Включаем DNSOverTLS в настройках systemd-resolved.
/etc/systemd/resolved.conf [Resolve]
DNS=1.1.1.1 9.9.9.9
DNSOverTLS=yes
DNSSEC=yes
FallbackDNS=8.8.8.8 1.0.0.1 8.8.4.4
Переводим NetworkManager на использование systemd-resolved, которому будут передаваться параметры DNS, полученные через DHCP для переопределения настроек /etc/systemd/resolved.conf.
Создаём файл /etc/NetworkManager/conf.d/10-dns-systemd-resolved.conf и записываем в него
[main]
dns=systemd-resolved
Если необходимо всегда использовать список DNS-серверов, заданных в /etc/systemd/resolved.conf, вместо dns=systemd-resolved нужно указать "dns=none".
Запускаем необходимые сервисы:
sudo systemctl start systemd-resolved
sudo systemctl enable systemd-resolved
sudo systemctl restart NetworkManager
По умолчанию systemd-resolved отключён, но его планируют активировать в Fedora 33.
Проверяем, что всё работает нормально.
В /etc/resolv.conf должен быть указан 127.0.0.53
$ resolvectl status
MulticastDNS setting: yes
DNSOverTLS setting: yes
DNSSEC setting: yes
DNSSEC supported: yes
Current DNS Server: 1.1.1.1
DNS Servers: 1.1.1.1
9.9.9.9
Fallback DNS Servers: 8.8.8.8
1.0.0.1
8.8.4.4
$ sudo ss -lntp | grep '\(State\|:53 \)'
State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
LISTEN 0 4096 127.0.0.53%lo:53 0.0.0.0:* users:(("systemd-resolve",pid=10410,fd=18))
$ resolvectl query example.com
fedoraproject.org: 93.184.216.34 -- link: wlp58s0
URL: https://fedoramagazine.org/use-dns-over-tls/
Обсуждается: http://www.opennet.dev/tips/info/3154.shtml
Вариант для распечатки
