@Arnie99 Du hast es wenigstens verstanden, Daumen hoch dafür
@thk_ms Hier hat sich niemand "ergeben" (wirst Du aber noch lesen
)
"Sich der Situation zu ergeben, wie der Threadaufwärmer"... Niemand hat gesagt, dass sich der Threadaufwärmer (ich vermute mal ich war gemeint?) sich dem "ergibt". Ich wäre durchaus in der Lage alles zu unterbinden und könnte es auch jedem erklären (wenn ich zuviel Zeit hätte ;-)). Akzeptanz ist eine Sache, "vernünftiger" Widerstand eine ganz andere. Leider scheinen das hier viele nicht zu begreifen (oder "wollen" nicht begreifen, da das neu gelernte einen ja schon zum Superhelden werden lässt - unter den Blinden ist der Einäugige König - heisst es doch so schön). Wie ich schon fachlich korrekt schrieb, verhält es sich eben so, dass diese Kleinigkeiten nur "gefühlt" etwas bringen. Ich wollte hier eigentlich nicht fachlich ausschweifend werden, aber nun gut... Nehmen wir einfach ein paar kleine Beispiele:
Gesperrt wird die "Domain" (inkl. Subdomains) : synology.com
Was passiert da nun eigentlich genau? Die Verbindungen zur Domäne werden unterbunden (nicht zum Server). Was heisst das aber nun konkret?
Bei mir löst synology.com zu 59.124.61.242 auf. Bei der Domain-Sperre wird diese Auflösung schlichtweg nicht mehr vorgenommen bzw. nicht oder falsch beantwortet und es gibt keine entsprechende Ziel-IP für den Client, somit weiss er nicht wohin er die Pakete schicken soll. (Ist übrigens genauso blöd die Idee wie damals mit den Sperren für die Kinder******grafie - warum? Dazu kommen wir jetzt...)
Innerhalb des DNS-Systems werden die Hosts, Domains und TLDs verwaltet ("host"."domain"."tld"). Innerhalb des Internets werden diese Einträge hierarchisch geordnet und teilweise auch untereinander repliziert. Legt Ihr z.B. eine neue Domain (domain.tld) an, kann es schon etwas dauern (Minuten bis Stunden) bis euer ISP (Internet Service Provider, oder kurz Internetanbieter) das mitbekommt und die Einträge entsprechend auflösen kann. Beim Registrar dieser Domain ist diese eigentlich binnen weniger Sekunden bekannt (als Beispiel hier: DNS-Server von Strato).
Es gibt also eine Zuordnung: Domain -> IP (typischerweise in Form eines A-Records (IPv4) oder AAAA-Record (IPv6), was ihr mit Sicherheit auch gut kennt sind die CNAME-Einträge (Alias, Weiterleitung auf DDNS-Adresse), oder MX-Einträge für die Mailserver.
Gleiches gibt es auch rückwirkend (RDNS) in z.B. der Form des PTR-Eintrages (Point-To-Record) : IP -> Hostname
Diejenigen von euch mit irgendwas "eigenem" im Netz (DDNS, Domain, was auch immer) könnt einfach selbst schauen: Eingabeaufforderung oder Shell (SSH) :
nslookup <meine Domain/DDNS-Adresse> (Bsp: test.ddns.org = 123.123.123.123)
nslookup <eure IP> (Bsp: 123.123.123.123 = nu2f892r.dyn.<providerdomain>.tld)
Bei einer "richtigen" Domain und der Hoheitsgewalt über die IP (oder via Antrag beim Provider bei statischen IP-Adressen) kann man den PTR-Record selbst setzen lassen, dass sieht dann so aus:
<meinedomain>.tld -> 123.123.123.123
123.123.123.123 -> <meinedomain>.tld
Löst dann also alles sauber auf in beide Richtungen.
So... Damit ist das Thema DNS kurz und bündig abgehandelt. Weiter gehts: Warum ist das denn jetzt bitte ein Problem, wenn ich "synology.com" sperre?!
Tja... wisst ihr genau was im Quellcode steht und was mit jedem Update verändert wird? Ich rede hier "nicht"(!) von den öffentlichen Releasenotes...
Beispiel: *.synology.com ("*" > Wildcard > gleichbedeutend für sämtliche Hosts und Subdomains unterhalb der Domain, gilt also für update.syno... login.syno... usw)
Damit haben wir die Sache ja im Griff! Nur dumm, wenn sich die "Kontakt"-Domain ändert, in z.B. synologyupdate.com. Heisst nicht, dass es ein anderer "Host" ist, es zeigt nur eine weitere Domain drauf und schon greift die Sperre nicht mehr. Zugegeben - es mag "schlaue" Systeme geben... die schauen dann einfach nach dem PTR-Eintrag bzw. "checken" die IP auf den reverse-DNS-Eintrag:
Verbindung zu <syno.com-ip> ... *DNS-Check*....= xxx.synology.com -> Paket wird weggeworfen. Super Sache! Soweit jedenfalls...
Was ist denn nun EIGENTLICH das Problem?!?!?!? Tja... das "Problem" ist die verdammt kurze Zeitspanne, welche es braucht um eine DNS-Änderung durchzuführen, oder eine IP zu ändern. Sicherlich... die ändern nicht die IPs der "eigentlichen" Hosts, denn i.d.R. sitzt ein Loadbalancer (Lastverteiler - zum verteilen von Last auf mehrere dahinter geschaltete Server) und dieser hat i.d.R. nur eine IP bzw. im Verbund ggf. auch mehrere.
Wie lange es dauert eine "IP" zu ändern, wissen die meisten von euch selbst. Wie lange ein DNS-Change-Request braucht, bis er komplett repliziert ist? Ein paar Minuten bis Stunden... je nach Replikationsintervall der einzelnen Institutionen, meist aber eher Sekunden bis Minuten, da die Domain schon registriert ist und euer Provider euch sagt: k.a., aber der zuständige DNS-Server für diese Domain ist (z.B. Strato) und die haben Ihre eigenen Änderungen eigentlich binnen kürzester Zeit durch und somit können die Anfragen schon richtig beantwortet werden.
Kurzum: Die Mühe die ihr euch macht (und ich sagte daaaani nicht umsonst, dass er auf die Tour bald "24/7 aktiv" sein wird) ist nett, aber schlussendlich auch der Mühe nicht wert. Für die gewiefteren hier:
Ihr könnt euch sicherlich die (und das wäre WEITaus schlauer!) die kompletten "Netze" (gemeint sind öffentliche IPv4-Netze) besorgen und die gesamten Netze (auf IP-Basis) sperren (in/out). Geht wesentlich geschmeidiger von der Hand als die ganzen IPs händisch einzutragen und ... wen juckt der Rest dazwischen ;-) Damit wären alle derzeit von Synology genutzen Netze "draussen".
Hört sich total prima an, oder gibt es da doch etwa NOCH einen Haken???
Tja... so schön sich das anhört... ich sprach vorhin von Loadbalancern (von Proxy-Servern fang ich hier erst garnicht an)... Was würde Synology nun daran hindern sich weitere Netze zu besorgen (was logischerweise auch getan wird, denn auch Synology wächst...)? Stimmt.. garnichts... und das schöne - diese Netze müssten nichtmals ansatzweise was mit den bereits gesperrten zu tun haben. Auf der anderen Seite - DNS-Sperre... was hindert Synology daran sich tausende weitere Domains zu besorgen? synology-update-a.com, synology-update-b.com, synology-update-c.com, usw.
Es ist vermessen so blindwegs zu glauben, man hätte die "Hoheit" darüber, die Kontrolle... temporär sicher, kurzweilig.. vielleicht. Es braucht aber nur ein einziges Update um die "gesamte" Arbeit wieder zunichte zu machen. WENN Synology das wirklich will. Das schlimme dabei? Es ist ja nicht "nur" Synology. Ich hatte - so denke ich - bestimmt mehr als genug Links für solche "IT-Verbrechen" genannt. Zur Not hau ich auch noch den mit den "Smart-TVs" raus. Für die Hersteller/Industrie ist es heutzutage "selbstverständlich" Daten von euch zu sammeln. Ein Schelm wer da böses denkt!
Was die DNS-Geschichte angeht... ggf. wird die Kommunikation auch nur auf IP-Basis hergestellt, dann ist eh nix mit DNS (es sei denn es wird der PTR gecheckt und das machen die wenigsten Geräte). Mitunter werden die Services einfach auf andere Server umgezogen und fertig. Genau aus diesem Grunde ist damals die Kinder*****(ihrwisstschon) VÖLLIG dämlich gewesen. Die Server stehen im Ausland, es braucht MONATE bis da mal IRGENDWAS passiert. In der Zeit sind die Betreiber längst mit den Daten auf anderen Servern, gleicher Domain, oder halt eben ... anderer Domain. Was meint ihr denn warum so Portale wie kinox.to, moviex.to, usw noch bis heute laufen?!
Sicherlich kann man sich der Wahrheit ganz ganz ganz GANZ fest verschliessen. Man muss es nur wollen. Die Realität sieht aber leider anders aus. Ich habe nicht aufgegeben mich zu wehren, aber ich wehre mich "sinnvoll". Geht zu Demos gegen die Vorratsspeicherung, startet eine Petition (jepp, ganz öffentlich, zeigt euer Gesicht und bekennt Farbe!), usw... Eröffnet ALLE ein Ticket bei Synology aus den gleichen Gründen und fordert andere auch dazu auf. SO ist man aktiv.. nicht indem man bei sich in den eigenen 4 Wänden irgendwelche Regeln (mitunter noch in den Synology-eigenen!) Router tippert. Kurzweilige Lösung, jepp, aber von "aktiv" kann da niemand reden, sorry.
(Teil 1 Ende)
