LINUX.ORG.RU

А ты уже используешь dnscrypt или и дальше сливаешь всем посещаемые домены?

 , , , ,


4

4

https://dnscrypt.org/ https://github.com/opendns/dnscrypt-proxy

Под винду, бзды и макось тоже есть.

В чём суть: данное ПО использует ЭЦП и шифрование при передаче/приёме DNS-запросов/ответов. Использование dnscrypt позволяет как обезопаситься от MitM-атак (многие провайдеры, например, перенаправляют ВЕСЬ DNS-трафик на свои DNS-сервера), от лишнего сбора статистики со стороны провайдера/админа/гэбни (кому хочется, чтобы в его личном деле фигурировали всякие mylittlepony-gay-pron.com), от проблем с кривыми локальными DNS-серверами (нет поддержки IPv6, глючат и т.д.).

Лично я у себя сделал так: поднял у себя на роутере dnscrypt как dns-сервер, завернул на него ВЕСЬ dns-трафик, запретил все входящие и исходящие пакеты на 53 UDP/TCP порты на внешнем интерфейсе: теперь нешифрованный DNS точно не пройдёт.

Из особенностей: нужно компилять, нужно выбрать, каким dnscrypt-сервером будете пользоваться. https://github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv

Может быть крайне полезно в случае использования HTTPS, т.к. из-за SNI до открытия криптоку.

https://www.opendns.com/about/innovations/dnscrypt/ Чем это лучше dnssec? dnssec нужен для безопасности от подмены, но не от прослушки. Суть dnssec, чтобы никто посередине не подставил другой IP в запрошенную А-запись, а также отпечаток SSH-ключа в DNS-запись не поставил свой.

Кстати, слив DNS-запросов при использовании VPN из-за настроенного по DHCP/ранее локального DNS-сервера - стандартная практика.

Пример запуска: dnscrypt-proxy --ephemeral-keys --daemonize --local-address=192.168.0.1:53 --resolver-name=dnscrypt.eu-dk

Сливаю.

Тогда может, коли гулять по полной, сделаешь ман как сделать на основе этого кеширущий dns сервер с возможностью запрещения или определения своих доменов.
Это чтоб малварь и и всякие скрипты в страницах к сторонним доменам не обращались и чтобы ip рутрацкера самому в dns прописывать.
Тогда подниму задницу и выделю под роутер отдельный комп.

torvn77 ★★★★★ ()
Ответ на: комментарий от torvn77

Это чтоб малварь и и всякие скрипты в страницах к сторонним доменам не обращались и чтобы ip рутрацкера самому в dns прописывать.

Для этого, наверное, надо юзать http://albertxyc.livejournal.com/10294.html + есть аналогичные мануалы по ghostery. Если по DNS: http://www.deer-run.com/~hal/sysadmin/dns-advert.html . Вычленяете нужные домены через sed-скрипты по первой ссылке. Ну а с рутрекером вообще всё просто. Схема такая: клиент -> bind9 -> dnscrypt-proxy -> интернеты

kerenkonin ()
Ответ на: комментарий от kerenkonin

Например одно время он резал DNS запросы на всё, кроме своих серверов. М.б. и сейчас так, хз. А ещё эта фраза ТП - «мы не поддерживаем ос линукс». Да идите вы в жопу, я сам со своей ос как-нибудь разберусь. Сделайте чтоб ваше оборудование работало нормально!

//Вобщем, Уральский-mode.

ass ★★★★ ()

Использую в связке с dnsmasq на макоси.

Deleted ()

я смело сливаю. думаю, никого не интересует тот факт, что я посещаю гуголь, кернел.орг и (оужоснах!) ЛОР. возможно, последнее предосудительно, но я люблю риск.
фильтрацию и прочие извращения использую только для тестирования по работе. вот с работы у меня постоянно пингуется всякая понина, для проверки её успешной блокировки.

Iron_Bug ★★★★★ ()
Ответ на: комментарий от Iron_Bug

возможно, последнее предосудительно

Ну, конечно, не настолько как некро и копро (там винфорумы всякие и MSDN), но всё-равно для нашей гэбни Вы уже пассивный враг народа.

вот с работы

Зачем?

всякая понина, для проверки её успешной блокировки.

Конкретнее? Что, как и зачем?

kerenkonin ()
Ответ на: комментарий от kerenkonin

Конкретнее? Что, как и зачем?

DNS-фильтрация. работа у меня такая. предполагается и URL-фильтрация в будущем. услуга пользуется спросом, ибо интернеты сейчас зело переполнены всяким трешем и угаром.

Iron_Bug ★★★★★ ()

Использую, правда на телефон пока не поставил.

xdimquax ★★★★ ()
Ответ на: комментарий от Iron_Bug

возможно, последнее предосудительно, но я люблю риск.

Нет. Риск ты _не_ любишь. Если бы ты _любила_ риск, ты бы посещала не ЛОР, а азиатские-шлюхи-получают-по-заслугам.ком.

anonymous ()

Из особенностей: нужно компилять

Ничего не нужно компилять. Под openwrt, Ubuntu, Fedora, Centos и Opensuse есть пакеты, более того уверен они есть и под другие дистрибутивы.

anonymous_sama ★★★★★ ()
Ответ на: комментарий от anonymous

эээ... я о таких сайтах даже не подозревала. мне ЛОРчика хватает и ещё пары ресурсов, которые я, по совместительству, ещё и админю. собсна, в интернетах я посещаю от силы сто доменов, которые давно уже закэшировались в моей проксе. наверное, я даже по белому списку могу работать и не замечать никаких ограничений.

Iron_Bug ★★★★★ ()
Ответ на: комментарий от kerenkonin

нах-нах! пусть гостайны идут лесом. от этого маразма лучше держаться подальше: и нервы здоровее, и профит больше.
мы для людей работаем, а не против них. и 90% наших юзеров совсем не в нашей стране. но и для нашей страны есть решения. в том числе для несчастных школ, которые обложили запретами со всех сторон и угрожают им миллионными штрафами. даже есть прикрученный раком-боком список запрещённых сайтов, для провайдеров. но это мало пользуется спросом, вызывает неприязнь у разработчиков и вообще не планируется поддерживать. в основном люди заинтересованы в том, чтобы совершенно добровольно и сознательно порнуху всякую резать в браузерах, баннеры, всякие вредоносные сайты с малварью, сайты сбора информации мелкософта и т.д.. фильтруют контент для компьютеров своих детей, фильтруют контент в офисах, чтобы сотрудники не сидели в социалочках целыми днями. услуга DNS-фильтрации стоит недорого, желающие всегда есть. часть клиентов составляют провайдеры, которые фильтруют контент для своих юзеров. в общем, кроме государства у нас есть обширное поле деятельности.
я лично нашей фильтрацией сама пользуюсь. хотя я не такой активный пользователь интернетов и обычно хожу на старые добрые и давно знакомые сайты. но иногда бывает, что ищу какие-нить торренты и дабы избавить себя от просмотра какой-нить внезапной манды на весь экран, использую фильтрацию :)

Iron_Bug ★★★★★ ()
Последнее исправление: Iron_Bug (всего исправлений: 2)
Ответ на: комментарий от kerenkonin

ничем. просто ещё одно решение для частных юзеров. у нас основная целевая аудитория - не физики. физиков миллионы, а доходы от них копеечные. так что физики - это просто благотворительность, можно сказать. у нас есть просто бесплатный сервис, который по предустановленным настойкам работает для всех. там сидят несколько миллионов турков, которым их придурошный царь решил запретить интернеты. собсна, для нас это не нагрузка, но типа социальная реклама, вроде того. плюс я сейчас педалирую выход на опенсорц и открытие API для независимых сторонних разработчиков. в общем, надо идти навстречу людям, а не против них.

Iron_Bug ★★★★★ ()
Ответ на: комментарий от kerenkonin

просто не было никакой, я взяла вебкамеру и сделала фото на работе. как-то не особо придираюсь к аватаркам, а фотографируюсь крайне редко. зато моя аватарка вполне себе мирная, без автомата :)

Iron_Bug ★★★★★ ()
Последнее исправление: Iron_Bug (всего исправлений: 1)
Ответ на: комментарий от kerenkonin

И чего Вы так к этому Гостери привязались? Прочитайте внимательно их лицензионное соглашение, подумайте и снесите это добро. И оно Вам еще вслед кричать будет - ну зачем же Вы так, мы же белые и пушистые!

А для «чистого» серфинга uBlock вполне достаточен: тонны фильтров на любой вкус, куча настроек, и работает быстрее Адблока.

anonymous ()
Ответ на: комментарий от kerenkonin

Вдогонку. А кукисы хорошо «на ходу» подчищает Self-Destructing Cookies - это тоже маст хэв.

По теме поста. Dnssec и dnscrypt-proxy юзаю на роутере. Стоит прошивка Tomato от Shibby, там все это есть. Ничего компелять не нужно, только галочки расставить. :)

anonymous ()
Ответ на: комментарий от kerenkonin

И что там такого с ghostery?

«Лицуху» их почитайте. Компания собирает данные и отправляет их непонятно куда. Если Вы им доверяете, то я ни на чем не настаиваю. :)

Насколько я вижу, ublock и adblock пропускают много говна шпионского, которое ghostery режет.

Хотелось бы конкретики (может я какие мелочи пропустил). У себя после сноса Гостери никакой «грязи» на веб-страницах не заметил. По поводу качества работы uBlock - нужно просто выбрать набор фильтров, который Вам подойдет. Можно добавлять новые сторонние подписки. Можно добавлять свои фильтры, правила и исключения.

anonymous ()

Попробовал на Debian'е

По-умолчанию, похоже, не совсем работает.

DNSCRYPT_PROXY_RESOLVER_NAME=cisco

[....] Starting dnscrypt proxy service...: dnscrypt-proxy[INFO] - [cisco] does not support DNS Security Extensions
[WARNING] - [cisco] logs your activity - a different provider might be better a choice if privacy is a concern

С предложенным в топике резолвером другое дело:

DNSCRYPT_PROXY_RESOLVER_NAME=dnscrypt.eu-dk
[....] Starting dnscrypt proxy service...: dnscrypt-proxy[INFO] + DNS Security Extensions are supported
[INFO] + Provider supposedly doesn't keep logs. ok 

Jurik_Phys ★★★★★ ()
Ответ на: Попробовал на Debian'е от Jurik_Phys

С предложенным в топике резолвером другое дело

Он не просто так предложен был ;) . Я не знаю, почему там такая дебильная политика, что нельзя сделать, чтобы из коробки работало.

kerenkonin ()
Ответ на: комментарий от anonymous

У себя после сноса Гостери никакой «грязи» на веб-страницах не заметил.

Реклама и скрипты сбора статистики - это разные вещи. Уж лучше сливать какой-то мелкой компании статистику, чем вообще всем.

kerenkonin ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.