underprovisioning<br class="gmail_msg">
   and excessive load.  Possibly advantage to the OpenNIC server,<br class="gmail_msg">
   depending.<br class="gmail_msg">
<br class="gmail_msg">
So, yay OpenNIC?  Sort of.<br class="gmail_msg">
<br class="gmail_msg">
I'm perplexed, though, that this idea of forwarding your queries to an<br class="gmail_msg">
outside third-party recursive nameserver keeps coming up in different<br class="gmail_msg">
forms, e.g., you say (paraphrasing) 'How about outsourcing your outbound<br class="gmail_msg">
DNS queries to OpenNIC Project recursive nameservers instead of ISP<br class="gmail_msg">
ones?'  Because, sure, you can do that, by why outsource this to<br class="gmail_msg">
_anyone_?<br class="gmail_msg">
<br class="gmail_msg">
The obvious alternative is to operate a recursive nameserver _locally_<br class="gmail_msg">
under one's own control on one's own host (with corresponding advantage<br class="gmail_msg">
of performance and security),  Configure the 'DNS' (Dnsmasq<br class="gmail_msg">
or whatever) in your home router to forward to _it_, not to any third<br class="gmail_msg">
party's recursive nameserver but rather to yours.<br class="gmail_msg">
<br class="gmail_msg">
I honestly don't understand why so many Linux users resist this idea and<br class="gmail_msg">
keep insisting on outsourcing to someone elsewhere.  Sometimes when this<br class="gmail_msg">
comes up, apparently there's an unvoiced objection that administering<br class="gmail_msg">
the local recursive nameserver would be difficult -- which is really<br class="gmail_msg">
amusing, because there's really nothing to administer.  You define in<br class="gmail_msg">
its conffile what IPs are permitted to send the recursive namserver<br class="gmail_msg">
daemon queries, you turn it on (launch it as a daemon), and that's it.<br class="gmail_msg">
There aren't any complications; it's either a currently running daemon<br class="gmail_msg">
process or it isn't.<br class="gmail_msg">
<br class="gmail_msg">
<br class="gmail_msg">
_______________________________________________<br class="gmail_msg">
conspire mailing list<br class="gmail_msg">
<a href="mailto:conspire@linuxmafia.com" class="gmail_msg" target="_blank">conspire@linuxmafia.com</a><br class="gmail_msg">
<a href="http://linuxmafia.com/mailman/listinfo/conspire" rel="noreferrer" class="gmail_msg" target="_blank">http://linuxmafia.com/mailman/listinfo/conspire</a><br class="gmail_msg">
</blockquote></div>