INT 21h

Hi, I am Vladimir Smagin, SysAdmin and

Kaptain. Telegram Email / GIT / RSS / GPG

Проксирование DNS запросов в DNS-over-HTTPS

№ 11416 В разделе Sysadmin от November 14th, 2021,
В подшивках: Linux, Security

Это нужно для обхода злоупотреблений при обмене траффиком между вашей сетью и внешними DNS серверами. Например, если вдруг магистральный провайдер захотел завернуть весь траффик до 8.8.8.8 на свой собственный сервер. Да, скорость снизится на доли секунды без использования кеширующего днс сервера, но зато вашем местном чебурнете вырастет безопасность обмена информацией.

Прочитать о подъеме DoH прокси на nginx можно здесь. Разумеется его надо размещать за пределами зоны действия блокировок запросов к популярным DoH провайдерам, например, в Европе. VPS с nginx не будет требовать каких-то серьезных затрат, т.к. работает даже на 128 мб памяти и с небольшим траффиком, буквально гигабайты в месяц, а при использовании внутри сети промежуточного кеширующего DNS сервера и того меньше.

Если у вас маршрутизатор Mikrotik, то следующий шаг можно заменить вот этим руководством.

В качестве проксирующего сервера можно использовать этот https://github.com/commonshost/dohnut. Его запуск удивительно прост:

$> docker run -d --publish 127.0.0.53:53:53/udp commonshost/dohnut --listen 0.0.0.0:53 \
    --doh https://dns9.quad9.net:5053/dns-query \
    --bootstrap "8.8.8.8 9.9.9.9 1.1.1.1"

В некоторых ОС для работы потребуется отключить локальный DNS сервер (тот же systemd-resolved). В bootstrap находится список разрешенных DNS серверов к которым можно отправить запрос для резолва домена вашего DoH прокси или сервера DoH провайдера. В данном примере связь поднята напрямую с DoH провайдером без использования промежуточного прокси на nginx.

Нет комментариев »