LINUX.ORG.RU

9
Всего сообщений: 38

DNSCrypt, DoH, DoT и т.п., ESNI, ECH и т.д VS Server Name Indication и палки в колеса. Расставим точки над Ё?

Вот, прочитал-услышал где-то человек, что если адрес начинается не просто на http, а на httpS, то что-то там как-то зашифровано, чтобы посторонние не видели.

Позже человеку кто-то добавляет информации, что это шифрование не для того, чтобы провайдер не знал, какую порнуху кто смотрит. И даже что те, для кого это шифрование предназначалось, не полностью ему доверяют и делают многофакторную аутентификацию при любом подходящем случае. А по поводу порнухи - так можно же глянуть логи DNS, если что, и, при желании, даже посмотреть то же самое.

Линукс тут при том, что для Линукс есть DoH, DoT, DNSCrypt и еще что-то такое, небось, придумали, а еще при том, что у некоторых мнение о Линукс, как о чем-то таком хакерском и скрытном, что хоть гусей весели, фиг кто узнает. Вот тот человек, поинтересовавшись, узнает о шифровании еще и dns-запросов. На этом, как видно по текстам, постам и комментариям, человек успокаивается.

Firefox часто долбит моск «неправильными» сертификатами, а Chromium и производные - нет. С чего бы? Хромиумоидам помогает Server Name Indication. Это такая штука, которая помогает сверить конкретное доменное имя на соответствие сертификату. Доменное имя отсылается на сверку без шифрования. DoH, DoT, DNSCrypt сделаны не для того, чтобы провайдер не знал, какую порнуху кто смотрит. TLS, как выше упомянуто - тоже. Считать ли тогда SNI дыркой в TLS? Ну, решили, всё же, закрыть.

Насколько понимаю, в версии TLS 1.3 есть шифрование Server Name Indication: Encrypted SNI. Не всё и не все это умеют. В Firefox где-то в семидесятых-восьмидесятых версиях это запилили, а позже пообещали ECH, Encrypted Client Hello которое молодежнее. На данный момент одно выпилено, другое не запилено. Кому прям свербит, предлагается версия 78.14.0esr, в которой ESNI еще было. Как в Chromium, не ковырял. По ощущениям - никак.

А как в интернетах? У кого-то есть. Попробовал Firefox 78.14.0esr с включенным ESNI с двумя провайдерами. У одного, большого, не стала грузиться сразу же страница с проверкой ESNI от CloudFlare. У другого, поменьше - работает. Некоторые провайдеры на всякий случай блочат ESNI, если в броузере оно включено, некоторые сайты тупо не грузятся. Причем, как заметил при беглом гуглении, как-то рандомно по шарику. В РФ ситуация среднемировая: РКН блочить ESNI не велел, но Телеком заблочил, от греха.

Вот и прикинь, юный кулхацкер, нужно ли тебе в нынешней ситуации долбаться с настройкой DNSCrypt-Proxy.

ЗЫ. Я не спец ни по сайберсесуриту, ни по психологии юных кулхацкеров. Всё выше написано в меру моего невежества. В чем я практически уверен, так это в том, что у лоровцев найдутся еще точки на эту Ё.

 ,

Dementy ()

Как занять 53 порт на android?

Запустил dnscrypt на android, но 53 порт не удается занять

[FATAL] listen udp 127.0.0.1:53: bind: permission denied

Возможно ли это без рута? Цель сего действа прописать в настройках android’a Private dns -> localhost, задать вариант типа 127.0.0.1:5353 не даёт, не понятно почему конечно.

 , ,

bubvalet ()

Fedora 33 настройка nftables и dnscrypt

Первый раз на Федоре и уже немного расстроен, что приходится бороться с дистром в совершенно для меня неожиданных местах.

  1. Отключил сервис firewalld. Поставил nftables, включил сервис. Конфиг лежит в /etc/nftables.conf. Все лишнее из директории /etc/nftables/ удалил вместе с директорией. При ручном старте юнита конфиг читается и применяется, при автоматическом старте юнита при перезагрузке не понятно, что читается, но таблицы с правилами пустые. По логу сервис рапортует, что он загрузился и все ок. Что-то перебивает или не дает примениться моему конфигу. Как это отследить, я не понял. В общем логе с момента загрузки я не вижу никаких других упоминаний, кроме единственного - старта самого nftables при загрузке. Где искать виновника?

  2. Как заставить работать dnscrypt-proxy из оф. реп? Поставил его, пробовал включать сервис и сокет по отдельности. В любом случае ошибка

Nov 29 16:58:08 fedora-hw systemd[3913]: dnscrypt-proxy.socket: Failed to create listening socket ([::1]:53): Cannot assign requested address
Nov 29 16:58:08 fedora-hw systemd[1]: dnscrypt-proxy.socket: Failed to receive listening socket ([::1]:53): Input/output error
Nov 29 16:58:08 fedora-hw systemd[1]: dnscrypt-proxy.socket: Failed to listen on sockets: Input/output error
Nov 29 16:58:08 fedora-hw systemd[1]: dnscrypt-proxy.socket: Failed with result 'resources'.
Nov 29 16:58:08 fedora-hw systemd[1]: Failed to listen on DNSCrypt-proxy socket.

Я так понял, что на 127.0.0.1:53 уже что-то висит (подозреваю, дело рук systemd-resolved). То есть в репах заранее так сконфигурированы пакеты с конфигами, что программы конфликтуют, что мне кажется странным для дистрибутива такого уровня. Ладно, продолжаю попытки. Задаю вручную адрес, на котором будет работать dnscrypt-proxy в его конфиге - 127.0.2.1:53. Выполняю daemon-reload, рестартую основной сервис - в логе такая же ботва. Проверяю вики программы, вижу, что бывают проблемы с systemd-resolved. Его рекомендую выключить. Я выключаю его, создаю свой resolv.conf с пока обычным не локальным адресом, рестартую dnscrypt-proxy - опять та же ошибка. Короче, я так и не понял, что мешает на разных адресах на 53 порту завести dnscrypt и жить спокойно. Есть истории успеха?

 , ,

Wabjk ()

Dnscrypt

Установил на MI-3 dnscrypt-proxy. Всё работает. Opendns пишет, что я использую их сервер. Подскажите, а как проверить происходит шифрование или нет? Не используются ли dns провайдера. Можно же с помошью tcpdump как то?

 

sinicyn ()

Весь трафик днс на 127.0.0.1, а остальной заблокировать

Привет, использую это. В настройках NetworkManager указал только адреса и 127.0.0.1 для днс, ipV6 игнорируется. Но все равно подключается к провайдерскому днс, до тех пор, пока я не перезапущу NetworkManager через systemctl, потом запущу dnsproxy. Как заблокировать сторонний трафик или чтобы весь перенаправлялся на 127.0.0.1?

 ,

Dwsty ()

dnscrypt-proxy2 openwrt

Добрый вечер. Имеется роутер с прошивкой OpenWrt 19.07.2 Не могу заставить отправлять днс запросы через dnscrypt-proxy2. Судя по логу dnscrypt-proxy2 запускается и висит порту, но запросы не летят на этот порт. Вот часть лога

Thu Apr 30 18:57:46 2020 daemon.err dnscrypt-proxy[10028]: [2020-04-30 18:57:46] [NOTICE] Stopped.
Thu Apr 30 18:57:55 2020 daemon.err dnscrypt-proxy[12490]: [2020-04-30 18:57:55] [NOTICE] dnscrypt-proxy 2.0.42
Thu Apr 30 18:57:55 2020 daemon.err dnscrypt-proxy[12490]: [2020-04-30 18:57:55] [NOTICE] Network connectivity detected
Thu Apr 30 18:57:55 2020 daemon.err dnscrypt-proxy[12490]: [2020-04-30 18:57:55] [NOTICE] Source [public-resolvers] loaded
Thu Apr 30 18:57:55 2020 daemon.err dnscrypt-proxy[12490]: [2020-04-30 18:57:55] [NOTICE] Source [relays] loaded
Thu Apr 30 18:57:55 2020 daemon.err dnscrypt-proxy[12490]: [2020-04-30 18:57:55] [NOTICE] Firefox workaround initialized
Thu Apr 30 18:57:55 2020 daemon.err dnscrypt-proxy[12490]: [2020-04-30 18:57:55] [NOTICE] Now listening to 127.0.0.1:65053 [UDP]
Thu Apr 30 18:57:55 2020 daemon.err dnscrypt-proxy[12490]: [2020-04-30 18:57:55] [NOTICE] Now listening to 127.0.0.1:65053 [TCP]
Thu Apr 30 18:57:56 2020 daemon.err dnscrypt-proxy[12490]: [2020-04-30 18:57:56] [NOTICE] [cloudflare] OK (DoH) - rtt: 27ms
Thu Apr 30 18:57:56 2020 daemon.err dnscrypt-proxy[12490]: [2020-04-30 18:57:56] [NOTICE] [google] OK (DoH) - rtt: 35ms
Прописал в /etc/config/dhcp cтроку
list server '127.0.0.1#65053'
Но это не помогает, запросы все равно летят через стандартный 53 порт. Если отключить службу dnsmasq , то запросы вообще никуда не летят и днс совсем не работает.

 , ,

denix123 ()

dnscrypt не берет во внимание файл hosts

как исправить?

 

Regacar ()

Конфигурация dnscrypt-proxy в debian 10

Всех с наступившим и наступающими. Сервер на debian 10 с минимальной конфигурацией. Никаких средств работы с dns кроме dnscrypt-proxy не установлено. При настройке ориентировался на archwiki и wiki dnscrypt-proxy.

Порядок действий

apt install dnscrypt-proxy
systemctl stop dnscrypt-proxy.socket
mv /etc/resolv.conf{,-default}
echo 'nameserver 127.0.0.1' | tee /etc/resolv.conf
chattr +i /etc/resolv.conf
systemctl start dnscrypt-proxy.socket

ДКП успешно стартует

Jan 01 11:40:15 deb-serv dnscrypt-proxy[708]: [2020-01-01 11:40:15] [NOTICE] dnscrypt-proxy 2.0.19
Jan 01 11:40:15 deb-serv dnscrypt-proxy[708]: [2020-01-01 11:40:15] [NOTICE] Wiring systemd TCP socket #0, dnscrypt-proxy.socket, 127.0.2.1:53
Jan 01 11:40:15 deb-serv dnscrypt-proxy[708]: [2020-01-01 11:40:15] [NOTICE] Wiring systemd UDP socket #1, dnscrypt-proxy.socket, 127.0.2.1:53
Jan 01 11:40:15 deb-serv dnscrypt-proxy[708]: [2020-01-01 11:40:15] [NOTICE] [cloudflare] OK (DoH) - rtt: 4ms
Jan 01 11:40:15 deb-serv dnscrypt-proxy[708]: [2020-01-01 11:40:15] [NOTICE] Server with the lowest initial latency: cloudflare (rtt: 4ms)
Jan 01 11:40:15 deb-serv dnscrypt-proxy[708]: [2020-01-01 11:40:15] [NOTICE] dnscrypt-proxy is ready - live servers: 1

Как видно из журнала ДКП почему-то работает с 127.0.2.1:53. В toml файле конфигурация дефолтная

listen_addresses = []
server_names = ['cloudflare']

[query_log]
  file = '/var/log/dnscrypt-proxy/query.log'

[nx_log]
  file = '/var/log/dnscrypt-proxy/nx.log'

[sources]
  [sources.'public-resolvers']
  url = 'https://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md'
  cache_file = '/var/cache/dnscrypt-proxy/public-resolvers.md'
  minisign_key = 'ключ'
  refresh_delay = 72
  prefix = ''

По информации о настройке из вики ДКП в дебиане нужно работать именно с сокетом, а не сервисом, и не указывать какие-либо адреса в listen_addresses, потому что systemd сам разрулит все.

Если в resolv.conf задать адрес, с которым работает ДКП - 127.0.2.1, то ДКП сразу начинает ругатся на отсутствие привилегий для работы, хотя запущен он от рута.

Почему же ДКП работает с неправильным адресом?

 ,

exfx ()

Посоветуйте бесплатные DNS

Доброго дня. Хотелось бы попробовать DNSCrypt и/или DoT,DoH. Посоветуйте кто какие бесплатные DNS знает? Спасибо.

 , ,

Marasmius ()

dnscrypt резолверы

Кто-нибудь знает что стало dnscrypt резолверами?

Потратил полчаса, чтобы найти работающие из списка: https://raw.githubusercontent.com/dyne/dnscrypt-proxy/master/dnscrypt-resolve...

Они так быстро протухают? Или это происки ркн?

 

afanasiy ()

debian 9 dnscrypt-proxy настроить сеть, чтобы запросы к dns были зашифрованы

как настроить debian 9 dnscrypt-proxy настроить сеть, чтобы запросы к dns были зашифрованы ?

 ,

ustas1 ()

И всетаки какие Шифрованные DNS лучше и перспективнее?

Вот и настало время. Мой домашний провайдер был замечен за перенаправлением dns-запросов на свои сервера, позвонил в ТП, те долго отнекивались(ну а что, откуда ТП такое знать?), но я не отстовал и они пошли в ЦОД, откуда вернулись с подтверждением моей теории и сказали что ничего исправлять не будут, всем остальным клиентам посрать и ни вообще ничего не заметили.
Ну ок, пошел на роутер, начал заворачивать роутерский dns трафик через vpn и задумался, а ведь есть более современные решения для этого дела, почему их не попробовать? У меня и одноплатник есть, который можно для этих целей задействовать.

Остался вопрос, что выбрать:
-DNSCrypt
-DNS-over-HTTPS
-DNS-over-TLS
А еще где скачать покет под debian, списки dns-серверов поддерживающие данные протоколы.
И что по настройкам, мне потребуется поднимать BIND/dnsmasq или клиенты самостоятельно могут кешировать и отдавать запросы, без доп. костылей?

 , ,

Deleted ()

прошу помощи с DHCP

Есть два интерфейса

eth0
wlan0

wlan0 смотрит в локальную сеть.Его ip - 10.42.0.1 и на нём висит dnsmasq.При попытке повесить на это ip dnscrypt - ошибка,адрес занят.

Командой

killall dnsmasq
убиваю процесс и спокойно вешаю dnscrypt.

Хватает на час или два,потом идёт разрыв соединения.

dnsmasq.conf прописано : port=0.

Как убрать dnsmasq?

 ,

andreich ()

dnscrypt

Шлюз в интернет

 eth0 (192.168.1.5)
wifi адаптер
 wlan0 (10.42.0.1) раздаёт интернет в локальную сеть.
Хочу направить исходяший трафик с локальной машины через dnscrypt.

Запускаю его

dnscrypt-proxy -R cisco --local-address=127.0.0.1
[INFO] - [cisco] does not support DNS Security Extensions
[WARNING] - [cisco] logs your activity - a different provider might be better a choice if privacy is a concern
[NOTICE] Starting dnscrypt-proxy 1.6.1
[INFO] Generating a new session key pair
[INFO] Done
[INFO] Server certificate #1517943461 received
[INFO] This certificate is valid
[INFO] Chosen certificate #1517943461 is valid from [2018-02-07] to [2019-02-07]
[INFO] Server key fingerprint is 240B:11B7:AD02:FAC0:6285:1E88:6EAA:44E7:AE5B:AD2F:921F:9577:514D:E226:D552:6836
[NOTICE] Proxying from 127.0.0.1:53 to 208.67.220.220:443

Если я правильно понимаю,то должен это сделать через правила iptables и функцию OUTPUT

resolv.conf

nameserver 127.0.0.1

dnsmasq.conf

no-resolv
no-hosts
server=127.0.0.1#1053
server=127.0.0.1#2053
listen-address=127.0.0.1

netstat -vnalp | grep \:53

[root@localhost linux-x86_64]# netstat -vnalp | grep \:53
netstat: no support for `AF INET (sctp)' on this system.
netstat: no support for `AF INET (sctp)' on this system.
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      8524/dnscrypt-proxy 
tcp        0      0 10.42.0.1:53            0.0.0.0:*               LISTEN      890/dnsmasq         
udp        0      0 0.0.0.0:53490           0.0.0.0:*                           3639/plugin-contain 
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           735/avahi-daemon: r 
udp        0      0 127.0.0.1:53            0.0.0.0:*                           8524/dnscrypt-proxy 
udp        0      0 10.42.0.1:53            0.0.0.0:*                           890/dnsmasq         
netstat: no support for `AF IPX' on this system.
netstat: no support for `AF AX25' on this system.
netstat: no support for `AF X25' on this system.
netstat: no support for `AF NETROM' on this system.

Подскажите с правилами или в какую сторону двигаться.

 

andreich ()

Быстрое отключение сервиса dnscrypt-proxy в systemd

Доброго времени, уважаемые пользователи Линукс, посетители linux.org.ru!

Вопрос: как дать простому пользователю линукс возможность отключать или включать один конкретный сервис?

После установки dnscrypt-proxy в trisquel (Ubuntu) командой `apt-get install dnscrypt-proxy` в systemd появился сервис, который автоматически включает шифрование днс-траффика.

# systemctl status dnscrypt-proxy
● dnscrypt-proxy.service - DNSCrypt proxy
   Loaded: loaded (/lib/systemd/system/dnscrypt-proxy.service; enabled; vendor p
   Active: active (running) since Ср 2018-05-30 19:47:55 MSK; 25s ago
     Docs: man:dnscrypt-proxy(8)
 Main PID: 4664 (dnscrypt-proxy)
   CGroup: /system.slice/dnscrypt-proxy.service
           └─4664 /usr/sbin/dnscrypt-proxy --resolver-name=cisco

https://www.dnsleaktest.com/ показывает

IP Hostname ISP Country
208.69.33.73 m57.fra.opendns.com OpenDNS, LLC Germany

после отключения сервиса `service dnscrypt-proxy stop` , он показывает хост моего провайдера, примерно так:

IP Hostname ISP Country
1.2.3.4 none Sample-Web OOO Russian Federation

Всё работает, но для надёжной работы необходимо создать скрипт отключения и включения этого сервиса, чтобы отключать-включать кликом по ярлыку на рабочем столе.

Как это сделать без написания скрипта, который будет содержать рут-пароль? Можно ли дать простому пользователю право включать-отключать сервис dnscrypt-proxy ?

 , ,

znavko ()

dnscrypt-proxy и archLinux

Всех приветствую! Столкнулся с проблемой - сломал dnscrypt-proxy клиента. Система следующая

( читать дальше... )

Лог systemd-юнита dnscrypt-proxy.socket

educatedfool@someKind0f-pc ~ % systemctl status dnscrypt-proxy.socket 
● dnscrypt-proxy.socket - DNSCrypt-proxy socket
   Loaded: loaded (/usr/lib/systemd/system/dnscrypt-proxy.socket; enabled; vendor preset: disabled)
   Active: failed (Result: resources)
     Docs: https://github.com/jedisct1/dnscrypt-proxy/wiki
   Listen: 127.0.0.1:53 (Stream)
           [::1]:53 (Stream)
           127.0.0.1:53 (Datagram)
           [::1]:53 (Datagram)

апр 10 20:51:44 someKind0f-pc systemd[1]: Failed to listen on DNSCrypt-proxy socket.
апр 10 20:52:48 someKind0f-pc systemd[1]: dnscrypt-proxy.socket: Failed to receive listening socket: Input/output error
апр 10 20:52:48 someKind0f-pc systemd[1]: dnscrypt-proxy.socket: Failed to listen on sockets: Input/output error
апр 10 20:52:48 someKind0f-pc systemd[1]: dnscrypt-proxy.socket: Failed with result 'resources'.
апр 10 20:52:48 someKind0f-pc systemd[1]: Failed to listen on DNSCrypt-proxy socket.
апр 10 20:52:57 someKind0f-pc systemd[4060]: dnscrypt-proxy.socket: Failed to create listening socket: Cannot assign requested address
апр 10 20:52:57 someKind0f-pc systemd[1]: dnscrypt-proxy.socket: Failed to receive listening socket: Input/output error
апр 10 20:52:57 someKind0f-pc systemd[1]: dnscrypt-proxy.socket: Failed to listen on sockets: Input/output error
апр 10 20:52:57 someKind0f-pc systemd[1]: dnscrypt-proxy.socket: Failed with result 'resources'.
апр 10 20:52:57 someKind0f-pc systemd[1]: Failed to listen on DNSCrypt-proxy socket.                                                            

Лог systemd-юнита dnscrypt-proxy.service

educatedfool@someKind0f-pc ~ % systemctl status dnscrypt-proxy.service                                                                          :(
● dnscrypt-proxy.service - DNSCrypt-proxy client
   Loaded: loaded (/usr/lib/systemd/system/dnscrypt-proxy.service; enabled; vendor preset: disabled)
   Active: inactive (dead)
     Docs: https://github.com/jedisct1/dnscrypt-proxy/wiki

апр 10 19:34:24 someKind0f-pc systemd[1]: Dependency failed for DNSCrypt-proxy client.
апр 10 19:34:24 someKind0f-pc systemd[1]: dnscrypt-proxy.service: Job dnscrypt-proxy.service/start failed with result 'dependency'.
апр 10 19:41:27 someKind0f-pc systemd[1]: Dependency failed for DNSCrypt-proxy client.
апр 10 19:41:27 someKind0f-pc systemd[1]: dnscrypt-proxy.service: Job dnscrypt-proxy.service/start failed with result 'dependency'.
апр 10 20:50:47 someKind0f-pc systemd[1]: Dependency failed for DNSCrypt-proxy client.
апр 10 20:50:47 someKind0f-pc systemd[1]: dnscrypt-proxy.service: Job dnscrypt-proxy.service/start failed with result 'dependency'.

Конфиг dnscrypt-proxy.toml по умолчанию: https://pastebin.com/aSn0wZdX

Конфиги systemd-юнитов по умолчанию

( читать дальше... )

systemd-юниты, которые требуются в зависимостях (nss-lookup) - рабоают. Проверил на девственно-чистой виртуалке - работает, так что я что сломал.

Если требуются ещё какие-то логи, вы только скажите.

 , ,

average-user ()

DNSCrypt vs Dns-Over-HTTPS vs DNS-over-TLS

Протоколы опять плодятся, что выбрать и не прогадать?

 , ,

Deleted ()

Куда пропал проект dnscrypt-proxy?

С месяц не проверял обновление резолверов, а тут бац - с гитхаба проект исчез, сайт не обслуживается. В уточке информации нет. Кто-нибудь в курсе ситуации?

 ,

Niroday ()

dnscrypt-proxy -R yandex уже не работает или у меня проблема ?



root@localhost:/# dnscrypt-proxy -R yandex  --local-address=127.0.0.2:55353 &
[1] 21668
root@localhost:/var/log/upstart# [INFO] - [yandex] does not support DNS Security Extensions
[WARNING] - [yandex] logs your activity - a different provider might be better a choice if privacy is a concern
[NOTICE] Starting dnscrypt-proxy 1.6.1
[INFO] Generating a new session key pair
[INFO] Done
[INFO] Server certificate #1479733050 received
[INFO] This certificate has expired
[ERROR] No useable certificates found
[INFO] Refetching server certificates
[INFO] Server certificate #1479733050 received
[INFO] This certificate has expired
[ERROR] No useable certificates found



 

janavar ()

Зачем нужен DNSCrypt, получается VPN шифрует не все?

Я как-то недавно проникся темой DNS, но до сих пор не пойму, зачем нужен проект DNSCrypt, разве VPN не шифрует весь трафик? Или DNS-трафик проходит по какому-то особому каналу, котоырй VPN не захватывает? Часто в описании того или иного VPN-сайта в списке можно прочитать 'Защита от DNS Leaks' и тому подобное. Проясните?

 , , , ,

lineager ()