DNS是域名解析的缩写。它用于将 IP 地址解析为域名,反之亦然。这有助于消除记住各种互联网站点的特定 IP 地址的复杂性,因此,人们可以使用域名访问页面,例如 google.com、computingforgeeks.com 等。设置 DNS 有多种解决方案服务器,最流行的有 BIND DNS、Knot DNS、NSD、MaraDNS、YADIFA、PowerDNS 等
DNSCrypt 是一种协议,用于通过加密 DNS 客户端和 DNS 解析器之间的通信来提高 DNS 安全性。它通过身份验证防止 DNS 欺骗,帮助用户私密地进行在线通信,而无需担心安全问题。 DNSCrypt 使用加密签名来验证响应是否来自所选的 DNS 解析器,并确保它们在传输时没有被篡改。 DNSCrypt 适用于多种平台,例如 macOS、Android、Linux 和 Windows 以及路由器。
与 DNSCrypt 相关的主要功能和优点是:
- 它通过缓存响应并避免在纯 IPv4 网络上请求 IPv6 地址来减少延迟。
- 它强制流量使用 TCP,通过仅 TCP 隧道或 Tor 进行路由。
- 它可以在本地阻止广告、跟踪器、恶意软件、垃圾邮件以及域名或 IP 地址与您定义的一组规则匹配的任何网站。
- 它允许用户实时查看源自网络的 DNS 流量,并检测受感染的主机和打电话回家的应用程序。
- 它可以防止本地区域的查询被泄露。
- 它支持 DNSCrypt v2、Anonymized DNSCrypt 和 DNS-over-HTTP (DoH) 转发协议,这些协议可以在同一端口(通常是端口 443)上提供服务。
今天我们将学习如何安装和配置加密 DNS 服务器 (DNSCrypt)
1.安装加密DNS服务器(DNSCrypt)
有多种方法可以安装加密 DNS 服务器 (DNSCrypt)。这些包括:
- 使用预编译的二进制文件
- 从源代码编译
- 使用 Docker
在本指南中,我们将学习如何使用预编译的 x86_64 二进制文件安装加密 DNS 服务器 (DNSCrypt)。不幸的是,有适用于 Linux 和 Windows 系统的二进制文件
对于 Linux,您需要 64 位 Debian/Ubuntu 系统,然后按所示操作。
首先,为 DNSCrypt 创建一个目录。
sudo mkdir -p /opt/encrypted-dns在该目录下,下载最新的预编译包。在编写本文档时,最新版本是 0.9.9。
使用以下命令下载二进制文件:
VER=$(curl -s https://api.github.com/repos/DNSCrypt/encrypted-dns-server/releases/latest|grep tag_name|cut -d '"' -f 4)
wget https://github.com/DNSCrypt/encrypted-dns-server/releases/download/$VER/encrypted-dns_${VER}_amd64.deb下载后,安装包:
sudo apt install -f ./encrypted-dns_*_amd64.deb示例输出:
Selecting previously unselected package encrypted-dns.
(Reading database ... 187584 files and directories currently installed.)
Preparing to unpack encrypted-dns_0.9.13_amd64.deb ...
Unpacking encrypted-dns (0.9.13) ...
Setting up encrypted-dns (0.9.13) ...2.配置加密DNS服务器(DNSCrypt)
安装后,加密 DNS 服务器 (DNSCrypt) 会在 /usr/share/doc/encrypted-dns/ 中存储一个示例配置文件。我们将此配置文件复制到我们创建的目录中:
sudo cp /usr/share/doc/encrypted-dns/example-encrypted-dns.toml /opt/encrypted-dns/encrypted-dns.toml我们现在可以相应地修改这个配置文件。
sudo vim /opt/encrypted-dns/encrypted-dns.toml在这里,将listen_addrs参数修改为客户端可访问的IP地址(如果您在云上运行服务器,这可以是公共IP)
listen_addrs = [
{ local = "0.0.0.0:443", external = "Your_ipv4_address:443" },
## { local = "[::]:443", external = "[Your_ipv6_address]:443" }
]您可能还需要修改 upstream_addr 以指向您的内部递归 DNS 服务器或保持原样。设置provider_name
## Upstream DNS server and port
upstream_addr = "1.1.1.1:53"
dnscrypt]
## Provider name (with or without the `2.dnscrypt-cert.` prefix)
provider_name = "example.com"
## Does the server support DNSSEC?
dnssec = true
## Does the server always returns correct answers (no filtering, including ad-blocking)?
no_filters = true
## Set to `true` if the server doesn't keep any information that can be used to identify users
no_logs = true3. 将 DNSCrypt 作为系统服务运行
完成配置后,我们需要为 DNSCrypt 创建一个 systemd 服务文件。这可以使用以下命令来完成:
sudo bash -c 'cat << EOF > /etc/systemd/system/encrypted-dns.service
# /etc/systemd/system/dnscrypt-server.service
[Unit]
Description=DNSCrypt v2 server
ConditionFileIsExecutable=/usr/bin/encrypted-dns
After=syslog.target network-online.target
[Service]
StartLimitInterval=5
StartLimitBurst=10
ExecStart=/usr/bin/encrypted-dns -c /opt/encrypted-dns/encrypted-dns.toml
WorkingDirectory=/opt/encrypted-dns/
Restart=always
RestartSec=10
[Install]
WantedBy=multi-user.target
EOF'启动并启用服务:
sudo systemctl daemon-reload
sudo systemctl enable --now encrypted-dns验证服务是否正在运行:
$ systemctl status encrypted-dns
● encrypted-dns.service - DNSCrypt v2 server
Loaded: loaded (/etc/systemd/system/encrypted-dns.service; enabled; vendor preset: enabled)
Active: active (running) since Sun 2022-11-27 13:34:33 EAT; 5s ago
Main PID: 376198 (encrypted-dns)
Tasks: 6 (limit: 4575)
Memory: 16.6M
CGroup: /system.slice/encrypted-dns.service
└─376198 /usr/bin/encrypted-dns -c /opt/encrypted-dns/encrypted-dns.toml
Sad 27 13:34:33 dnscrypt.computingforgeeks.com systemd[1]: Started DNSCrypt v2 server.
Sad 27 13:34:33 dnscrypt.computingforgeeks.com encrypted-dns[376198]: [WARN encrypted_dns] No state file found... creating a new provider key
....
Sad 27 13:34:33 dnscrypt.computingforgeeks.com encrypted-dns[376198]: [INFO encrypted_dns] DNS Stamp: sdns://AQcAAAAAAAAADzg4Ljk5LjkyLjgxOjQ0MyBvFka8viUkAT9gkYMioJ5XjB>从上面的输出中,我们可以同意 DNSCrypt 服务器已设置。在服务状态的最后,我们可以看到 DNSCrypt 服务器的 DNS 标记。这会将连接到安全 DNS 服务器所需的所有参数编码为单个字符串。
现在允许所需的端口通过防火墙:
sudo ufw allow 443
sudo ufw allow 534. 在本地设备上启用安全 DNS
一旦 DNSCrypt 服务器运行,我们需要使用它来查询 DNS 请求。在这种情况下,我们需要安装 DNSCrypt 客户端。 DNSCrypt 客户端实现有一长串。在本指南中,我们将安装 DNSCrypt 代理,它可以位于本地或远程系统上。
下载客户端最新版本:
VER=$(curl -s https://api.github.com/repos/DNSCrypt/dnscrypt-proxy/releases/latest|grep tag_name|cut -d '"' -f 4)
wget https://github.com/DNSCrypt/dnscrypt-proxy/releases/download/$VER/dnscrypt-proxy-linux_x86_64-${VER}.tar.gz完成后,提取存档:
tar xvf dnscrypt-proxy-linux_x86_64-${VER}.tar.gz
cd linux-x86_64创建配置文件并打开它进行编辑:
cp example-dnscrypt-proxy.toml dnscrypt-proxy.toml
vim dnscrypt-proxy.toml在文件中,进行以下调整并设置您的服务器名称。
server_names = ['myserver']公共解析器列表上启用了多个提供程序。对于这种情况,我们将忽略它们并使用自定义的。
接下来,删除以下行开头的“#”并提供 DNSCrypt 服务器的 DNS 标记
[static]
[static.'myserver']
stamp = 'sdns://AQcAAAAAAAAAAAAQMi5kbnNjcnlwdC1jZXJ0Lg'不必担心 DNS 标记,因为可以在 DNSCrypt 服务器上使用 sudo systemctl status crypto-dns 命令检索它。
您还可以设置要阻止的域列表:
[blocked_names]
## Path to the file of blocking rules (absolute, or relative to the same directory as the config file)
blocked_names_file = 'blocked-names.txt'
....在该目录中,有一个示例文件,可以根据需要进行复制和编辑:
sudo cp example-blocked-names.txt blocked-names.txt完成更改后,保存配置,然后启动 DNSCrypt 代理服务:
sudo ./dnscrypt-proxy --config dnscrypt-proxy.toml示例输出:
[2023-10-31 14:16:36] [NOTICE] dnscrypt-proxy 2.1.5
[2023-10-31 14:16:36] [NOTICE] Network connectivity detected
[2023-10-31 14:16:36] [NOTICE] Now listening to 127.0.0.1:53 [UDP]
[2023-10-31 14:16:36] [NOTICE] Now listening to 127.0.0.1:53 [TCP]
[2023-10-31 14:16:36] [NOTICE] Service is not usable yet
[2023-10-31 14:16:36] [NOTICE] Resolving server host [raw.githubusercontent.com] using bootstrap resolvers over udp
[2023-10-31 14:16:36] [NOTICE] Source [public-resolvers] loaded
[2023-10-31 14:16:36] [NOTICE] Service is not usable yet
[2023-10-31 14:16:36] [NOTICE] Resolving server host [download.dnscrypt.info] using bootstrap resolvers over udp
[2023-10-31 14:16:36] [NOTICE] Source [relays] loaded
[2023-10-31 14:16:36] [NOTICE] Firefox workaround initialized
[2023-10-31 14:16:36] [NOTICE] [myserver] OK (DNSCrypt) - rtt: 0ms
[2023-10-31 14:16:36] [NOTICE] Server with the lowest initial latency: myserver (rtt: 0ms)
[2023-10-31 14:16:36] [NOTICE] dnscrypt-proxy is ready - live servers: 1您现在已设置为从客户端向 DNSCrypt 服务器发送安全 DNS 查询。要测试所有 DNS 查询是否都经过 127.0.0.1:53,您需要打开一个单独终端并编辑 /etc/resolv.conf,如下所示:
$ sudo vim /etc/resolv.conf
nameserver 127.0.0.1
#options edns0 trust-ad
search .运行以下命令以查看 DNSCrypt 是否按预期处理 DNS 查询
$ nslookup example.com
Server: 127.0.0.1
Address: 127.0.0.1#53
Non-authoritative answer:
Name: example.com
Address: 93.184.216.34
Name: example.com
Address: 2606:2800:220:1:248:1893:25c8:1946这表明 DNSCrypt 服务器正在安全地处理流量。
将 dnscrypt-proxy 客户端作为 systemd 服务运行
我们还可以配置该服务作为系统服务运行:
sudo bash -c 'cat << EOF > /etc/systemd/system/dnscrypt-proxy.service
# /etc/systemd/system/dnscrypt-server.service
[Unit]
Description=DNSCrypt v2 server
ConditionFileIsExecutable=/usr/local/bin/dnscrypt-proxy
After=syslog.target network-online.target
[Service]
StartLimitInterval=5
StartLimitBurst=10
ExecStart=/usr/local/bin/dnscrypt-proxy --config /opt/dnscrypt-proxy/dnscrypt-proxy.toml
WorkingDirectory=/opt/dnscrypt-proxy/
Restart=always
RestartSec=10
[Install]
WantedBy=multi-user.target
EOF'将文件复制到所需目录:
sudo mkdir /opt/dnscrypt-proxy
sudo cp ~/linux-x86_64/* /opt/dnscrypt-proxy/
sudo cp ~/linux-x86_64/dnscrypt-proxy /usr/local/bin停止正在运行的服务:
sudo killall -9 dnscrypt-proxy启动 dnscrypt-proxy 服务:
sudo systemctl enable --now dnscrypt-proxy检查服务是否正在运行:
$ systemctl status dnscrypt-proxy
● dnscrypt-proxy.service - DNSCrypt v2 server
Loaded: loaded (/etc/systemd/system/dnscrypt-proxy.service; enabled; vendor preset: enabled)
Active: active (running) since Tue 2023-10-31 16:30:16 EAT; 5s ago
Main PID: 868360 (dnscrypt-proxy)
Tasks: 6 (limit: 4617)
Memory: 7.8M
CPU: 22ms
CGroup: /system.slice/dnscrypt-proxy.service
└─868360 /usr/local/bin/dnscrypt-proxy --config /opt/dnscrypt-proxy/dnscrypt-proxy.toml
Okt 31 16:30:16 computingforgeeks dnscrypt-proxy[868360]: [2023-10-31 16:30:16] [NOTICE] Network connectivity detected
Okt 31 16:30:16 computingforgeeks dnscrypt-proxy[868360]: [2023-10-31 16:30:16] [NOTICE] Now listening to 127.0.0.1:53 [UDP]
Okt 31 16:30:16 computingforgeeks dnscrypt-proxy[868360]: [2023-10-31 16:30:16] [NOTICE] Now listening to 127.0.0.1:53 [TCP]
Okt 31 16:30:16 computingforgeeks dnscrypt-proxy[868360]: [2023-10-31 16:30:16] [NOTICE] Source [relays] loaded
....验证它是否正在处理 DNS 查询:
$ nslookup example.com
Server: 127.0.0.1
Address: 127.0.0.1#53
Non-authoritative answer:
Name: example.com
Address: 93.184.216.34
Name: example.com
Address: 2606:2800:220:1:248:1893:25c8:1946您还可以查看它是否能够阻止所设置域上的流量。例如,就我而言,我阻止了到 computingforgeeks.com 的流量
判决
这标志着关于如何安装和配置加密 DNS 服务器 (DNSCrypt) 的详细指南的结束。我希望这对你也有用。
在此页面上查看更多内容:
- 如何使用 DNSSec 密钥保护 BIND DNS 服务器
- 在 Windows Server 上安装和配置 DNS 服务器
- 在 Rocky Linux 上配置 PowerDNS 和 PowerDNS Admin
2
为您推荐
所周知,阿里云、腾讯云的服务器都自带监控(AliYunDun/阿里云盾/安骑士),大家都不想自己的所作所为都被监控着,比如我在上面安装XX服务,一旦云监控查到,会被警告,很麻烦,我们总想着自己买的东西能够完全自己..
最近数据库升级为mysql8.0,在使用过程中发现一些问题,首先mysql8.0有很多新特性,对服务器配置要求较高,所有就考虑把数据库版本切换到MySQL5.6,经过多出测试处理发现在8.0数据库打包的数据导入到5.6总是报错,或..
html2canvas 是一个开源的 JavaScript 库,用于将网页上的 HTML 元素渲染成图像。它通过遍历页面的 DOM 树和计算样式,然后将其绘制到 <canvas> 元素上,最终生成图片。该库不依赖服务器端,而是通过浏览器端的 Java..
在大部分Web系统中,我们可能遇到需要向客户端推送消息的需求。SuperWebSocket第三方库能让我们轻松的完成任务。SuperWebSocket第三方库可以从网上下载,不过通过Visual Studio Nuget安装更快。引用SuperWebSocket相..
C# 是一种面向对象的编程语言,具有丰富的类库和工具支持,适用于各种类型的应用程序开发。Windows 提供了一种称为"钩子"(Hook)的机制,允许拦截并处理系统级别的事件,如键盘按键和鼠标移动。通过结合 C# 和 Hook..
在 C# 中,通过自定义 Attribute 并结合一些技术(如动态代理、反射等)可以实现 AOP(面向切面编程)。AOP 通常用于日志记录、性能监控、权限验证等横切关注点。以下是一个使用 C# Attribute 实现 AOP 功能的示例。..
只需要简单的3步:1,到官网下载模版项目 https://aspnetboilerplate.com/Templates2,用VS2017打开,将Web.Host设置为启动项3,在程序包管理器控制台(Nuget控制台)里设定默认项目为EntityFrameworkCore,执行命令..
在多线程编程中,如何安全地在不同线程之间共享数据是一个非常重要的问题。C# 为我们提供了一些专门设计的线程安全集合,其中之一就是 ConcurrentQueue<T>。它是一种先进先出(FIFO)的数据结构,专门为多线程环境设..
CSS砌体布局(Masonry Layout)CSS砌体布局是一种网页布局技术,它的灵感来源于砖石墙的排列方式,类似于“拼图”或“拼砖”的效果。在砌体布局中,元素的排列并不完全遵循传统的网格布局规则,..
CSS的 columns 属性(如 columns、column-count 和 column-width)通常用于多列文本布局,而不是直接用于砌体布局。然而,结合 columns 和 visibility 属性,可以在某些情况下实现类似砌体布局的效果,虽然它并不完..
System.Linq.Dynamic.Core 是一个扩展库,用于在运行时动态构建 LINQ 查询,支持字符串形式的表达式解析和动态查询操作。它是 .NET 的一个强大工具,适合处理需要灵活定义查询逻辑的场景,例如动态过滤、排序、投影..
小米近期在 GitHub 上开源了名为“ha_xiaomi_home”的项目,即 Home Assistant 米家集成组件。该组件由小米官方支持,旨在让用户在 Home Assistant 中集成和控制小米 IoT 智能设备。主要特点:官方支持:..
C# 13 引入了新的线程同步类型 System.Threading.Lock,它通过作用域管理的方式简化了锁的使用,使代码更加清晰可靠。本文将全面介绍 System.Threading.Lock 的功能、适用场景,并提供完整的运行示例程序。1. 什么是..
Microsoft.Extensions.AI 库介绍Microsoft.Extensions.AI 是一个扩展库,用于在 .NET 应用程序中轻松集成人工智能(AI)服务,例如 OpenAI、Azure OpenAI 和其他支持文本生成或语言模型的 API。通过与 Microsoft.Ext..
1.安装Dapper这里直接使用Nuget安装。安装版本是1.50.5安装完成之后,发现Nuget下已经有了Dapper。2.创建DapperHelper接下来创建一个DapperHelper帮助类,来进行读取数据库连接字符串,打开数据库等操作。public cla..
使用的CentOS版本是7.9,其他版本也可以。超级推荐的是搭建shadowsocks服务端,安装配置都很简单,几分钟就搞定,客户端支持PC移动端,下面是安装shadowsocks的过程,只要复制粘贴命令就行了,文件夹路径都不需要改..
在 ASP.NET 中,使用 Entity Framework (EF) 创建并连接 SQLite 数据库是一种轻量级、高效的数据库管理方式。以下是详细步骤:安装必要的 NuGet 包安装EntityFrameworkCore.Sqlite包:Install-Package Microsoft.Ent..
如何获取GitHub repo实时的star,watch和fork数量呢?这里推荐一个Shields.io工具,可以实时生成GitHub徽章,同时显示star数。显示效果如下:什么是 Shields.io?Shields.io 是一个开源项目,用于生成各种类型的徽章..
什么是 FreeSql?FreeSql 是一个高性能、灵活且易用的 .NET 开源 ORM(对象关系映射工具),提供数据库操作的强大功能,包括实体类映射、链式查询、表达式树支持、数据库迁移等。它可以帮助开发者快速、高效地操作数..
SourceTree下载提取码: ni9m 需翻墙或者破解注册当前只有Win的版本,Mac自行百度很多人用git命令行不熟练,那么可以尝试使用sourcetree进行操作。然鹅~~sourcetree又一个比较严肃的问题就是,很多人不会跳过注册或者..