LINUX.ORG.RU

Fedora 33 настройка nftables и dnscrypt

 , ,


0

1

Первый раз на Федоре и уже немного расстроен, что приходится бороться с дистром в совершенно для меня неожиданных местах.

  1. Отключил сервис firewalld. Поставил nftables, включил сервис. Конфиг лежит в /etc/nftables.conf. Все лишнее из директории /etc/nftables/ удалил вместе с директорией. При ручном старте юнита конфиг читается и применяется, при автоматическом старте юнита при перезагрузке не понятно, что читается, но таблицы с правилами пустые. По логу сервис рапортует, что он загрузился и все ок. Что-то перебивает или не дает примениться моему конфигу. Как это отследить, я не понял. В общем логе с момента загрузки я не вижу никаких других упоминаний, кроме единственного - старта самого nftables при загрузке. Где искать виновника?

  2. Как заставить работать dnscrypt-proxy из оф. реп? Поставил его, пробовал включать сервис и сокет по отдельности. В любом случае ошибка

Nov 29 16:58:08 fedora-hw systemd[3913]: dnscrypt-proxy.socket: Failed to create listening socket ([::1]:53): Cannot assign requested address
Nov 29 16:58:08 fedora-hw systemd[1]: dnscrypt-proxy.socket: Failed to receive listening socket ([::1]:53): Input/output error
Nov 29 16:58:08 fedora-hw systemd[1]: dnscrypt-proxy.socket: Failed to listen on sockets: Input/output error
Nov 29 16:58:08 fedora-hw systemd[1]: dnscrypt-proxy.socket: Failed with result 'resources'.
Nov 29 16:58:08 fedora-hw systemd[1]: Failed to listen on DNSCrypt-proxy socket.

Я так понял, что на 127.0.0.1:53 уже что-то висит (подозреваю, дело рук systemd-resolved). То есть в репах заранее так сконфигурированы пакеты с конфигами, что программы конфликтуют, что мне кажется странным для дистрибутива такого уровня. Ладно, продолжаю попытки. Задаю вручную адрес, на котором будет работать dnscrypt-proxy в его конфиге - 127.0.2.1:53. Выполняю daemon-reload, рестартую основной сервис - в логе такая же ботва. Проверяю вики программы, вижу, что бывают проблемы с systemd-resolved. Его рекомендую выключить. Я выключаю его, создаю свой resolv.conf с пока обычным не локальным адресом, рестартую dnscrypt-proxy - опять та же ошибка. Короче, я так и не понял, что мешает на разных адресах на 53 порту завести dnscrypt и жить спокойно. Есть истории успеха?


Разве конфиг не в /etc/sysconfig/nftables.conf?

в логе такая же ботва.

В смысле опять про ipv6 адрес?

mky ★★★★★ ()

Отключи systemd-resolved. Или лучше измени в конфиге порт, на котором слушает dnscrypt-proxy и научи resolved обращаться к этому порту.

eternal_sorrow ★★★★★ ()

бывают проблемы с systemd-resolved. Его рекомендую выключить.

и, если что, остаться совсем без интернетов и переустанавливать Федору, будто Шindows. Не проще ли и полезнее будет в dnscrypt-proxy.socket сделать, например

[Socket]
ListenStream=127.0.11.1:53
ListenDatagram=127.0.11.1:53
Карочь, что-то тоже петельное, но отличное от 127.0.0.1. Тогда можно ресолвед оставить на случай неработы dnscrypt, и прямо в нетворкменеджере (или что там) указать этот айпишник в качестве dns. Через запятую можно добавить единички и восьмерки, автоматика, однако. Или не добавлять, смотря по стадии.

Dementy ★★ ()

Спасибо всем отписавшимся. То, что вы предложили в кач-ве возможных решений или для диагностики, я уже делал. Это описано в ОП.

Я забил на Федору, просто не выдержал. Прилетело обновление пакетов, я поставил обновляться, после обновления запросило перезагрузку для доустановки чего-то там, после этого система больше не загружалась, висела на бесконечном анлоке зашифрованного раздела, а на экране промелькивало что-то там про btrfs (даже зафоткать/снять на видео не смог, чтобы посмотреть, очень быстро и редко мелькало). Просто снес Федору и вернулся на Арч. Так спокойнее, и все работает.

Wabjk ()
Ограничение на отправку комментариев: только для зарегистрированных пользователей