INT 21h

Hi, I am Vladimir Smagin, SysAdmin and Kaptain. Telegram Email / GIT / RSS / GPG

Проксирование DNS запросов в DNS-over-HTTPS

№ 11416 В разделе "Sysadmin" от November 14th, 2021,
В подшивках: ,

Это нужно для обхода злоупотреблений при обмене траффиком между вашей сетью и внешними DNS серверами. Например, если вдруг магистральный провайдер захотел завернуть весь траффик до 8.8.8.8 на свой собственный сервер. Да, скорость снизится на доли секунды без использования кеширующего днс сервера, но зато вашем местном чебурнете вырастет безопасность обмена информацией.

Прочитать о подъеме DoH прокси на nginx можно здесь. Разумеется его надо размещать за пределами зоны действия блокировок запросов к популярным DoH провайдерам, например, в Европе. VPS с nginx не будет требовать каких-то серьезных затрат, т.к. работает даже на 128 мб памяти и с небольшим траффиком, буквально гигабайты в месяц, а при использовании внутри сети промежуточного кеширующего DNS сервера и того меньше.

Если у вас маршрутизатор Mikrotik, то следующий шаг можно заменить вот этим руководством.

В качестве проксирующего сервера можно использовать этот https://github.com/commonshost/dohnut. Его запуск удивительно прост:

$> docker run -d --publish 127.0.0.53:53:53/udp commonshost/dohnut --listen 0.0.0.0:53 \
    --doh https://dns9.quad9.net:5053/dns-query \
    --bootstrap "8.8.8.8 9.9.9.9 1.1.1.1"

В некоторых ОС для работы потребуется отключить локальный DNS сервер (тот же systemd-resolved). В bootstrap находится список разрешенных DNS серверов к которым можно отправить запрос для резолва домена вашего DoH прокси или сервера DoH провайдера. В данном примере связь поднята напрямую с DoH провайдером без использования промежуточного прокси на nginx.

Нет комментариев »

Leave a Reply

Your email address will not be published. Required fields are marked *

*

Яндекс.Метрика

Fortune cookie: Hear about... the loner who gave up his solitary vice for Lent? Except on Palm Sunday, of course.