easy-to-use Защита DNS

Marceline · 10 июля, 2017

1 час назад, vasek00 сказал:

dnscrypt-proxy /opt/etc/dnscrypt-proxy.conf

ругнулся на Support for plugins hasn't been compiled in .... .

.

Цитата

https://forum.lede-project.org/t/dnscrypt-proxy-does-not-start/

If you want to use 'block_ipv6' option you need compile dnscrypt-proxy with support for plugins.

Тут два варианта: если нужен IPv6 / если нет.

1)пересобрать пакет dnscrypt-proxy с поддержкой плагинов.

2)закомментировать строку 136 #BlockIPv6 no

в entware/openwrt и т.д при сборки пакетов урезан функционал из за багов/сильной нагрузки на слабое железо и т.д

vasek00 · 10 июля, 2017

2 часа назад, Александр Рыжов сказал:

Яндексовский dnscrypt-сервер глючит с пятнинцы, можете проверить с помощью dig.

Dnscrypt-proxy при этом стартует без ошибок, но сервер ничего не резолвит.

То же подумал, поставил на cisco по стабильней, но так же бывает. Как бы на 1.94 dnscrypt-proxy попробовать обратно, может получше будет. Пока существенно лучше на

793 root 4068 S dnscrypt-proxy --local-address=127.0.0.1:65353 --daemonize --tcp-only -R cisco

увел.число пакетов ~ до 8 = 3 пакета TCP, плюс SSL, плюс TCP, плюс SSL, плюс 2 пакета TCP, по UDP было на много меньше.

Изменено 10 июля, 2017 пользователем vasek00

vasek00 · 10 июля, 2017

2 часа назад, Marceline сказал:

Тут два варианта: если нужен IPv6 / если нет.

1)пересобрать пакет dnscrypt-proxy с поддержкой плагинов.

2)закомментировать строку 136 #BlockIPv6 no

в entware/openwrt и т.д при сборки пакетов урезан функционал из за багов/сильной нагрузки на слабое железо и т.д

попробуем еще поковырять заинтересовался

# BlackList domains:"/etc/dnscrypt-blacklist-domains.txt" logfile:"/var/log/dnscrypt-blocked.log"
# BlackList ips:"/etc/dnscrypt-blacklist-ips.txt" logfile:"/var/log/dnscrypt-blocked.log"
# BlackList domains:"/etc/dnscrypt-blacklist-domains.txt" ips:"/etc/dnscrypt-blacklist-ips.txt" logfile:"/var/log/dnscrypt-blocked.log"

vasek00 · 13 июля, 2017

Сегодня наткнулся на следующие при --local-address=127.0.0.1:65553 --daemonize -R cisco (с Yandex так и не получилось, причина в том что через некоторое время на посылку от роутера по UDP пакета на его IP:порт от него не приходили ответы или они были но роутер их не показал, так как ppe software/ppe hardware или ни ужто провайдер стал не пропускать пакеты, ну да ладно), далее еще интересней с cisco и вот в чем :

cisco,Cisco OpenDNS,....,208.67.220.220,2.dnscrypt-cert.opendns.com...

4 2.577539 IP_роутера 208.67.220.220 QUIC 556 Payload (Encrypted), PKN: 104181ххххххххх7

5 2.789365 208.67.220.220 IP_роутера QUIC 456 443 → 57933 Len=412[Malformed Packet]

видимо Wireshark не готов к такому повороту или готов но тогда в пакете проблема

Скрытый текст

Frame 5: 456 bytes on wire (3648 bits), 456 bytes captured (3648 bits)
Linux cooked capture
Internet Protocol Version 4, Src: 208.67.220.220, Dst: Dst: IP_роутера
User Datagram Protocol, Src Port: 443, Dst Port: 57933
QUIC (Quick UDP Internet Connections)
[Malformed Packet: QUIC]
    [Expert Info (Error/Malformed): Malformed Packet (Exception occurred)]
        [Malformed Packet (Exception occurred)]
        [Severity level: Error]
        [Group: Malformed]

6 2.794738 IP_роутера 208.67.220.220 QUIC 556 Payload (Encrypted), PKN: 104181ххххххххх7

7 2.834409 IP_роутера 208.67.220.220 QUIC 556 Payload (Encrypted), PKN: 104181ххххххххх7

8 2.994772 208.67.220.220 IP_роутера QUIC 348 443 → 57933 Len=304[Malformed Packet]

Скрытый текст

Frame 8: 348 bytes on wire (2784 bits), 348 bytes captured (2784 bits)
Linux cooked capture
Internet Protocol Version 4, Src: 208.67.220.220, Dst: IP_роутера
User Datagram Protocol, Src Port: 443, Dst Port: 57933
QUIC (Quick UDP Internet Connections)
    Public Flags: 0x72
    Tag: 6fnv (Unknown Tag)
    Tag Number: 27223
    Padding: 383c
    Tag/value: �P�� (Unknown) (l=34951354)
[Malformed Packet: QUIC]
    [Expert Info (Error/Malformed): Malformed Packet (Exception occurred)]
        [Malformed Packet (Exception occurred)]
        [Severity level: Error]
        [Group: Malformed]

9 3.447203 208.67.220.220 IP_роутера QUIC 412 443 → 57933 Len=368[Malformed Packet]

10 3.455360 IP_роутера 208.67.220.220 QUIC 556 Payload (Encrypted), PKN: 104181ххххххххх7

11 3.513705 208.67.220.220 IP_роутера QUIC 284 443 → 57933 Len=240[Malformed Packet]

Скрытый текст

Frame 11: 284 bytes on wire (2272 bits), 284 bytes captured (2272 bits)
Linux cooked capture
Internet Protocol Version 4, Src: 208.67.220.220, Dst: IP_роутера
User Datagram Protocol, Src Port: 443, Dst Port: 57933
QUIC (Quick UDP Internet Connections)
    Public Flags: 0x72
    Tag: 6fnv (Unknown Tag)
    Tag Number: 27223
    Padding: 38b6
    Tag/value: �� (Unknown) (l=1528123578)
        Tag Type: \357\277\275\357\277\275\357\277\275\357\277\275 (Unknown)
        Tag offset end: 1528123578
        [Tag length: 1528123578]
            [Expert Info (Note/Malformed): Truncated Tag Length...]
                [Truncated Tag Length...]
                [Severity level: Note]
                [Group: Malformed]
[Malformed Packet: QUIC]
    [Expert Info (Error/Malformed): Malformed Packet (Exception occurred)]
        [Malformed Packet (Exception occurred)]
        [Severity level: Error]
        [Group: Malformed]

Удивило применение QUIC как альтернатива UDP в новой редакции или https://habrahabr.ru/company/infopulse/blog/315172/ но если на это не смотреть то все работает и страницы как то открываются, но огорчает что

Скрытый текст

QuicErrorCodes

The number to code mappings for QuicErrorCodes are currently defined in the Chromium source code in src/net/quic/quic_protocol.h. (TODO: hardcode numbers and add them here)

QUIC_NO_ERROR: There was no error. This is not valid for RST_STREAM frames or CONNECTION_CLOSE frames
QUIC_STREAM_DATA_AFTER_TERMINATION: There were data frames after the a fin or reset.
QUIC_SERVER_ERROR_PROCESSING_STREAM: There was some server error which halted stream processing.
QUIC_MULTIPLE_TERMINATION_OFFSETS: The sender received two mismatching fin or reset offsets for a single stream.
QUIC_BAD_APPLICATION_PAYLOAD: The sender received bad application data.
QUIC_INVALID_PACKET_HEADER: The sender received a malformed packet header.
QUIC_INVALID_FRAME_DATA: The sender received an frame data. The more detailed error codes below are prefered where possible.
QUIC_INVALID_FEC_DATA: FEC data is malformed.
QUIC_INVALID_RST_STREAM_DATA: Stream rst data is malformed
QUIC_INVALID_CONNECTION_CLOSE_DATA: Connection close data is malformed.
QUIC_INVALID_ACK_DATA: Ack data is malformed.
QUIC_DECRYPTION_FAILURE: There was an error decrypting.
QUIC_ENCRYPTION_FAILURE: There was an error encrypting.
QUIC_PACKET_TOO_LARGE: The packet exceeded MaxPacketSize.
QUIC_PACKET_FOR_NONEXISTENT_STREAM: Data was sent for a stream which did not exist.
QUIC_CLIENT_GOING_AWAY: The client is going away (browser close, etc.)
QUIC_SERVER_GOING_AWAY: The server is going away (restart etc.)
QUIC_INVALID_STREAM_ID: A stream ID was invalid.
QUIC_TOO_MANY_OPEN_STREAMS: Too many streams already open.
QUIC_CONNECTION_TIMED_OUT: We hit our pre-negotiated (or default) timeout
QUIC_CRYPTO_TAGS_OUT_OF_ORDER: Handshake message contained out of order tags.
QUIC_CRYPTO_TOO_MANY_ENTRIES: Handshake message contained too many entries.
QUIC_CRYPTO_INVALID_VALUE_LENGTH: Handshake message contained an invalid value length.
QUIC_CRYPTO_MESSAGE_AFTER_HANDSHAKE_COMPLETE: A crypto message was received after the handshake was complete.
QUIC_INVALID_CRYPTO_MESSAGE_TYPE: A crypto message was received with an illegal message tag.
QUIC_SEQUENCE_NUMBER_LIMIT_REACHED: Transmitting an additional packet would cause a packet number to be reused.

QUIC_INVALID_PACKET_HEADER: The sender received a malformed packet header.
QUIC_INVALID_FEC_DATA: FEC data is malformed.
QUIC_INVALID_RST_STREAM_DATA: Stream rst data is malformed
QUIC_INVALID_CONNECTION_CLOSE_DATA: Connection close data is malformed.
QUIC_INVALID_ACK_DATA: Ack data is malformed.

Все таки ошибка.

https://docs.google.com/document/d/1WJvyZflAO2pq77yOLbp9NsGjC1CHetAXV8I0fQe-B_U/edit#heading=h.cs6n3upsak3e

Изменено 13 июля, 2017 пользователем vasek00

IgaX · 13 июля, 2017

35 минут назад, vasek00 сказал:

Удивило применение QUIC

Это необязательно он. Wireshark определяет его по порту, в настройках можно временно изменить на другой для целей исследования. Сам протокол DNSCrypt.

vasek00 · 14 июля, 2017

19 часов назад, IgaX сказал:

Это необязательно он. Wireshark определяет его по порту, в настройках можно временно изменить на другой для целей исследования. Сам протокол DNSCrypt.

Попробовал на другие сервера - получил на не стандартных портах UDP на 443 QUIC. Возможно так и есть.

vasek00 · 26 июля, 2017

В виду невозможности использовать конфиг для данного релиза DNSCrypt-proxy подправил dnsmasq и сам DNSCrypt-proxy (для пробы пока на два resolver - cisco и d0wn-ru-ns1)

Скрытый текст

dnsmasq.conf

interface=br0
bind-interfaces
listen-address=127.0.0.1, 192.168.1.100
server=127.0.0.1#60053
server=127.0.0.1#60153
no-resolv
addn-hosts=/opt/tmp/hosts0
addn-hosts=/opt/tmp/malwaredom_block.host
addn-hosts=/opt/tmp/mvps_block.host
cache-size=1500

log-queries
log-facility=/opt/var/log/dnsmasq.log
log-async=25

S**dnscrypt-proxy (для проверки, пока такой командой star/restart)

#!/bin/sh

ENABLED=yes
PROCS=dnscrypt-proxy
PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
ARGS="-p /opt/var/run/dnscrypt-proxy.60053.pid -a 127.0.0.1:60053 -d –e 1252 -l /opt/tmp/dnscrypt-proxy.60053.log -m 7 -R cisco"
PREARGS=""
DESC=

. /opt/etc/init.d/rc.func

dnscrypt-proxy -p /opt/var/run/dnscrypt-proxy.60153.pid -a 127.0.0.1:60153 -d –e 1252 -l /opt/tmp/dnscrypt-proxy.60153.log -m 7 -T -R d0wn-ru-ns1

В результате получили два потока (шифрования) для DNS запросов на разные resolver с разными протоколами - cisco (поток UDP) и d0wn-ru-ns1 (поток TCP)

Скрытый текст

/opt/var/log/dnsmasq.log

Jul 26 11:15:36 dnsmasq[8978]: started, version 2.77test4 cachesize 1500
Jul 26 11:15:36 dnsmasq[8978]: compile time options: IPv6 GNU-getopt no-RTC no-DBus no-i18n no-IDN DHCP DHCPv6 no-Lua TFTP conntrack ipset auth no-DNSSEC no-ID loop-detect inotify
Jul 26 11:15:36 dnsmasq[8978]: using nameserver 127.0.0.1#65153
Jul 26 11:15:36 dnsmasq[8978]: using nameserver 127.0.0.1#65053
Jul 26 11:15:36 dnsmasq[8978]: read /opt/etc/hosts - 2 addresses
Jul 26 11:15:36 dnsmasq[8978]: read /opt/tmp/mvps_block.host - 13273 addresses
Jul 26 11:15:36 dnsmasq[8978]: read /opt/tmp/malwaredom_block.host - 1157 addresses
Jul 26 11:15:36 dnsmasq[8978]: read /opt/tmp/hosts0 - 101 addresses

/opt/etc/init.d # lsof -ni | grep dnscrypt
dnscrypt- 8642   root    9u IPv4 29373      0t0 UDP 127.0.0.1:60053
dnscrypt- 8642   root   10u IPv4 29374      0t0 UDP *:34077
dnscrypt- 8642   root   11u IPv4 29375      0t0 TCP 127.0.0.1:60053 (LISTEN)
dnscrypt- 8646   root    9u IPv4 29981      0t0 UDP 127.0.0.1:60153
dnscrypt- 8646   root   11u IPv4 29983      0t0 TCP 127.0.0.1:60153 (LISTEN)
/opt/etc/init.d #

/ # ps | grep dns
5807 nobody    3948 S    dnsmasq
8642 root      4068 S    dnscrypt-proxy -p /opt/var/run/dnscrypt-proxy.60053.pid -a 127.0.0.1:60053 -d 1252 -l /opt/tmp/dnscrypt-proxy.60053.log -m 7 -
8646 root      4068 S    dnscrypt-proxy -p /opt/var/run/dnscrypt-proxy.60153.pid -a 127.0.0.1:60153 -d 1252 -l /opt/tmp/dnscrypt-proxy.60153.log -m 7 -
/ #

/opt/tmp/dnscrypt-proxy.60153.log

Wed Jul 26 11:01:45 2017 [NOTICE] Starting dnscrypt-proxy 1.9.5
Wed Jul 26 11:01:45 2017 [INFO] Generating a new session key pair
Wed Jul 26 11:01:45 2017 [INFO] Done
Wed Jul 26 11:01:45 2017 [INFO] Server certificate with serial #1501041 received
Wed Jul 26 11:01:45 2017 [INFO] This certificate is valid
Wed Jul 26 11:01:45 2017 [INFO] Chosen certificate #1501041 is valid from [2017-07-26] to [2017-07-27]
Wed Jul 26 11:01:45 2017 [INFO] Server key fingerprint is 2307:A5C1:A436:A2F7:1FA7:...:EE57
Wed Jul 26 11:01:45 2017 [NOTICE] Proxying from 127.0.0.1:60153 to 91.214.71.181:443

/opt/tmp/dnscrypt-proxy.60053.log

Wed Jul 26 11:01:45 2017 [NOTICE] Starting dnscrypt-proxy 1.9.5
Wed Jul 26 11:01:45 2017 [INFO] Generating a new session key pair
Wed Jul 26 11:01:45 2017 [INFO] Done
Wed Jul 26 11:01:45 2017 [INFO] Server certificate with serial #1490488 received
Wed Jul 26 11:01:45 2017 [INFO] This certificate is valid
Wed Jul 26 11:01:45 2017 [INFO] Chosen certificate #1490488 is valid from [2017-03-24] to [2018-03-24]
Wed Jul 26 11:01:45 2017 [INFO] The key rotation period for this server may exceed the recommended value. This is bad for forward secrecy.
Wed Jul 26 11:01:45 2017 [INFO] Server key fingerprint is E7F8:4477:BF89:1434:1ECE:.....:F778
Wed Jul 26 11:01:45 2017 [NOTICE] Proxying from 127.0.0.1:60053 to 208.67.220.220:443

/proc/8646/net # hostip -r 127.0.0.1 google.com
173.194.32.160
173.194.32.165
173.194.32.168
173.194.32.169
173.194.32.161
173.194.32.174
173.194.32.163
173.194.32.162
173.194.32.167
173.194.32.166
173.194.32.164
/proc/8646/net #

vasek00 · 4 августа, 2017

После недельного "тупизма" на роутере при связке dnsmasq+dnscrypt-proxy тупизм в том что при настройках (даже когда в схеме один роутер + интернет) когда по долгу читаешь страницы в интернете то появляются куча

Скрытый текст

no-resolv
interface=br0
bind-interfaces
listen-address=192.168.130.100
server=127.0.0.1#60053

dnscrypt-proxy => 127.0.0.1:65053 --d -R cisco

localhost:38552 localhost:domain TIME_WAIT

или

udp      17 26 src=127.0.0.1 dst=127.0.0.1 sport=56695 dport=60053 packets=10 bytes=680 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=56695 packets=0 bytes=0 mark=0 use=2
udp      17 16 src=127.0.0.1 dst=127.0.0.1 sport=56846 dport=60053 packets=10 bytes=570 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=56846 packets=0 bytes=0 mark=0 use=2
udp      17 9 src=127.0.0.1 dst=127.0.0.1 sport=38305 dport=60053 packets=10 bytes=610 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=38305 packets=0 bytes=0 mark=0 use=2
udp      17 12 src=127.0.0.1 dst=127.0.0.1 sport=13396 dport=60053 packets=10 bytes=630 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=13396 packets=0 bytes=0 mark=0 use=2
udp      17 9 src=127.0.0.1 dst=127.0.0.1 sport=10493 dport=60053 packets=2 bytes=112 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=10493 packets=0 bytes=0 mark=0 use=2
udp      17 5 src=127.0.0.1 dst=127.0.0.1 sport=41603 dport=60053 packets=10 bytes=710 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=41603 packets=0 bytes=0 mark=0 use=2
udp      17 3 src=127.0.0.1 dst=127.0.0.1 sport=9064 dport=60053 packets=10 bytes=600 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=9064 packets=0 bytes=0 mark=0 use=2

а так же пролет запроса DNS не туда куда надо

udp      17 20 src=IP_белый_Zyxel dst=IP_DNS_провайдера sport=48138 dport=53 packets=1 bytes=66 src=IP_DNS_провайдера dst=IP_белый_Zyxel sport=53 dport=48138 packets=1 bytes=116 mark=0 use=2

из-за 

dnsmasq    907      nobody    4u     IPv4       2691      0t0        UDP 192.168.1.100:domain 
dnsmasq    907      nobody    5u     IPv4       2692      0t0        TCP 192.168.1.100:domain (LISTEN)
dnsmasq    907      nobody    6u     IPv4       2693      0t0        UDP localhost:domain 
dnsmasq    907      nobody    7u     IPv4       2694      0t0        TCP localhost:domain (LISTEN)
dnsmasq    907      nobody    8u     IPv6       2695      0t0        UDP [fe80::...:e2a8]:domain 
dnsmasq    907      nobody    9u     IPv6       2696      0t0        TCP [fe80::...:e2a8]:domain (LISTEN)
dnsmasq    907      nobody   10u     IPv6       2697      0t0        UDP localhost:domain 
dnsmasq    907      nobody   11u     IPv6       2698      0t0        TCP localhost:domain (LISTEN)

Решил попробовать другую связку с dnsmasq+https_dns_proxy (до следующих обновлений сервисов dnsmasq dnscrypt-proxy и библиотек для них в Entware)

1.dnsmasq остаеться со своими настройками

2. https_dns_proxy насраивается на порт 60053 (сервера будут googla)

ARGS="-a 127.0.0.1 -p 65053 -d"

Итак имеем

 9855 nobody    6256 S    https_dns_proxy -a 127.0.0.1 -p 60053 -d

tcp        0      0 localhost:domain        0.0.0.0:*               LISTEN      907/dnsmasq
tcp        0      0 192.168.1.100:domain    0.0.0.0:*               LISTEN      907/dnsmasq
tcp        0      0 localhost:domain        :::*                    LISTEN      907/dnsmasq
tcp        0      0 fe80::.........8:domain :::*                    LISTEN      907/dnsmasq
udp        0      0 localhost:60053         0.0.0.0:*                           9855/https_dns_prox
udp        0      0 localhost:domain        0.0.0.0:*                           907/dnsmasq
udp        0      0 192.168.1.100:domain    0.0.0.0:*                           907/dnsmasq
udp        0      0 localhost:domain        :::*                                907/dnsmasq
udp        0      0 fe80::................8:domain :::*                         907/dnsmasq

vlad · 4 августа, 2017

2 часа назад, vasek00 сказал:

После недельного "тупизма" на роутере при связке dnsmasq+dnscrypt-proxy тупизм в том что при настройках (даже когда в схеме один роутер + интернет) когда по долгу читаешь страницы в интернете то появляются куча

Показать содержимое

no-resolv
interface=br0
bind-interfaces
listen-address=192.168.130.100
server=127.0.0.1#60053

dnscrypt-proxy => 127.0.0.1:65053 --d -R cisco

localhost:38552 localhost:domain TIME_WAIT

или


udp      17 26 src=127.0.0.1 dst=127.0.0.1 sport=56695 dport=60053 packets=10 bytes=680 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=56695 packets=0 bytes=0 mark=0 use=2
udp      17 16 src=127.0.0.1 dst=127.0.0.1 sport=56846 dport=60053 packets=10 bytes=570 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=56846 packets=0 bytes=0 mark=0 use=2
udp      17 9 src=127.0.0.1 dst=127.0.0.1 sport=38305 dport=60053 packets=10 bytes=610 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=38305 packets=0 bytes=0 mark=0 use=2
udp      17 12 src=127.0.0.1 dst=127.0.0.1 sport=13396 dport=60053 packets=10 bytes=630 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=13396 packets=0 bytes=0 mark=0 use=2
udp      17 9 src=127.0.0.1 dst=127.0.0.1 sport=10493 dport=60053 packets=2 bytes=112 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=10493 packets=0 bytes=0 mark=0 use=2
udp      17 5 src=127.0.0.1 dst=127.0.0.1 sport=41603 dport=60053 packets=10 bytes=710 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=41603 packets=0 bytes=0 mark=0 use=2
udp      17 3 src=127.0.0.1 dst=127.0.0.1 sport=9064 dport=60053 packets=10 bytes=600 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=9064 packets=0 bytes=0 mark=0 use=2

а так же пролет запроса DNS не туда куда надо


udp      17 20 src=IP_белый_Zyxel dst=IP_DNS_провайдера sport=48138 dport=53 packets=1 bytes=66 src=IP_DNS_провайдера dst=IP_белый_Zyxel sport=53 dport=48138 packets=1 bytes=116 mark=0 use=2

из-за 

dnsmasq    907      nobody    4u     IPv4       2691      0t0        UDP 192.168.1.100:domain 
dnsmasq    907      nobody    5u     IPv4       2692      0t0        TCP 192.168.1.100:domain (LISTEN)
dnsmasq    907      nobody    6u     IPv4       2693      0t0        UDP localhost:domain 
dnsmasq    907      nobody    7u     IPv4       2694      0t0        TCP localhost:domain (LISTEN)
dnsmasq    907      nobody    8u     IPv6       2695      0t0        UDP [fe80::...:e2a8]:domain 
dnsmasq    907      nobody    9u     IPv6       2696      0t0        TCP [fe80::...:e2a8]:domain (LISTEN)
dnsmasq    907      nobody   10u     IPv6       2697      0t0        UDP localhost:domain 
dnsmasq    907      nobody   11u     IPv6       2698      0t0        TCP localhost:domain (LISTEN)

Решил попробовать другую связку с dnsmasq+https_dns_proxy (до следующих обновлений сервисов dnsmasq dnscrypt-proxy и библиотек для них в Entware)


1.dnsmasq остаеться со своими настройками

2. https_dns_proxy насраивается на порт 60053 (сервера будут googla)


ARGS="-a 127.0.0.1 -p 65053 -d"

Итак имеем


 9855 nobody    6256 S    https_dns_proxy -a 127.0.0.1 -p 60053 -d

tcp        0      0 localhost:domain        0.0.0.0:*               LISTEN      907/dnsmasq
tcp        0      0 192.168.1.100:domain    0.0.0.0:*               LISTEN      907/dnsmasq
tcp        0      0 localhost:domain        :::*                    LISTEN      907/dnsmasq
tcp        0      0 fe80::.........8:domain :::*                    LISTEN      907/dnsmasq
udp        0      0 localhost:60053         0.0.0.0:*                           9855/https_dns_prox
udp        0      0 localhost:domain        0.0.0.0:*                           907/dnsmasq
udp        0      0 192.168.1.100:domain    0.0.0.0:*                           907/dnsmasq
udp        0      0 localhost:domain        :::*                                907/dnsmasq
udp        0      0 fe80::................8:domain :::*                         907/dnsmasq

А что делать с dnscrypt proxy?

vasek00 · 5 августа, 2017

Я его dnscrypt proxy пока отключил переименовав скрипт запуска S* на K*, и пробую связку dnsmasq+https_dns_proxy

vasek00 · 11 августа, 2017

Улучшена работа DNSCrypt-proxy тестовое обновление http://entware-3x.zyxmon.org/binaries/mipsel/test/dnscrypt-proxy_1.9.5-4a_mipsel-3x.ipk и

http://entware-3x.zyxmon.org/binaries/mipsel/test/libsodium_1.0.13-1_mipsel-3x.ipk

Изменено 11 августа, 2017 пользователем vasek00

Dorik1972 · 10 сентября, 2017

В 11.08.2017 в 19:53, vasek00 сказал:

Улучшена работа DNSCrypt-proxy тестовое обновление http://entware-3x.zyxmon.org/binaries/mipsel/test/dnscrypt-proxy_1.9.5-4a_mipsel-3x.ipk и

http://entware-3x.zyxmon.org/binaries/mipsel/test/libsodium_1.0.13-1_mipsel-3x.ipk

Отлично пашет ... и blacklist-domains c автообновлением списочка поддерживается и white-list , т.е. кто пользуется dnsmasq для фильтрации по hosts - можно не пользоваться ибо теперь dnscrypt-прокси теперь это умеет само. И родной dnscrypt-proxy.conf прекрасно заработал со всеми вкусностями и фичами ! Вот спасибки !

+ если rng-tools засетапить то можно воспользоваться и всеми "плюшками" от автора dnscrypt-proxy -> https://github.com/jedisct1/dnscrypt-proxy/tree/master/contrib , чуть-чуть "подшаманив" для zyxelя ...

И все шустро .... очень шустро работает...

vlad · 17 сентября, 2017

В 10.09.2017 в 21:30, Dorik1972 сказал:

И родной dnscrypt-proxy.conf прекрасно заработал со всеми вкусностями и фичами ! Вот спасибки !

Поделитесь опытом как настраивали новую версию dnscrypt. Было бы не плохо отсекать рекламу средствами dnscrypt-proxy.

vlad · 17 сентября, 2017

В 10.09.2017 в 21:30, Dorik1972 сказал:

И родной dnscrypt-proxy.conf

Куда положить файл с настройками?

vasek00 · 17 сентября, 2017

1 час назад, vlad сказал:

Куда положить файл с настройками?

Example: dnscrypt-proxy /opt/etc/dnscrypt-proxy.conf

Options:

  -R    --resolver-name=...
  -a    --local-address=...
  -d    --daemonize
  -E    --ephemeral-keys
  -K    --client-key=...
  -L    --resolvers-list=...
  -l    --logfile=...
  -m    --loglevel=...
  -p    --pidfile=...
  -X    --plugin=...
  -N    --provider-name=...
  -k    --provider-key=...
  -r    --resolver-address=...
  -S    --syslog
  -Z    --syslog-prefix=...
  -n    --max-active-requests=...
  -u    --user=...
  -t    --test=...
  -T    --tcp-only
  -e    --edns-payload-size=...
  -I    --ignore-timestamps
  -V    --version
  -h    --help

Dorik1972 · 17 сентября, 2017

8 часов назад, vlad сказал:

Куда положить файл с настройками?

dnscrypt-proxy.conf можно взять родной с гита и поправить пути /opt/ и т.д.

Запускать из init.d слегка переделанным родным скриптиком, дело в том что при запуске надо как аргумент передавать файл настроек

ENABLED=yes                                                                                                   
PROCS=dnscrypt-proxy                                                                                           
ARGS="/opt/etc/dnscrypt-proxy.conf"

Соответственно где dnscrypt-proxy.conf "покладете" такой путь и передавать

По настройке "отсекания" рекламы - так там проще паренной репы в dnscrypt-proxy.conf

BlackList domains:"/opt/etc/dnscrypt-blacklist-domains.txt"

Собственно опять же .. куда "покладете" туда и путь .... Все обновлялки листов и "чекеры" работоспособности текущих dns-серверов есть на гите (ссылку я давал в предыдущем сообщении)... часть на башике часть на питоне ... там все прозрачно и понятно надо просто организовать периодичность обновления , например раз в неделю + маленько подкорректировать под наших "зверьков" пути и прочее.... Единственно что я от себя добавил в domains-blacklist.conf

# EasyList
https://easylist-downloads.adblockplus.org/easyprivacy+easylist.txt
https://easylist-downloads.adblockplus.org/advblock.txt
https://easylist-downloads.adblockplus.org/adwarefilters.txt
https://easylist-downloads.adblockplus.org/antiadblockfilters.txt
https://easylist-downloads.adblockplus.org/cntblock.txt
https://easylist-downloads.adblockplus.org/bitblock.txt

Ибо данные "листы" наиболее заточены под "кириличный" сегмент сети ))) , ну в моем понимании процесса ..... Остальные - не трогал и оставил как есть.

И еще я в dnscrypt-proxy.conf использую

ResolverName fvz-anyone

Просто "мегашустрый" резолвер ... рекомендую попробовать и сравнить с остальными ... + поддержа .namecoin ну то такое .. на любителя ... в общем welcome to OpenNIC

p.s. Если надумаете пользоваться скриптом dnscrypt-resolvers-check.sh то будет ругаться на "недоэнтропию" ... решается установкой opkg install rng-tools и добавлением скриптика с организацией запуска при старте "зверька" , в начале не забудьте #!/bin/sh (формочка на форуме не сохраняет)

ENABLED=yes                                                                                                            
PROCS=rngd                                                                                                             
ARGS="-r /dev/urandom --pid-file=/opt/var/run/rngd.pid"
PREARGS="" 
DESC=$PROCS                                                                                                            
PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin                      
. /opt/etc/init.d/rc.func

p.s.s. https://github.com/jedisct1/dnscrypt-proxy/blob/master/man/dnscrypt-proxy.8.markdown

p.s.s.s. Архив из вложения распаковать в /opt/etc/ - появится папака dnscrypt-proxy со всеми "адаптированными" под Entware скриптами-обновлялками. Ниже скрипт для crone.weekly для еженедельного обновления .... ( opkg install bash - ну или сами под sh "перецарапайте")

#!/opt/bin/bash                                                                                                        
prefix="/opt"                                                                                                          
PATH=${prefix}/bin:${prefix}/sbin:/sbin:/bin:/usr/sbin:/usr/bin                                                        
                                                                                                                       
/opt/etc/dnscrypt-proxy/dnscrypt-update-resolvers.sh                                                                   
/opt/etc/dnscrypt-proxy/dnscrypt-resolvers-check.sh                                                                    
                                                                                                                       
cd /opt/etc/dnscrypt-proxy/                                                                                            
python generate-domains-blacklist.py > list.txt.tmp && mv -f list.txt.tmp /opt/etc/dnscrypt-blacklist-domains.txt      
                                                                                                                       
/opt/etc/init.d/S57dnscrypt-proxy restart                                                                              
                                                                                                                       
exit

dnscrypt-scrypt.tar.gz

Изменено 17 сентября, 2017 пользователем Dorik1972
добавил скрипты-обновлялки подкорректированные для Entware

vlad · 17 сентября, 2017

Спасибо огромное. Думаю ваш развернутый ответ будет полезен не только для меня !!

Изменено 17 сентября, 2017 пользователем vlad

vlad · 19 сентября, 2017

/opt/etc/dnscrypt-proxy/dnscrypt.conf
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 16: ResolverName: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 25: ResolversList: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 78: LocalCache: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 86: EphemeralKeys: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 159: BlockIPv6: not found

Не запускается dnscrypt.

Помогите;)))

Может еще какие-то пакеты необходимо доустановить?

Вот что установлено

opkg list-installed
bash - 4.3.42-1a
busybox - 1.25.1-2
cron - 4.1-3
curl - 7.54.0-1
dnscrypt-proxy - 1.9.5-4a
dnscrypt-proxy-resolvers - 1.9.5+git-20161129-f17bace-2
dropbear - 2017.75-1a
file - 5.25-1
findutils - 4.6.0-1
glib2 - 2.50.3-1
ldconfig - 2.25-8
libattr - 20160302-1
libblkid - 2.29.2-1
libbz2 - 1.0.6-2
libc - 2.25-8
libcurl - 7.54.0-1
libdb47 - 4.7.25.4.NC-5
libexpat - 2.2.0-1
libffi - 3.2.1-2
libgcc - 6.3.0-8
libgdbm - 1.11-1
libiconv-full - 1.11.1-3
libintl-full - 0.19.8.1-1
libldns - 1.6.17-2
libltdl - 2.4-2
libmagic - 5.25-1
libmount - 2.29.2-1
libncurses - 6.0-1c
libncursesw - 6.0-1c
libndm - 1.1.0-1a
libopenssl - 1.0.2k-1
libpcre - 8.40-2
libpthread - 2.25-8
librt - 2.25-8
libslang2 - 2.3.1a-1
libsodium - 1.0.13-1
libsqlite3 - 3170000-1
libssh2 - 1.7.0-1
libssp - 6.3.0-8
libstdcpp - 6.3.0-8
libuuid - 2.29.2-1
libxml2 - 2.9.4-1
locales - 2.25-8
mc - 4.8.19-1a
nano - 2.7.5-1
ndmq - 1.0.2-1a
opt-ndmsv2 - 1.0-8a
php5 - 5.6.30-1
python - 2.7.13-5
python-base - 2.7.13-5
python-codecs - 2.7.13-5
python-compiler - 2.7.13-5
python-ctypes - 2.7.13-5
python-db - 2.7.13-5
python-decimal - 2.7.13-5
python-distutils - 2.7.13-5
python-email - 2.7.13-5
python-gdbm - 2.7.13-5
python-light - 2.7.13-5
python-logging - 2.7.13-5
python-multiprocessing - 2.7.13-5
python-ncurses - 2.7.13-5
python-openssl - 2.7.13-5
python-pydoc - 2.7.13-5
python-sqlite3 - 2.7.13-5
python-unittest - 2.7.13-5
python-xml - 2.7.13-5
rng-tools - 5-5
terminfo - 6.0-1c
zlib - 1.2.11-1
zoneinfo-asia - 2017b-1
zoneinfo-europe - 2017b-1
~ #

Изменено 19 сентября, 2017 пользователем vlad

vlad · 19 сентября, 2017

Python выдает ошибку при попытке подключения к https сайтам из domains-blacklist.conf

Loading data from [https://easylist-downloads.adblockplus.org/easyprivacy+easylist.txt]
[https://easylist-downloads.adblockplus.org/easyprivacy+easylist.txt] could not be loaded: <urlopen error [SSL: CERTIFICATE_VERIFY_FAILED] unknown error (_ssl.c:661)>

Сам себе отвечаю;)) эта проблема решилась путём отката на 2.09

Изменено 20 сентября, 2017 пользователем vlad

Rbuha · 20 сентября, 2017

В 01.03.2017 в 21:50, KorDen сказал:

У меня так Unbound (с DNSSEC) стоит уже год

Ув. @KorDen, могли бы вы поделиться инструкцией по установке и настройке unbound в Entware-3x?

Изменено 20 сентября, 2017 пользователем Buha

vlad · 20 сентября, 2017

В 17.09.2017 в 16:11, Dorik1972 сказал:

ARGS="/opt/etc/dnscrypt-proxy.conf"

Ответь пожалуйста как вы запустили dnscrypt-proxy положив файл с настройками. Что то никак не могу запустить.

Dorik1972 · 20 сентября, 2017

8 минут назад, vlad сказал:

Ответь пожалуйста как вы запустили dnscrypt-proxy положив файл с настройками. Что то никак не могу запустить.

??? Постов 5-6 тому я выложил все рабочие скрипты взятые прямо с РАБОТАЮЩЕГО "зверька" ? Что значит как ??

Вот еще раз содержимое скрипта из папки /opt/etc/init.d/ который запускает dnscrypt-proxy

                                                                                                                       
#!/bin/sh                                                                                                              
                                                                                                                       
ENABLED=yes                                                                                                            
PROCS=dnscrypt-proxy                                                                                                   
ARGS="/opt/etc/dnscrypt-proxy.conf"                                                                                    
PREARGS=""                                                                                                             
DESC=$PROCS                                                                                                            
PATH=/opt/sbin:/opt/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin                                   
                                                                                                                       
. /opt/etc/init.d/rc.func

ЧТО ТАМ НЕПОНЯТНОГО????

vlad · 20 сентября, 2017

6 минут назад, Dorik1972 сказал:

ЧТО ТАМ НЕПОНЯТНОГО????

Извините за назойливость;))) Ровно так и сделал как вы указывали. Не запускается.Ругается на вот эти строки

/opt/etc/dnscrypt-proxy/dnscrypt.conf
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 16: ResolverName: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 25: ResolversList: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 78: LocalCache: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 86: EphemeralKeys: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 159: BlockIPv6: not found

Образец dnscrypt-proxy.conf брал с оф сайта. Изменил только ResolverName cisco.

Изменено 20 сентября, 2017 пользователем vlad

Dorik1972 · 20 сентября, 2017

32 минуты назад, vlad сказал:

Извините за назойливость;))) Ровно так и сделал как вы указывали. Не запускается.Ругается на вот эти строки

/opt/etc/dnscrypt-proxy/dnscrypt.conf
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 16: ResolverName: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 25: ResolversList: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 78: LocalCache: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 86: EphemeralKeys: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 159: BlockIPv6: not found

Образец dnscrypt-proxy.conf брал с оф сайта. Изменил только ResolverName cisco.

Лучше бы Вы были не "назойливым", а более внимательным к прочтению МАТЕРИАЛА .... цитирую сам себя "dnscrypt-proxy.conf можно взять родной с гита и поправить пути /opt/ и т.д." .... еще раз ВДУМЧИВО ... гляньте взором на содержимое файла с гита .... особенно на комментарии ПО КАЖДОМУ из пунктов в которых у Вас, якобы ошибка ...

Вот так ? У Вас ? или ?

ResolverName fvz-anyone
ResolversList /opt/share/dnscrypt-proxy/dnscrypt-resolvers.csv
Daemonize yes
PidFile /opt/var/run/dnscrypt-proxy.pid
LocalAddress <your.keenetic.ip>:65053
LocalCache on
EphemeralKeys off
BlockIPv6 no
BlackList domains:"/opt/etc/dnscrypt-blacklist-domains.txt"

Изменено 20 сентября, 2017 пользователем Dorik1972

vlad · 20 сентября, 2017

26 минут назад, Dorik1972 сказал:

ResolverName fvz-anyone ResolversList /opt/share/dnscrypt-proxy/dnscrypt-resolvers.csv Daemonize yes PidFile /opt/var/run/dnscrypt-proxy.pid LocalAddress <your.keenetic.ip>:65053 LocalCache on EphemeralKeys off BlockIPv6 no BlackList domains:"/opt/etc/dnscrypt-blacklist-domains.txt"

Хе-хе;)) не так. Незнал что надо путь к pid указывать и с localadres ошибся. Спасибо за напутствие.

Изменено 20 сентября, 2017 пользователем vlad

vasek00 · 21 сентября, 2017

Приведу еще несколько интересных параметров для использования

...
# ResolverName random
# ResolversList /opt/share/dnscrypt-proxy/dnscrypt-resolvers.csv

# LocalAddress 127.0.0.1:65153
# MaxActiveRequests 250
# EDNSPayloadSize 1252
# IgnoreTimestamps no
# TCPOnly no
# BlockIPv6 no

# QueryLogFile /opt/tmp/dns-queries.log
# LogFile /opt/var/log/dnscrypt-proxy.log
# LogLevel 6
# Syslog       off
# SyslogPrefix dnscrypt

## Block both domain names and IP addresses:
# BlackList domains:"/opt/tmp/dnscrypt-blacklist-domains.txt" ips:"/opt/tmp/dnscrypt-blacklist-ips.txt"

## Same as the above + log the blocked queries in a file.
## The log file can be prefixed with ltsv: (ex: ltsv:/tmp/log.txt) in order to
# BlackList domains:"/opt/tmp/dnscrypt-blacklist-domains.txt" logfile:"/opt/var/log/dnscrypt-blocked.log"
# BlackList ips:"/opt/etc/dnscrypt-blacklist-ips.txt" logfile:"/opt/var/log/dnscrypt-blocked.log"
# BlackList domains:"/opt/etc/dnscrypt-blacklist-domains.txt" ips:"/opt/tmp/dnscrypt-blacklist-ips.txt" logfile:"/opt/var/log/dnscrypt-blocked.log"

По смыслу имен боле менее понятно назначение.

17 часов назад, vlad сказал:

Рекламу режет лучше чем вариант с dnsmasq.

Не поделитесь наработкой в чем лучше по резке рекламы?

vlad · 21 сентября, 2017

1 час назад, vasek00 сказал:

Не поделитесь наработкой в чем лучше по резке рекламы?

Открывал определенные сайты на которых реклама оставался при работе dnsmasq. Список хостов брал отсюда

wget -O /opt/etc/hosts http://winhelp2002.mvps.org/hosts.txt

После Настройки dnscrypt-proxy с block domains рекламы с этих сайтов вырезалась. Пример nnm-club.

Рабочий конфиг

ResolverName random

ResolversList /opt/share/dnscrypt-proxy/dnscrypt-resolvers.csv

Daemonize yes

PidFile /opt/var/run/dnscrypt-proxy.pid

LocalAddress 192.168.1.19:65053

LocalCache on

EphemeralKeys off

BlockIPv6 yes

BlackList domains:"/opt/tmp/blk-names"

EDNSPayloadSize 1252

QueryLogFile /opt/var/log/dns-queries.log

LogFile /opt/var/log/dnscrypt-proxy.log

LogLevel 6

BlackList domains:"/opt/tmp/blk-names" logfile:"/opt/var/log/dnscrypt-blocked.log"

vlad · 21 сентября, 2017

Возможно список хостов в dnsmasq был не полный..занимал около 400 кб. А список block domains весит 1.59 мб. И чисто субъективно после замены dnsmasq на dnscrypt в качестве блокировщика рекламы сайты стали шустрее открываться. Dnsmasq снёс.

Изменено 21 сентября, 2017 пользователем vlad

vasek00 · 21 сентября, 2017

39 минут назад, vlad сказал:

Возможно список хостов в dnsmasq был не полный..занимал около 400 кб. А список block domains весит 1.59 мб. И чисто субъективно после замены dnsmasq на dnscrypt в качестве блокировщика рекламы сайты стали шустрее открываться. Dnsmasq снёс.

Как вы правильно отметили все зависит от списка который нужно фильтровать - "malwaredom_block" - 1157 записей, "mvps_block" - 13237 создавались на основе

Скрытый текст

"http://winhelp2002.mvps.org/hosts.txt"
"http://jansal.googlecode.com/svn/trunk/adblock/hosts"
"http://adblock.gjtech.net/?format=hostfile"
"http://www.hostsfile.org/Downloads/hosts.txt"

wget -qO- http://www.mvps.org/winhelp2002/hosts.txt| sed 's/0.0.0.0/127.0.0.1/g' |grep "^127.0.0.1" > /opt/tmp/block.host
wget -qO- http://www.malwaredomainlist.com/hostslist/hosts.txt|grep "^127.0.0.1" >> /opt/tmp/block.host
wget -qO- "http://adaway.org/hosts.txt"|grep "^127.0.0.1" >> /opt/tmp/block.host
wget -qO- "http://www.malwaredomainlist.com/hostslist/hosts.txt"|grep "^127.0.0.1" >> /opt/tmp/block.host

Судя по вашему ответу

Цитата

Dnsmasq снёс

Предполагаю у вас родной DNS + dnscrypt.

Только остановлюсь на маленькой справке по работе связки - DNSmasq + dnscrypt (без всяких пере направлений 53->5353, а сразу DNSmasq на 53 - "opkg dns-override" ). От клиента приходит запрос на 53 который контролирует DNSmasq, сопоставляя запрос со списком фильтрации он принимает решение отправить сразу моментально ответ клиенту или согласно двум записям (или одной server=) отправить его далее на локальный сервис dnscrypt который уже сразу отправляет (тут не используется не какой список, а только функции шифрованного запроса). Так же учтем работу cache который есть везде DNSmasq ключ "cache-size=1500" или даже "cache-size=0" и на клиенте Windows или другом.

vlad · 21 сентября, 2017

16 минут назад, vasek00 сказал:

Предполагаю у вас родной DNS + dnscrypt.

dns от провайдера отключил командой из cli. У меня сейчас работает dnscrypt-proxy плюс два правила в iptables.

Я не совсем понял,получается через dnsmasq должно быстрее работать?

easy-to-use Защита DNS

Рекомендуемые сообщения

Топ авторов темы

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Александр Рыжов

Dorik1972

vasek00

Изображения в теме

QuicErrorCodes

Присоединяйтесь к обсуждению

Последние посетители 0 пользователей онлайн

Важная информация