easy-to-use Защита DNS

Marceline · July 10, 2017

1 час назад, vasek00 сказал:

dnscrypt-proxy /opt/etc/dnscrypt-proxy.conf

ругнулся на Support for plugins hasn't been compiled in .... .

.

Цитата

https://forum.lede-project.org/t/dnscrypt-proxy-does-not-start/

If you want to use 'block_ipv6' option you need compile dnscrypt-proxy with support for plugins.

Тут два варианта: если нужен IPv6 / если нет.

1)пересобрать пакет dnscrypt-proxy с поддержкой плагинов.

2)закомментировать строку 136 #BlockIPv6 no

в entware/openwrt и т.д при сборки пакетов урезан функционал из за багов/сильной нагрузки на слабое железо и т.д

vasek00 · July 10, 2017

2 часа назад, Александр Рыжов сказал:

Яндексовский dnscrypt-сервер глючит с пятнинцы, можете проверить с помощью dig.

Dnscrypt-proxy при этом стартует без ошибок, но сервер ничего не резолвит.

То же подумал, поставил на cisco по стабильней, но так же бывает. Как бы на 1.94 dnscrypt-proxy попробовать обратно, может получше будет. Пока существенно лучше на

793 root 4068 S dnscrypt-proxy --local-address=127.0.0.1:65353 --daemonize --tcp-only -R cisco

увел.число пакетов ~ до 8 = 3 пакета TCP, плюс SSL, плюс TCP, плюс SSL, плюс 2 пакета TCP, по UDP было на много меньше.

Edited July 10, 2017 by vasek00

vasek00 · July 10, 2017

2 часа назад, Marceline сказал:

Тут два варианта: если нужен IPv6 / если нет.

1)пересобрать пакет dnscrypt-proxy с поддержкой плагинов.

2)закомментировать строку 136 #BlockIPv6 no

в entware/openwrt и т.д при сборки пакетов урезан функционал из за багов/сильной нагрузки на слабое железо и т.д

попробуем еще поковырять заинтересовался

# BlackList domains:"/etc/dnscrypt-blacklist-domains.txt" logfile:"/var/log/dnscrypt-blocked.log"
# BlackList ips:"/etc/dnscrypt-blacklist-ips.txt" logfile:"/var/log/dnscrypt-blocked.log"
# BlackList domains:"/etc/dnscrypt-blacklist-domains.txt" ips:"/etc/dnscrypt-blacklist-ips.txt" logfile:"/var/log/dnscrypt-blocked.log"

vasek00 · July 13, 2017

Сегодня наткнулся на следующие при --local-address=127.0.0.1:65553 --daemonize -R cisco (с Yandex так и не получилось, причина в том что через некоторое время на посылку от роутера по UDP пакета на его IP:порт от него не приходили ответы или они были но роутер их не показал, так как ppe software/ppe hardware или ни ужто провайдер стал не пропускать пакеты, ну да ладно), далее еще интересней с cisco и вот в чем :

cisco,Cisco OpenDNS,....,208.67.220.220,2.dnscrypt-cert.opendns.com...

4 2.577539 IP_роутера 208.67.220.220 QUIC 556 Payload (Encrypted), PKN: 104181ххххххххх7

5 2.789365 208.67.220.220 IP_роутера QUIC 456 443 → 57933 Len=412[Malformed Packet]

видимо Wireshark не готов к такому повороту или готов но тогда в пакете проблема

Скрытый текст

Frame 5: 456 bytes on wire (3648 bits), 456 bytes captured (3648 bits)
Linux cooked capture
Internet Protocol Version 4, Src: 208.67.220.220, Dst: Dst: IP_роутера
User Datagram Protocol, Src Port: 443, Dst Port: 57933
QUIC (Quick UDP Internet Connections)
[Malformed Packet: QUIC]
    [Expert Info (Error/Malformed): Malformed Packet (Exception occurred)]
        [Malformed Packet (Exception occurred)]
        [Severity level: Error]
        [Group: Malformed]

6 2.794738 IP_роутера 208.67.220.220 QUIC 556 Payload (Encrypted), PKN: 104181ххххххххх7

7 2.834409 IP_роутера 208.67.220.220 QUIC 556 Payload (Encrypted), PKN: 104181ххххххххх7

8 2.994772 208.67.220.220 IP_роутера QUIC 348 443 → 57933 Len=304[Malformed Packet]

Скрытый текст

Frame 8: 348 bytes on wire (2784 bits), 348 bytes captured (2784 bits)
Linux cooked capture
Internet Protocol Version 4, Src: 208.67.220.220, Dst: IP_роутера
User Datagram Protocol, Src Port: 443, Dst Port: 57933
QUIC (Quick UDP Internet Connections)
    Public Flags: 0x72
    Tag: 6fnv (Unknown Tag)
    Tag Number: 27223
    Padding: 383c
    Tag/value: �P�� (Unknown) (l=34951354)
[Malformed Packet: QUIC]
    [Expert Info (Error/Malformed): Malformed Packet (Exception occurred)]
        [Malformed Packet (Exception occurred)]
        [Severity level: Error]
        [Group: Malformed]

9 3.447203 208.67.220.220 IP_роутера QUIC 412 443 → 57933 Len=368[Malformed Packet]

10 3.455360 IP_роутера 208.67.220.220 QUIC 556 Payload (Encrypted), PKN: 104181ххххххххх7

11 3.513705 208.67.220.220 IP_роутера QUIC 284 443 → 57933 Len=240[Malformed Packet]

Скрытый текст

Frame 11: 284 bytes on wire (2272 bits), 284 bytes captured (2272 bits)
Linux cooked capture
Internet Protocol Version 4, Src: 208.67.220.220, Dst: IP_роутера
User Datagram Protocol, Src Port: 443, Dst Port: 57933
QUIC (Quick UDP Internet Connections)
    Public Flags: 0x72
    Tag: 6fnv (Unknown Tag)
    Tag Number: 27223
    Padding: 38b6
    Tag/value: �� (Unknown) (l=1528123578)
        Tag Type: \357\277\275\357\277\275\357\277\275\357\277\275 (Unknown)
        Tag offset end: 1528123578
        [Tag length: 1528123578]
            [Expert Info (Note/Malformed): Truncated Tag Length...]
                [Truncated Tag Length...]
                [Severity level: Note]
                [Group: Malformed]
[Malformed Packet: QUIC]
    [Expert Info (Error/Malformed): Malformed Packet (Exception occurred)]
        [Malformed Packet (Exception occurred)]
        [Severity level: Error]
        [Group: Malformed]

Удивило применение QUIC как альтернатива UDP в новой редакции или https://habrahabr.ru/company/infopulse/blog/315172/ но если на это не смотреть то все работает и страницы как то открываются, но огорчает что

Скрытый текст

QuicErrorCodes

The number to code mappings for QuicErrorCodes are currently defined in the Chromium source code in src/net/quic/quic_protocol.h. (TODO: hardcode numbers and add them here)

QUIC_NO_ERROR: There was no error. This is not valid for RST_STREAM frames or CONNECTION_CLOSE frames
QUIC_STREAM_DATA_AFTER_TERMINATION: There were data frames after the a fin or reset.
QUIC_SERVER_ERROR_PROCESSING_STREAM: There was some server error which halted stream processing.
QUIC_MULTIPLE_TERMINATION_OFFSETS: The sender received two mismatching fin or reset offsets for a single stream.
QUIC_BAD_APPLICATION_PAYLOAD: The sender received bad application data.
QUIC_INVALID_PACKET_HEADER: The sender received a malformed packet header.
QUIC_INVALID_FRAME_DATA: The sender received an frame data. The more detailed error codes below are prefered where possible.
QUIC_INVALID_FEC_DATA: FEC data is malformed.
QUIC_INVALID_RST_STREAM_DATA: Stream rst data is malformed
QUIC_INVALID_CONNECTION_CLOSE_DATA: Connection close data is malformed.
QUIC_INVALID_ACK_DATA: Ack data is malformed.
QUIC_DECRYPTION_FAILURE: There was an error decrypting.
QUIC_ENCRYPTION_FAILURE: There was an error encrypting.
QUIC_PACKET_TOO_LARGE: The packet exceeded MaxPacketSize.
QUIC_PACKET_FOR_NONEXISTENT_STREAM: Data was sent for a stream which did not exist.
QUIC_CLIENT_GOING_AWAY: The client is going away (browser close, etc.)
QUIC_SERVER_GOING_AWAY: The server is going away (restart etc.)
QUIC_INVALID_STREAM_ID: A stream ID was invalid.
QUIC_TOO_MANY_OPEN_STREAMS: Too many streams already open.
QUIC_CONNECTION_TIMED_OUT: We hit our pre-negotiated (or default) timeout
QUIC_CRYPTO_TAGS_OUT_OF_ORDER: Handshake message contained out of order tags.
QUIC_CRYPTO_TOO_MANY_ENTRIES: Handshake message contained too many entries.
QUIC_CRYPTO_INVALID_VALUE_LENGTH: Handshake message contained an invalid value length.
QUIC_CRYPTO_MESSAGE_AFTER_HANDSHAKE_COMPLETE: A crypto message was received after the handshake was complete.
QUIC_INVALID_CRYPTO_MESSAGE_TYPE: A crypto message was received with an illegal message tag.
QUIC_SEQUENCE_NUMBER_LIMIT_REACHED: Transmitting an additional packet would cause a packet number to be reused.

QUIC_INVALID_PACKET_HEADER: The sender received a malformed packet header.
QUIC_INVALID_FEC_DATA: FEC data is malformed.
QUIC_INVALID_RST_STREAM_DATA: Stream rst data is malformed
QUIC_INVALID_CONNECTION_CLOSE_DATA: Connection close data is malformed.
QUIC_INVALID_ACK_DATA: Ack data is malformed.

Все таки ошибка.

https://docs.google.com/document/d/1WJvyZflAO2pq77yOLbp9NsGjC1CHetAXV8I0fQe-B_U/edit#heading=h.cs6n3upsak3e

Edited July 13, 2017 by vasek00

IgaX · July 13, 2017

35 минут назад, vasek00 сказал:

Удивило применение QUIC

Это необязательно он. Wireshark определяет его по порту, в настройках можно временно изменить на другой для целей исследования. Сам протокол DNSCrypt.

vasek00 · July 14, 2017

19 часов назад, IgaX сказал:

Это необязательно он. Wireshark определяет его по порту, в настройках можно временно изменить на другой для целей исследования. Сам протокол DNSCrypt.

Попробовал на другие сервера - получил на не стандартных портах UDP на 443 QUIC. Возможно так и есть.

vasek00 · July 26, 2017

В виду невозможности использовать конфиг для данного релиза DNSCrypt-proxy подправил dnsmasq и сам DNSCrypt-proxy (для пробы пока на два resolver - cisco и d0wn-ru-ns1)

Скрытый текст

dnsmasq.conf

interface=br0
bind-interfaces
listen-address=127.0.0.1, 192.168.1.100
server=127.0.0.1#60053
server=127.0.0.1#60153
no-resolv
addn-hosts=/opt/tmp/hosts0
addn-hosts=/opt/tmp/malwaredom_block.host
addn-hosts=/opt/tmp/mvps_block.host
cache-size=1500

log-queries
log-facility=/opt/var/log/dnsmasq.log
log-async=25

S**dnscrypt-proxy (для проверки, пока такой командой star/restart)

#!/bin/sh

ENABLED=yes
PROCS=dnscrypt-proxy
PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
ARGS="-p /opt/var/run/dnscrypt-proxy.60053.pid -a 127.0.0.1:60053 -d –e 1252 -l /opt/tmp/dnscrypt-proxy.60053.log -m 7 -R cisco"
PREARGS=""
DESC=

. /opt/etc/init.d/rc.func

dnscrypt-proxy -p /opt/var/run/dnscrypt-proxy.60153.pid -a 127.0.0.1:60153 -d –e 1252 -l /opt/tmp/dnscrypt-proxy.60153.log -m 7 -T -R d0wn-ru-ns1

В результате получили два потока (шифрования) для DNS запросов на разные resolver с разными протоколами - cisco (поток UDP) и d0wn-ru-ns1 (поток TCP)

Скрытый текст

/opt/var/log/dnsmasq.log

Jul 26 11:15:36 dnsmasq[8978]: started, version 2.77test4 cachesize 1500
Jul 26 11:15:36 dnsmasq[8978]: compile time options: IPv6 GNU-getopt no-RTC no-DBus no-i18n no-IDN DHCP DHCPv6 no-Lua TFTP conntrack ipset auth no-DNSSEC no-ID loop-detect inotify
Jul 26 11:15:36 dnsmasq[8978]: using nameserver 127.0.0.1#65153
Jul 26 11:15:36 dnsmasq[8978]: using nameserver 127.0.0.1#65053
Jul 26 11:15:36 dnsmasq[8978]: read /opt/etc/hosts - 2 addresses
Jul 26 11:15:36 dnsmasq[8978]: read /opt/tmp/mvps_block.host - 13273 addresses
Jul 26 11:15:36 dnsmasq[8978]: read /opt/tmp/malwaredom_block.host - 1157 addresses
Jul 26 11:15:36 dnsmasq[8978]: read /opt/tmp/hosts0 - 101 addresses

/opt/etc/init.d # lsof -ni | grep dnscrypt
dnscrypt- 8642   root    9u IPv4 29373      0t0 UDP 127.0.0.1:60053
dnscrypt- 8642   root   10u IPv4 29374      0t0 UDP *:34077
dnscrypt- 8642   root   11u IPv4 29375      0t0 TCP 127.0.0.1:60053 (LISTEN)
dnscrypt- 8646   root    9u IPv4 29981      0t0 UDP 127.0.0.1:60153
dnscrypt- 8646   root   11u IPv4 29983      0t0 TCP 127.0.0.1:60153 (LISTEN)
/opt/etc/init.d #

/ # ps | grep dns
5807 nobody    3948 S    dnsmasq
8642 root      4068 S    dnscrypt-proxy -p /opt/var/run/dnscrypt-proxy.60053.pid -a 127.0.0.1:60053 -d 1252 -l /opt/tmp/dnscrypt-proxy.60053.log -m 7 -
8646 root      4068 S    dnscrypt-proxy -p /opt/var/run/dnscrypt-proxy.60153.pid -a 127.0.0.1:60153 -d 1252 -l /opt/tmp/dnscrypt-proxy.60153.log -m 7 -
/ #

/opt/tmp/dnscrypt-proxy.60153.log

Wed Jul 26 11:01:45 2017 [NOTICE] Starting dnscrypt-proxy 1.9.5
Wed Jul 26 11:01:45 2017 [INFO] Generating a new session key pair
Wed Jul 26 11:01:45 2017 [INFO] Done
Wed Jul 26 11:01:45 2017 [INFO] Server certificate with serial #1501041 received
Wed Jul 26 11:01:45 2017 [INFO] This certificate is valid
Wed Jul 26 11:01:45 2017 [INFO] Chosen certificate #1501041 is valid from [2017-07-26] to [2017-07-27]
Wed Jul 26 11:01:45 2017 [INFO] Server key fingerprint is 2307:A5C1:A436:A2F7:1FA7:...:EE57
Wed Jul 26 11:01:45 2017 [NOTICE] Proxying from 127.0.0.1:60153 to 91.214.71.181:443

/opt/tmp/dnscrypt-proxy.60053.log

Wed Jul 26 11:01:45 2017 [NOTICE] Starting dnscrypt-proxy 1.9.5
Wed Jul 26 11:01:45 2017 [INFO] Generating a new session key pair
Wed Jul 26 11:01:45 2017 [INFO] Done
Wed Jul 26 11:01:45 2017 [INFO] Server certificate with serial #1490488 received
Wed Jul 26 11:01:45 2017 [INFO] This certificate is valid
Wed Jul 26 11:01:45 2017 [INFO] Chosen certificate #1490488 is valid from [2017-03-24] to [2018-03-24]
Wed Jul 26 11:01:45 2017 [INFO] The key rotation period for this server may exceed the recommended value. This is bad for forward secrecy.
Wed Jul 26 11:01:45 2017 [INFO] Server key fingerprint is E7F8:4477:BF89:1434:1ECE:.....:F778
Wed Jul 26 11:01:45 2017 [NOTICE] Proxying from 127.0.0.1:60053 to 208.67.220.220:443

/proc/8646/net # hostip -r 127.0.0.1 google.com
173.194.32.160
173.194.32.165
173.194.32.168
173.194.32.169
173.194.32.161
173.194.32.174
173.194.32.163
173.194.32.162
173.194.32.167
173.194.32.166
173.194.32.164
/proc/8646/net #

vasek00 · August 4, 2017

После недельного "тупизма" на роутере при связке dnsmasq+dnscrypt-proxy тупизм в том что при настройках (даже когда в схеме один роутер + интернет) когда по долгу читаешь страницы в интернете то появляются куча

Скрытый текст

no-resolv
interface=br0
bind-interfaces
listen-address=192.168.130.100
server=127.0.0.1#60053

dnscrypt-proxy => 127.0.0.1:65053 --d -R cisco

localhost:38552 localhost:domain TIME_WAIT

или

udp      17 26 src=127.0.0.1 dst=127.0.0.1 sport=56695 dport=60053 packets=10 bytes=680 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=56695 packets=0 bytes=0 mark=0 use=2
udp      17 16 src=127.0.0.1 dst=127.0.0.1 sport=56846 dport=60053 packets=10 bytes=570 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=56846 packets=0 bytes=0 mark=0 use=2
udp      17 9 src=127.0.0.1 dst=127.0.0.1 sport=38305 dport=60053 packets=10 bytes=610 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=38305 packets=0 bytes=0 mark=0 use=2
udp      17 12 src=127.0.0.1 dst=127.0.0.1 sport=13396 dport=60053 packets=10 bytes=630 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=13396 packets=0 bytes=0 mark=0 use=2
udp      17 9 src=127.0.0.1 dst=127.0.0.1 sport=10493 dport=60053 packets=2 bytes=112 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=10493 packets=0 bytes=0 mark=0 use=2
udp      17 5 src=127.0.0.1 dst=127.0.0.1 sport=41603 dport=60053 packets=10 bytes=710 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=41603 packets=0 bytes=0 mark=0 use=2
udp      17 3 src=127.0.0.1 dst=127.0.0.1 sport=9064 dport=60053 packets=10 bytes=600 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=9064 packets=0 bytes=0 mark=0 use=2

а так же пролет запроса DNS не туда куда надо

udp      17 20 src=IP_белый_Zyxel dst=IP_DNS_провайдера sport=48138 dport=53 packets=1 bytes=66 src=IP_DNS_провайдера dst=IP_белый_Zyxel sport=53 dport=48138 packets=1 bytes=116 mark=0 use=2

из-за 

dnsmasq    907      nobody    4u     IPv4       2691      0t0        UDP 192.168.1.100:domain 
dnsmasq    907      nobody    5u     IPv4       2692      0t0        TCP 192.168.1.100:domain (LISTEN)
dnsmasq    907      nobody    6u     IPv4       2693      0t0        UDP localhost:domain 
dnsmasq    907      nobody    7u     IPv4       2694      0t0        TCP localhost:domain (LISTEN)
dnsmasq    907      nobody    8u     IPv6       2695      0t0        UDP [fe80::...:e2a8]:domain 
dnsmasq    907      nobody    9u     IPv6       2696      0t0        TCP [fe80::...:e2a8]:domain (LISTEN)
dnsmasq    907      nobody   10u     IPv6       2697      0t0        UDP localhost:domain 
dnsmasq    907      nobody   11u     IPv6       2698      0t0        TCP localhost:domain (LISTEN)

Решил попробовать другую связку с dnsmasq+https_dns_proxy (до следующих обновлений сервисов dnsmasq dnscrypt-proxy и библиотек для них в Entware)

1.dnsmasq остаеться со своими настройками

2. https_dns_proxy насраивается на порт 60053 (сервера будут googla)

ARGS="-a 127.0.0.1 -p 65053 -d"

Итак имеем

 9855 nobody    6256 S    https_dns_proxy -a 127.0.0.1 -p 60053 -d

tcp        0      0 localhost:domain        0.0.0.0:*               LISTEN      907/dnsmasq
tcp        0      0 192.168.1.100:domain    0.0.0.0:*               LISTEN      907/dnsmasq
tcp        0      0 localhost:domain        :::*                    LISTEN      907/dnsmasq
tcp        0      0 fe80::.........8:domain :::*                    LISTEN      907/dnsmasq
udp        0      0 localhost:60053         0.0.0.0:*                           9855/https_dns_prox
udp        0      0 localhost:domain        0.0.0.0:*                           907/dnsmasq
udp        0      0 192.168.1.100:domain    0.0.0.0:*                           907/dnsmasq
udp        0      0 localhost:domain        :::*                                907/dnsmasq
udp        0      0 fe80::................8:domain :::*                         907/dnsmasq

vlad · August 4, 2017

2 часа назад, vasek00 сказал:

После недельного "тупизма" на роутере при связке dnsmasq+dnscrypt-proxy тупизм в том что при настройках (даже когда в схеме один роутер + интернет) когда по долгу читаешь страницы в интернете то появляются куча

Показать содержимое

no-resolv
interface=br0
bind-interfaces
listen-address=192.168.130.100
server=127.0.0.1#60053

dnscrypt-proxy => 127.0.0.1:65053 --d -R cisco

localhost:38552 localhost:domain TIME_WAIT

или


udp      17 26 src=127.0.0.1 dst=127.0.0.1 sport=56695 dport=60053 packets=10 bytes=680 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=56695 packets=0 bytes=0 mark=0 use=2
udp      17 16 src=127.0.0.1 dst=127.0.0.1 sport=56846 dport=60053 packets=10 bytes=570 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=56846 packets=0 bytes=0 mark=0 use=2
udp      17 9 src=127.0.0.1 dst=127.0.0.1 sport=38305 dport=60053 packets=10 bytes=610 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=38305 packets=0 bytes=0 mark=0 use=2
udp      17 12 src=127.0.0.1 dst=127.0.0.1 sport=13396 dport=60053 packets=10 bytes=630 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=13396 packets=0 bytes=0 mark=0 use=2
udp      17 9 src=127.0.0.1 dst=127.0.0.1 sport=10493 dport=60053 packets=2 bytes=112 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=10493 packets=0 bytes=0 mark=0 use=2
udp      17 5 src=127.0.0.1 dst=127.0.0.1 sport=41603 dport=60053 packets=10 bytes=710 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=41603 packets=0 bytes=0 mark=0 use=2
udp      17 3 src=127.0.0.1 dst=127.0.0.1 sport=9064 dport=60053 packets=10 bytes=600 [UNREPLIED] src=127.0.0.1 dst=127.0.0.1 sport=60053 dport=9064 packets=0 bytes=0 mark=0 use=2

а так же пролет запроса DNS не туда куда надо


udp      17 20 src=IP_белый_Zyxel dst=IP_DNS_провайдера sport=48138 dport=53 packets=1 bytes=66 src=IP_DNS_провайдера dst=IP_белый_Zyxel sport=53 dport=48138 packets=1 bytes=116 mark=0 use=2

из-за 

dnsmasq    907      nobody    4u     IPv4       2691      0t0        UDP 192.168.1.100:domain 
dnsmasq    907      nobody    5u     IPv4       2692      0t0        TCP 192.168.1.100:domain (LISTEN)
dnsmasq    907      nobody    6u     IPv4       2693      0t0        UDP localhost:domain 
dnsmasq    907      nobody    7u     IPv4       2694      0t0        TCP localhost:domain (LISTEN)
dnsmasq    907      nobody    8u     IPv6       2695      0t0        UDP [fe80::...:e2a8]:domain 
dnsmasq    907      nobody    9u     IPv6       2696      0t0        TCP [fe80::...:e2a8]:domain (LISTEN)
dnsmasq    907      nobody   10u     IPv6       2697      0t0        UDP localhost:domain 
dnsmasq    907      nobody   11u     IPv6       2698      0t0        TCP localhost:domain (LISTEN)

Решил попробовать другую связку с dnsmasq+https_dns_proxy (до следующих обновлений сервисов dnsmasq dnscrypt-proxy и библиотек для них в Entware)


1.dnsmasq остаеться со своими настройками

2. https_dns_proxy насраивается на порт 60053 (сервера будут googla)


ARGS="-a 127.0.0.1 -p 65053 -d"

Итак имеем


 9855 nobody    6256 S    https_dns_proxy -a 127.0.0.1 -p 60053 -d

tcp        0      0 localhost:domain        0.0.0.0:*               LISTEN      907/dnsmasq
tcp        0      0 192.168.1.100:domain    0.0.0.0:*               LISTEN      907/dnsmasq
tcp        0      0 localhost:domain        :::*                    LISTEN      907/dnsmasq
tcp        0      0 fe80::.........8:domain :::*                    LISTEN      907/dnsmasq
udp        0      0 localhost:60053         0.0.0.0:*                           9855/https_dns_prox
udp        0      0 localhost:domain        0.0.0.0:*                           907/dnsmasq
udp        0      0 192.168.1.100:domain    0.0.0.0:*                           907/dnsmasq
udp        0      0 localhost:domain        :::*                                907/dnsmasq
udp        0      0 fe80::................8:domain :::*                         907/dnsmasq

А что делать с dnscrypt proxy?

vasek00 · August 5, 2017

Я его dnscrypt proxy пока отключил переименовав скрипт запуска S* на K*, и пробую связку dnsmasq+https_dns_proxy

vasek00 · August 11, 2017

Улучшена работа DNSCrypt-proxy тестовое обновление http://entware-3x.zyxmon.org/binaries/mipsel/test/dnscrypt-proxy_1.9.5-4a_mipsel-3x.ipk и

http://entware-3x.zyxmon.org/binaries/mipsel/test/libsodium_1.0.13-1_mipsel-3x.ipk

Edited August 11, 2017 by vasek00

Dorik1972 · September 10, 2017

В 11.08.2017 в 19:53, vasek00 сказал:

Улучшена работа DNSCrypt-proxy тестовое обновление http://entware-3x.zyxmon.org/binaries/mipsel/test/dnscrypt-proxy_1.9.5-4a_mipsel-3x.ipk и

http://entware-3x.zyxmon.org/binaries/mipsel/test/libsodium_1.0.13-1_mipsel-3x.ipk

Отлично пашет ... и blacklist-domains c автообновлением списочка поддерживается и white-list , т.е. кто пользуется dnsmasq для фильтрации по hosts - можно не пользоваться ибо теперь dnscrypt-прокси теперь это умеет само. И родной dnscrypt-proxy.conf прекрасно заработал со всеми вкусностями и фичами ! Вот спасибки !

+ если rng-tools засетапить то можно воспользоваться и всеми "плюшками" от автора dnscrypt-proxy -> https://github.com/jedisct1/dnscrypt-proxy/tree/master/contrib , чуть-чуть "подшаманив" для zyxelя ...

И все шустро .... очень шустро работает...

vlad · September 17, 2017

В 10.09.2017 в 21:30, Dorik1972 сказал:

И родной dnscrypt-proxy.conf прекрасно заработал со всеми вкусностями и фичами ! Вот спасибки !

Поделитесь опытом как настраивали новую версию dnscrypt. Было бы не плохо отсекать рекламу средствами dnscrypt-proxy.

vlad · September 17, 2017

В 10.09.2017 в 21:30, Dorik1972 сказал:

И родной dnscrypt-proxy.conf

Куда положить файл с настройками?

vasek00 · September 17, 2017

1 час назад, vlad сказал:

Куда положить файл с настройками?

Example: dnscrypt-proxy /opt/etc/dnscrypt-proxy.conf

Options:

  -R    --resolver-name=...
  -a    --local-address=...
  -d    --daemonize
  -E    --ephemeral-keys
  -K    --client-key=...
  -L    --resolvers-list=...
  -l    --logfile=...
  -m    --loglevel=...
  -p    --pidfile=...
  -X    --plugin=...
  -N    --provider-name=...
  -k    --provider-key=...
  -r    --resolver-address=...
  -S    --syslog
  -Z    --syslog-prefix=...
  -n    --max-active-requests=...
  -u    --user=...
  -t    --test=...
  -T    --tcp-only
  -e    --edns-payload-size=...
  -I    --ignore-timestamps
  -V    --version
  -h    --help

Dorik1972 · September 17, 2017

8 часов назад, vlad сказал:

Куда положить файл с настройками?

dnscrypt-proxy.conf можно взять родной с гита и поправить пути /opt/ и т.д.

Запускать из init.d слегка переделанным родным скриптиком, дело в том что при запуске надо как аргумент передавать файл настроек

ENABLED=yes                                                                                                   
PROCS=dnscrypt-proxy                                                                                           
ARGS="/opt/etc/dnscrypt-proxy.conf"

Соответственно где dnscrypt-proxy.conf "покладете" такой путь и передавать

По настройке "отсекания" рекламы - так там проще паренной репы в dnscrypt-proxy.conf

BlackList domains:"/opt/etc/dnscrypt-blacklist-domains.txt"

Собственно опять же .. куда "покладете" туда и путь .... Все обновлялки листов и "чекеры" работоспособности текущих dns-серверов есть на гите (ссылку я давал в предыдущем сообщении)... часть на башике часть на питоне ... там все прозрачно и понятно надо просто организовать периодичность обновления , например раз в неделю + маленько подкорректировать под наших "зверьков" пути и прочее.... Единственно что я от себя добавил в domains-blacklist.conf

# EasyList
https://easylist-downloads.adblockplus.org/easyprivacy+easylist.txt
https://easylist-downloads.adblockplus.org/advblock.txt
https://easylist-downloads.adblockplus.org/adwarefilters.txt
https://easylist-downloads.adblockplus.org/antiadblockfilters.txt
https://easylist-downloads.adblockplus.org/cntblock.txt
https://easylist-downloads.adblockplus.org/bitblock.txt

Ибо данные "листы" наиболее заточены под "кириличный" сегмент сети ))) , ну в моем понимании процесса ..... Остальные - не трогал и оставил как есть.

И еще я в dnscrypt-proxy.conf использую

ResolverName fvz-anyone

Просто "мегашустрый" резолвер ... рекомендую попробовать и сравнить с остальными ... + поддержа .namecoin ну то такое .. на любителя ... в общем welcome to OpenNIC

p.s. Если надумаете пользоваться скриптом dnscrypt-resolvers-check.sh то будет ругаться на "недоэнтропию" ... решается установкой opkg install rng-tools и добавлением скриптика с организацией запуска при старте "зверька" , в начале не забудьте #!/bin/sh (формочка на форуме не сохраняет)

ENABLED=yes                                                                                                            
PROCS=rngd                                                                                                             
ARGS="-r /dev/urandom --pid-file=/opt/var/run/rngd.pid"
PREARGS="" 
DESC=$PROCS                                                                                                            
PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin                      
. /opt/etc/init.d/rc.func

p.s.s. https://github.com/jedisct1/dnscrypt-proxy/blob/master/man/dnscrypt-proxy.8.markdown

p.s.s.s. Архив из вложения распаковать в /opt/etc/ - появится папака dnscrypt-proxy со всеми "адаптированными" под Entware скриптами-обновлялками. Ниже скрипт для crone.weekly для еженедельного обновления .... ( opkg install bash - ну или сами под sh "перецарапайте")

#!/opt/bin/bash                                                                                                        
prefix="/opt"                                                                                                          
PATH=${prefix}/bin:${prefix}/sbin:/sbin:/bin:/usr/sbin:/usr/bin                                                        
                                                                                                                       
/opt/etc/dnscrypt-proxy/dnscrypt-update-resolvers.sh                                                                   
/opt/etc/dnscrypt-proxy/dnscrypt-resolvers-check.sh                                                                    
                                                                                                                       
cd /opt/etc/dnscrypt-proxy/                                                                                            
python generate-domains-blacklist.py > list.txt.tmp && mv -f list.txt.tmp /opt/etc/dnscrypt-blacklist-domains.txt      
                                                                                                                       
/opt/etc/init.d/S57dnscrypt-proxy restart                                                                              
                                                                                                                       
exit

dnscrypt-scrypt.tar.gz

Edited September 17, 2017 by Dorik1972
добавил скрипты-обновлялки подкорректированные для Entware

vlad · September 17, 2017

Спасибо огромное. Думаю ваш развернутый ответ будет полезен не только для меня !!

Edited September 17, 2017 by vlad

vlad · September 19, 2017

/opt/etc/dnscrypt-proxy/dnscrypt.conf
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 16: ResolverName: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 25: ResolversList: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 78: LocalCache: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 86: EphemeralKeys: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 159: BlockIPv6: not found

Не запускается dnscrypt.

Помогите;)))

Может еще какие-то пакеты необходимо доустановить?

Вот что установлено

opkg list-installed
bash - 4.3.42-1a
busybox - 1.25.1-2
cron - 4.1-3
curl - 7.54.0-1
dnscrypt-proxy - 1.9.5-4a
dnscrypt-proxy-resolvers - 1.9.5+git-20161129-f17bace-2
dropbear - 2017.75-1a
file - 5.25-1
findutils - 4.6.0-1
glib2 - 2.50.3-1
ldconfig - 2.25-8
libattr - 20160302-1
libblkid - 2.29.2-1
libbz2 - 1.0.6-2
libc - 2.25-8
libcurl - 7.54.0-1
libdb47 - 4.7.25.4.NC-5
libexpat - 2.2.0-1
libffi - 3.2.1-2
libgcc - 6.3.0-8
libgdbm - 1.11-1
libiconv-full - 1.11.1-3
libintl-full - 0.19.8.1-1
libldns - 1.6.17-2
libltdl - 2.4-2
libmagic - 5.25-1
libmount - 2.29.2-1
libncurses - 6.0-1c
libncursesw - 6.0-1c
libndm - 1.1.0-1a
libopenssl - 1.0.2k-1
libpcre - 8.40-2
libpthread - 2.25-8
librt - 2.25-8
libslang2 - 2.3.1a-1
libsodium - 1.0.13-1
libsqlite3 - 3170000-1
libssh2 - 1.7.0-1
libssp - 6.3.0-8
libstdcpp - 6.3.0-8
libuuid - 2.29.2-1
libxml2 - 2.9.4-1
locales - 2.25-8
mc - 4.8.19-1a
nano - 2.7.5-1
ndmq - 1.0.2-1a
opt-ndmsv2 - 1.0-8a
php5 - 5.6.30-1
python - 2.7.13-5
python-base - 2.7.13-5
python-codecs - 2.7.13-5
python-compiler - 2.7.13-5
python-ctypes - 2.7.13-5
python-db - 2.7.13-5
python-decimal - 2.7.13-5
python-distutils - 2.7.13-5
python-email - 2.7.13-5
python-gdbm - 2.7.13-5
python-light - 2.7.13-5
python-logging - 2.7.13-5
python-multiprocessing - 2.7.13-5
python-ncurses - 2.7.13-5
python-openssl - 2.7.13-5
python-pydoc - 2.7.13-5
python-sqlite3 - 2.7.13-5
python-unittest - 2.7.13-5
python-xml - 2.7.13-5
rng-tools - 5-5
terminfo - 6.0-1c
zlib - 1.2.11-1
zoneinfo-asia - 2017b-1
zoneinfo-europe - 2017b-1
~ #

Edited September 19, 2017 by vlad

vlad · September 19, 2017

Python выдает ошибку при попытке подключения к https сайтам из domains-blacklist.conf

Loading data from [https://easylist-downloads.adblockplus.org/easyprivacy+easylist.txt]
[https://easylist-downloads.adblockplus.org/easyprivacy+easylist.txt] could not be loaded: <urlopen error [SSL: CERTIFICATE_VERIFY_FAILED] unknown error (_ssl.c:661)>

Сам себе отвечаю;)) эта проблема решилась путём отката на 2.09

Edited September 20, 2017 by vlad

Rbuha · September 20, 2017

В 01.03.2017 в 21:50, KorDen сказал:

У меня так Unbound (с DNSSEC) стоит уже год

Ув. @KorDen, могли бы вы поделиться инструкцией по установке и настройке unbound в Entware-3x?

Edited September 20, 2017 by Buha

vlad · September 20, 2017

В 17.09.2017 в 16:11, Dorik1972 сказал:

ARGS="/opt/etc/dnscrypt-proxy.conf"

Ответь пожалуйста как вы запустили dnscrypt-proxy положив файл с настройками. Что то никак не могу запустить.

Dorik1972 · September 20, 2017

8 минут назад, vlad сказал:

Ответь пожалуйста как вы запустили dnscrypt-proxy положив файл с настройками. Что то никак не могу запустить.

??? Постов 5-6 тому я выложил все рабочие скрипты взятые прямо с РАБОТАЮЩЕГО "зверька" ? Что значит как ??

Вот еще раз содержимое скрипта из папки /opt/etc/init.d/ который запускает dnscrypt-proxy

                                                                                                                       
#!/bin/sh                                                                                                              
                                                                                                                       
ENABLED=yes                                                                                                            
PROCS=dnscrypt-proxy                                                                                                   
ARGS="/opt/etc/dnscrypt-proxy.conf"                                                                                    
PREARGS=""                                                                                                             
DESC=$PROCS                                                                                                            
PATH=/opt/sbin:/opt/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin                                   
                                                                                                                       
. /opt/etc/init.d/rc.func

ЧТО ТАМ НЕПОНЯТНОГО????

vlad · September 20, 2017

6 минут назад, Dorik1972 сказал:

ЧТО ТАМ НЕПОНЯТНОГО????

Извините за назойливость;))) Ровно так и сделал как вы указывали. Не запускается.Ругается на вот эти строки

/opt/etc/dnscrypt-proxy/dnscrypt.conf
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 16: ResolverName: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 25: ResolversList: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 78: LocalCache: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 86: EphemeralKeys: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 159: BlockIPv6: not found

Образец dnscrypt-proxy.conf брал с оф сайта. Изменил только ResolverName cisco.

Edited September 20, 2017 by vlad

Dorik1972 · September 20, 2017

32 минуты назад, vlad сказал:

Извините за назойливость;))) Ровно так и сделал как вы указывали. Не запускается.Ругается на вот эти строки

/opt/etc/dnscrypt-proxy/dnscrypt.conf
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 16: ResolverName: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 25: ResolversList: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 78: LocalCache: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 86: EphemeralKeys: not found
/opt/etc/dnscrypt-proxy/dnscrypt.conf: line 159: BlockIPv6: not found

Образец dnscrypt-proxy.conf брал с оф сайта. Изменил только ResolverName cisco.

Лучше бы Вы были не "назойливым", а более внимательным к прочтению МАТЕРИАЛА .... цитирую сам себя "dnscrypt-proxy.conf можно взять родной с гита и поправить пути /opt/ и т.д." .... еще раз ВДУМЧИВО ... гляньте взором на содержимое файла с гита .... особенно на комментарии ПО КАЖДОМУ из пунктов в которых у Вас, якобы ошибка ...

Вот так ? У Вас ? или ?

ResolverName fvz-anyone
ResolversList /opt/share/dnscrypt-proxy/dnscrypt-resolvers.csv
Daemonize yes
PidFile /opt/var/run/dnscrypt-proxy.pid
LocalAddress <your.keenetic.ip>:65053
LocalCache on
EphemeralKeys off
BlockIPv6 no
BlackList domains:"/opt/etc/dnscrypt-blacklist-domains.txt"

Edited September 20, 2017 by Dorik1972

vlad · September 20, 2017

26 минут назад, Dorik1972 сказал:

ResolverName fvz-anyone ResolversList /opt/share/dnscrypt-proxy/dnscrypt-resolvers.csv Daemonize yes PidFile /opt/var/run/dnscrypt-proxy.pid LocalAddress <your.keenetic.ip>:65053 LocalCache on EphemeralKeys off BlockIPv6 no BlackList domains:"/opt/etc/dnscrypt-blacklist-domains.txt"

Хе-хе;)) не так. Незнал что надо путь к pid указывать и с localadres ошибся. Спасибо за напутствие.

Edited September 20, 2017 by vlad

vasek00 · September 21, 2017

Приведу еще несколько интересных параметров для использования

...
# ResolverName random
# ResolversList /opt/share/dnscrypt-proxy/dnscrypt-resolvers.csv

# LocalAddress 127.0.0.1:65153
# MaxActiveRequests 250
# EDNSPayloadSize 1252
# IgnoreTimestamps no
# TCPOnly no
# BlockIPv6 no

# QueryLogFile /opt/tmp/dns-queries.log
# LogFile /opt/var/log/dnscrypt-proxy.log
# LogLevel 6
# Syslog       off
# SyslogPrefix dnscrypt

## Block both domain names and IP addresses:
# BlackList domains:"/opt/tmp/dnscrypt-blacklist-domains.txt" ips:"/opt/tmp/dnscrypt-blacklist-ips.txt"

## Same as the above + log the blocked queries in a file.
## The log file can be prefixed with ltsv: (ex: ltsv:/tmp/log.txt) in order to
# BlackList domains:"/opt/tmp/dnscrypt-blacklist-domains.txt" logfile:"/opt/var/log/dnscrypt-blocked.log"
# BlackList ips:"/opt/etc/dnscrypt-blacklist-ips.txt" logfile:"/opt/var/log/dnscrypt-blocked.log"
# BlackList domains:"/opt/etc/dnscrypt-blacklist-domains.txt" ips:"/opt/tmp/dnscrypt-blacklist-ips.txt" logfile:"/opt/var/log/dnscrypt-blocked.log"

По смыслу имен боле менее понятно назначение.

17 часов назад, vlad сказал:

Рекламу режет лучше чем вариант с dnsmasq.

Не поделитесь наработкой в чем лучше по резке рекламы?

vlad · September 21, 2017

1 час назад, vasek00 сказал:

Не поделитесь наработкой в чем лучше по резке рекламы?

Открывал определенные сайты на которых реклама оставался при работе dnsmasq. Список хостов брал отсюда

wget -O /opt/etc/hosts http://winhelp2002.mvps.org/hosts.txt

После Настройки dnscrypt-proxy с block domains рекламы с этих сайтов вырезалась. Пример nnm-club.

Рабочий конфиг

ResolverName random

ResolversList /opt/share/dnscrypt-proxy/dnscrypt-resolvers.csv

Daemonize yes

PidFile /opt/var/run/dnscrypt-proxy.pid

LocalAddress 192.168.1.19:65053

LocalCache on

EphemeralKeys off

BlockIPv6 yes

BlackList domains:"/opt/tmp/blk-names"

EDNSPayloadSize 1252

QueryLogFile /opt/var/log/dns-queries.log

LogFile /opt/var/log/dnscrypt-proxy.log

LogLevel 6

BlackList domains:"/opt/tmp/blk-names" logfile:"/opt/var/log/dnscrypt-blocked.log"

vlad · September 21, 2017

Возможно список хостов в dnsmasq был не полный..занимал около 400 кб. А список block domains весит 1.59 мб. И чисто субъективно после замены dnsmasq на dnscrypt в качестве блокировщика рекламы сайты стали шустрее открываться. Dnsmasq снёс.

Edited September 21, 2017 by vlad

vasek00 · September 21, 2017

39 минут назад, vlad сказал:

Возможно список хостов в dnsmasq был не полный..занимал около 400 кб. А список block domains весит 1.59 мб. И чисто субъективно после замены dnsmasq на dnscrypt в качестве блокировщика рекламы сайты стали шустрее открываться. Dnsmasq снёс.

Как вы правильно отметили все зависит от списка который нужно фильтровать - "malwaredom_block" - 1157 записей, "mvps_block" - 13237 создавались на основе

Скрытый текст

"http://winhelp2002.mvps.org/hosts.txt"
"http://jansal.googlecode.com/svn/trunk/adblock/hosts"
"http://adblock.gjtech.net/?format=hostfile"
"http://www.hostsfile.org/Downloads/hosts.txt"

wget -qO- http://www.mvps.org/winhelp2002/hosts.txt| sed 's/0.0.0.0/127.0.0.1/g' |grep "^127.0.0.1" > /opt/tmp/block.host
wget -qO- http://www.malwaredomainlist.com/hostslist/hosts.txt|grep "^127.0.0.1" >> /opt/tmp/block.host
wget -qO- "http://adaway.org/hosts.txt"|grep "^127.0.0.1" >> /opt/tmp/block.host
wget -qO- "http://www.malwaredomainlist.com/hostslist/hosts.txt"|grep "^127.0.0.1" >> /opt/tmp/block.host

Судя по вашему ответу

Цитата

Dnsmasq снёс

Предполагаю у вас родной DNS + dnscrypt.

Только остановлюсь на маленькой справке по работе связки - DNSmasq + dnscrypt (без всяких пере направлений 53->5353, а сразу DNSmasq на 53 - "opkg dns-override" ). От клиента приходит запрос на 53 который контролирует DNSmasq, сопоставляя запрос со списком фильтрации он принимает решение отправить сразу моментально ответ клиенту или согласно двум записям (или одной server=) отправить его далее на локальный сервис dnscrypt который уже сразу отправляет (тут не используется не какой список, а только функции шифрованного запроса). Так же учтем работу cache который есть везде DNSmasq ключ "cache-size=1500" или даже "cache-size=0" и на клиенте Windows или другом.

vlad · September 21, 2017

16 минут назад, vasek00 сказал:

Предполагаю у вас родной DNS + dnscrypt.

dns от провайдера отключил командой из cli. У меня сейчас работает dnscrypt-proxy плюс два правила в iptables.

Я не совсем понял,получается через dnsmasq должно быстрее работать?

Sign In

easy-to-use Защита DNS

Recommended Posts

Link to comment

Share on other sites

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Александр Рыжов

Dorik1972

vasek00

Posted Images

Link to comment

Share on other sites

Link to comment

Share on other sites

QuicErrorCodes

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Join the conversation

Recently Browsing 0 members