The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Включение DNS over TLS в Fedora
Включаем  DNSOverTLS в настройках systemd-resolved.
/etc/systemd/resolved.conf

   [Resolve]
   DNS=1.1.1.1 9.9.9.9
   DNSOverTLS=yes
   DNSSEC=yes
   FallbackDNS=8.8.8.8 1.0.0.1 8.8.4.4

Переводим NetworkManager на использование systemd-resolved, которому будут
передаваться параметры DNS, полученные через DHCP для переопределения настроек /etc/systemd/resolved.conf.
Создаём файл /etc/NetworkManager/conf.d/10-dns-systemd-resolved.conf и записываем в него

   [main]
   dns=systemd-resolved

Если необходимо всегда использовать список DNS-серверов, заданных в
/etc/systemd/resolved.conf, вместо  dns=systemd-resolved нужно указать "dns=none".

Запускаем необходимые сервисы:

   sudo systemctl start systemd-resolved
   sudo systemctl enable systemd-resolved
   sudo systemctl restart NetworkManager

По умолчанию systemd-resolved отключён, но его планируют активировать в Fedora 33.

Проверяем, что всё работает нормально. 

В /etc/resolv.conf должен быть указан 127.0.0.53

   $ resolvectl status

   MulticastDNS setting: yes                 
     DNSOverTLS setting: yes                 
         DNSSEC setting: yes                 
       DNSSEC supported: yes                 
     Current DNS Server: 1.1.1.1             
            DNS Servers: 1.1.1.1             
                         9.9.9.9             
   Fallback DNS Servers: 8.8.8.8             
                         1.0.0.1             
                         8.8.4.4

   $ sudo ss -lntp | grep '\(State\|:53 \)'

   State     Recv-Q    Send-Q       Local Address:Port        Peer   Address:Port    Process                                                                         
   LISTEN    0         4096         127.0.0.53%lo:53               0.0.0.0:*        users:(("systemd-resolve",pid=10410,fd=18))


   $ resolvectl query example.com
   fedoraproject.org: 93.184.216.34                 -- link: wlp58s0
 
 
10.07.2020 , Источник: https://fedoramagazine.org/use-dns-...
Ключи: dns, tls, fedora, resolver, systemd / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевые сервисы / DNS

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, Анонимище (?), 22:17, 12/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В Ubuntu тоже будет работать?
     
     
  • 2.2, 6ipey (?), 11:51, 14/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, там через Stubby пока что.
     
  • 2.3, 6ipey (?), 11:52, 14/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > В Ubuntu тоже будет работать?

    sudo apt install stubby и далее настройка

     

  • 1.4, Аноним (4), 22:21, 15/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я вот никак не могу завести DNSCrypt Proxy в Ubuntu через systemd-resolved по мануалу в вики. Как только конфигурирую - пропадает DNS.
     
  • 1.5, Аноним (4), 22:27, 15/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кстати на заметку - DNSCrypt сервис от Яндекса стоит там не просто так. В смысле он небесплатный. В смысле Яндексу выгодно, чтобы вы именно напрямую к ним стучались.

    Подробнее: Frank Denis (автор протокола DNSCrypt его эталонной реализации) выкатил спеку и реализацию прокси для DNSCrypt, такую что прокси не видит содержимое запросов и не может их менять, а сервер видит только айпишник прокси. Энтузиасты выкатили кучи проксей. Но DNSCrypt сервера Яндекса соединения через эти прокси не принимают, что наводит на мысли, что яндексу выгодно, чтобы к ним ходили именно без проксей, чтобы видеть и запросы, и кто их отправляет.

     
     
  • 2.8, R (?), 18:00, 14/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У вас еще "мысли"? Тут уже точно уверенность, что они следят как можно плотнее за каждым.

    Собственно, недалек тот день, когда они потребуют подписку Яндекс.Плюс для использования их ДНС.

    Заметим, что за качество работы сервиса они, конечно, не несут ответствености. Только поглубже контакты техподдержки спрятали, чтобы поменьше донимали - потому что цель Яндекса не сервис, а именно заработок денег.

    Увы.

     
  • 2.10, Аноним (10), 07:48, 30/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Яндекс
    > наводит на мысли

    Разморозка прошла успешно, но мозг несколько пострадал.

     

  • 1.6, Аноним (6), 01:23, 16/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А TLS over DNS слабо
     
     
  • 2.7, Здрасьте (?), 14:13, 01/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://github.com/yarrick/iodine
     

  • 1.9, Неанон (?), 01:44, 24/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >sudo systemctl start systemd-resolved
    >sudo systemctl enable systemd-resolved

    systemctl enable --now systemd-resolved

     
  • 1.11, Аноним (11), 06:42, 20/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Включил в дебиан. И теперь у меня отваливается systemd-timesyncd. Рассинхрон  во все поля и что-то там ещё
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру