The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Раздел полезных советов: Включение DNS over TLS в Fedora"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Включение DNS over TLS в Fedora"  +1 +/
Сообщение от auto_tips (?), 12-Июл-20, 22:17 
Включаем  DNSOverTLS в настройках systemd-resolved.
/etc/systemd/resolved.conf

   [Resolve]
   DNS=1.1.1.1 9.9.9.9
   DNSOverTLS=yes
   DNSSEC=yes
   FallbackDNS=8.8.8.8 1.0.0.1 8.8.4.4

Переводим NetworkManager на использование systemd-resolved, которому будут передаваться параметры DNS, полученные через DHCP для переопределения настроек /etc/systemd/resolved.conf.
Создаём файл /etc/NetworkManager/conf.d/10-dns-systemd-resolved.conf и записываем в него

   [main]
   dns=systemd-resolved

Если необходимо всегда использовать список DNS-серверов, заданных в /etc/systemd/resolved.conf, вместо  dns=systemd-resolved нужно указать "dns=none".

Запускаем необходимые сервисы:

   sudo systemctl start systemd-resolved
   sudo systemctl enable systemd-resolved
   sudo systemctl restart NetworkManager

По умолчанию systemd-resolved отключён, но его планируют активировать в Fedora 33.

Проверяем, что всё работает нормально.

В /etc/resolv.conf должен быть указан 127.0.0.53

   $ resolvectl status

   MulticastDNS setting: yes                
     DNSOverTLS setting: yes                
         DNSSEC setting: yes                
       DNSSEC supported: yes                
     Current DNS Server: 1.1.1.1            
            DNS Servers: 1.1.1.1            
                         9.9.9.9            
   Fallback DNS Servers: 8.8.8.8            
                         1.0.0.1            
                         8.8.4.4

   $ sudo ss -lntp | grep '\(State\|:53 \)'

   State     Recv-Q    Send-Q       Local Address:Port        Peer   Address:Port    Process                                                                        
   LISTEN    0         4096         127.0.0.53%lo:53               0.0.0.0:*        users:(("systemd-resolve",pid=10410,fd=18))


   $ resolvectl query example.com
   fedoraproject.org: 93.184.216.34                 -- link: wlp58s0


URL: https://fedoramagazine.org/use-dns-over-tls/
Обсуждается: http://www.opennet.dev/tips/info/3154.shtml

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Анонимище (?), 12-Июл-20, 22:17   +/
В Ubuntu тоже будет работать?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #3

2. Сообщение от 6ipey (?), 14-Июл-20, 11:51   +/
Нет, там через Stubby пока что.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

3. Сообщение от 6ipey (?), 14-Июл-20, 11:52   +/
> В Ubuntu тоже будет работать?

sudo apt install stubby и далее настройка

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

4. Сообщение от Аноним (4), 15-Июл-20, 22:21   +/
Я вот никак не могу завести DNSCrypt Proxy в Ubuntu через systemd-resolved по мануалу в вики. Как только конфигурирую - пропадает DNS.
Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от Аноним (4), 15-Июл-20, 22:27   +/
Кстати на заметку - DNSCrypt сервис от Яндекса стоит там не просто так. В смысле он небесплатный. В смысле Яндексу выгодно, чтобы вы именно напрямую к ним стучались.

Подробнее: Frank Denis (автор протокола DNSCrypt его эталонной реализации) выкатил спеку и реализацию прокси для DNSCrypt, такую что прокси не видит содержимое запросов и не может их менять, а сервер видит только айпишник прокси. Энтузиасты выкатили кучи проксей. Но DNSCrypt сервера Яндекса соединения через эти прокси не принимают, что наводит на мысли, что яндексу выгодно, чтобы к ним ходили именно без проксей, чтобы видеть и запросы, и кто их отправляет.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #10

6. Сообщение от Аноним (6), 16-Июл-20, 01:23   +/
А TLS over DNS слабо
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7

7. Сообщение от Здрасьте (?), 01-Авг-20, 14:13   +/
https://github.com/yarrick/iodine
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

8. Сообщение от R (?), 14-Сен-20, 18:00   +1 +/
У вас еще "мысли"? Тут уже точно уверенность, что они следят как можно плотнее за каждым.

Собственно, недалек тот день, когда они потребуют подписку Яндекс.Плюс для использования их ДНС.

Заметим, что за качество работы сервиса они, конечно, не несут ответствености. Только поглубже контакты техподдержки спрятали, чтобы поменьше донимали - потому что цель Яндекса не сервис, а именно заработок денег.

Увы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

9. Сообщение от Неанон (?), 24-Сен-20, 01:44   +1 +/
>sudo systemctl start systemd-resolved
>sudo systemctl enable systemd-resolved

systemctl enable --now systemd-resolved

Ответить | Правка | Наверх | Cообщить модератору

10. Сообщение от Аноним (10), 30-Окт-20, 07:48   +/
> Яндекс
> наводит на мысли

Разморозка прошла успешно, но мозг несколько пострадал.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

11. Сообщение от Аноним (11), 20-Дек-20, 06:42   +/
Включил в дебиан. И теперь у меня отваливается systemd-timesyncd. Рассинхрон  во все поля и что-то там ещё
Ответить | Правка | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру