easy-to-use Защита DNS

[vlad]

22 минуты назад, vasek00 сказал:

Как вы правильно отметили все зависит от списка

Откройте rutracker.org и посмотрите все ли банеры порезаны?  Либо nnm-club.me

Edited September 21, 2017 by vlad

[vasek00]

7 минут назад, vlad сказал:

dns от провайдера отключил командой из cli. У меня сейчас работает dnscrypt-proxy плюс два правила в iptables. 

Я не совсем понял,получается через dnsmasq должно быстрее работать?

Я описал принцип работы. Как понять фразу

Цитата

dns от провайдера отключил командой из cli. У меня сейчас работает dnscrypt-proxy плюс два правила в iptables. 

Рад выложить картинки но при моем возможном месте уже не судьба - 0,02MB

Edited September 21, 2017 by vasek00

[vlad]

28 минут назад, vasek00 сказал:

Предполагаю у вас родной DNS

Вы предполагали от провайдера dns? Либо настроенный на кинетике? При монтирование opkg работает только dnscrypt-proxy. Вводил команду opkg dns-override. Я не силён в администрировании сетей,все инструкции и настройка брал с этого форума. Возможно мли ответы ставят вас в тупик непонимание;)))

[vlad]

8 минут назад, vasek00 сказал:

Рад выложить картинки но при моем возможном месте уже не судьба - 0,02MB

Вашим способом банеры на этих сайтах так же порезаны?

[vasek00]

1 минуту назад, vlad сказал:

Вы предполагали от провайдера dns? Либо настроенный на кинетике? При монтирование opkg работает только dnscrypt-proxy. Вводил команду opkg dns-override. Я не силён в администрировании сетей,все инструкции и настройка брал с этого форума. Возможно мли ответы ставят вас в тупик непонимание;)))

Из прочитанной данной теме имеем у вас на роутере

Клиент ---->------53порт--->---5353--dnscrypt-proxy------>------Интернет

При запросе клиентом он запрос сразу на dnscrypt-proxy далее анализ фильтра если попал то ответ клиенту, если нет то запрос в интернет. dnscrypt-proxy есть списки по мнемонике и по IP и так же чем они богаче тем лучше.

У меня нет ни каких баннеров, опять вопрос к спискам?

 

[vlad]

1 минуту назад, vasek00 сказал:

Из прочитанной данной теме имеем у вас на роутере

Именно так и настроено!!! Извиняюсь за албанский. 

 

2 минуты назад, vasek00 сказал:

У меня нет ни каких баннеров, опять вопрос к спискам?

Нет. Вопрос к скорости. Мне кажется dnsmasq при большом списке слегка подвисал. Потому как я раньше накачивал в него хосты с разных ресурсов и это его вводило в ступор. 

[vasek00]

1 минуту назад, vlad сказал:

Нет. Вопрос к скорости. Мне кажется dnsmasq при большом списке слегка подвисал. Потому как я раньше накачивал в него хосты с разных ресурсов и это его вводило в ступор. 

Как то уже выкладывал тест через SNMP оценку загрузки процем когда списки большие (при просмотре страниц интернета) то же думал, что сильно нагружают но нагрузки не было.

[vlad]

Преимущество использования  схемы dnsmasq+dnscrypt-proxy это возможность использовать несколько резолверов. Я так настраивал,кстати благодаря вашим рекомендациям. Но при такой схеме почему то рекламу не режет,ютуб на тв невозможно смотреть;))

Edited September 21, 2017 by vlad

[vasek00]

Для любителей списков блокировки больших и малых

Скрытый текст

https://gist.github.com/chrisvella/5f3a18f1e442153cd685

подправить первую строчку с #!/bin/bash на #!/bin/sh

Если перед определенными строками поставить "#" то можно исключить отдельные списки из обработки и получить несколько файлов в место одного

# echo "Getting yoyo ad list..."
# curl -s -d mimetype=plaintext -d hostformat=unixhosts http://pgl.yoyo.org/adservers/serverlist.php? | sort > $tempoutlist

самый большой список это

echo "Getting Mother of All Ad Blocks list..."
curl -A 'Mozilla/5.0 (X11; Linux x86_64; rv:30.0) Gecko/20100101 Firefox/30.0' -e http://forum.xda-developers.com/ http://adblock.mahakala.is/ | grep -v "#" | awk '{print $2}' | sort >> $tempoutlist

Его размер 5,5МБ. Общий размер по всем спискам будет ~7МБ и содержать порядка 245000 записей.

 

[priZrak495]

Народ, помогите разобраться пожалуйста, все нормально, но демон падает когда добавляю строки:

LocalCache on
BlackList domains:"/opt/etc/dnscrypt-blacklist-domains.txt"

И QueryLogFile тоже глючит Что не так?

[Aleksey1977]

 .

Edited October 22, 2017 by Aleksey1977

[vasek00]

Для тех кто использует DNScrypt-proxy рекомендую проверить выбранные вами сервер/сервера по времени отклика, так как в настоящие время на выбранных вами серверах скорость может упасть, например ранее выбранный "cisco" сейчас дает по ping аж 200мс и как пример другие

cisco,"Cisco OpenDNS" 208.67.220.220
Ответ от 208.67.220.220: число байт=32 время=203мс TTL=56
Ответ от 208.67.220.220: число байт=32 время=203мс TTL=56

adguard-dns-family,"AdGuard DNS Family Protection" 176.103.130.132:5443
Ответ от 176.103.130.132: число байт=32 время=16мс TTL=58
Ответ от 176.103.130.132: число байт=32 время=15мс TTL=58

fvz-anyone,"Primary OpenNIC Anycast DNS Resolver" 185.121.177.177
Ответ от 185.121.177.177: число байт=32 время=69мс TTL=58
Ответ от 185.121.177.177: число байт=32 время=69мс TTL=58

cs-lv,"CS Latvia DNSCrypt server","Riga, Latvia" 80.233.134.52:443
Ответ от 80.233.134.52: число байт=32 время=40мс TTL=58
Ответ от 80.233.134.52: число байт=32 время=40мс TTL=58

есть и 60мс и 70мс и 100мс и 200мс. Поэтому рекомендую (конечно можете не) проверять данные сервера из списка "dnscrypt-resolvers.csv" согласно вашего подключения провайдера, но после найденного сервера так же рекомендую проверить через командную строку с ключами для log

ARGS="--local-address=127.0.0.2:65053 --daemonize –edns-payload-size=1252 -R adguard-dns -l /opt/tmp/dnscrypt-proxy.log -m 7"

чтоб не было записей 
Fri Dec 15 11:38:23 2017 [INFO] Refetching server certificates
Fri Dec 15 11:38:38 2017 [ERROR] Unable to retrieve server certificates
Fri Dec 15 11:42:08 2017 [INFO] Refetching server certificates
Fri Dec 15 11:42:23 2017 [ERROR] Unable to retrieve server certificates
Fri Dec 15 11:45:56 2017 [INFO] Refetching server certificates

 

[Mr.Hunt]

А планируется ли сделать поддержку DNS over TLS ? Как бы dnscrypt вроде как помирает, а этот вроде как по RFE даже.... rfc7858

Нашёл статью, где это реализуется на базе unbound, вот только проблема в том, как я понимаю, нет unbound скомпиленного для entware.

Edited January 12, 2018 by Mr.Hunt
Добавление ссылки по реализации данной функции на базе unbound

[Le ecureuil]

А с чего бы dncrypt помирает?

[Александр Рыжов]

Не то, чтобы помирает, просто заметно меняется. Уже есть жалобы на отвал прежних резолверов и отнюдь не факт, что новый клиент будет себя уютно чувствовать на роутере, потому как написан на GO.

[ankar84]

В 17.09.2017 в 20:11, Dorik1972 сказал:

dnscrypt-proxy.conf можно взять родной с гита и поправить пути /opt/ и т.д. 

Сборка в текущем виде стала сбоить. Я так понимаю, это  связано с тем, что автор переходил на версию dnscrypt-proxy 2.0.0

Починить скрипт обновления резолверов можно вот так:

#!/opt/bin/bash
prefix="/opt"
PATH=${prefix}/bin:${prefix}/sbin:/sbin:/bin:/usr/sbin:/usr/bin

PKG_DATA_DIR="/opt/share/dnscrypt-proxy"
RESOLVERS_FILE="${PKG_DATA_DIR}/dnscrypt-resolvers.csv"
RESOLVERS_FILE_TMP="${RESOLVERS_FILE}.tmp"

#RESOLVERS_URL="https://download.dnscrypt.org/dnscrypt-proxy/dnscrypt-resolvers.csv"
RESOLVERS_URL="https://raw.githubusercontent.com/DNSCrypt/dnscrypt-resolvers/master/v1/dnscrypt-resolvers.csv"
#Взято отсюда https://github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-proxy/dnscrypt-proxy.toml
RESOLVERS_SIG_URL="${RESOLVERS_URL}.minisig"
RESOLVERS_SIG_PUBKEY="RWQf6LRCGA9i53mlYecO4IzT51TGPpvWucNSCh1CBM0QTaLn73Y7GFO3"

echo "Updating the list of public DNSCrypt resolvers..."
curl -L -# "$RESOLVERS_URL" -o "$RESOLVERS_FILE_TMP" || exit 1
if $(which minisign > /dev/null 2>&1); then
  curl -L -# -o "$RESOLVERS_FILE_TMP.minisig" "$RESOLVERS_SIG_URL" || exit 1
  minisign -V -P "$RESOLVERS_SIG_PUBKEY" -m "$RESOLVERS_FILE_TMP" || exit 1
  mv -f "${RESOLVERS_FILE_TMP}.minisig" "${RESOLVERS_FILE}.minisig"
fi
mv -f "$RESOLVERS_FILE_TMP" "$RESOLVERS_FILE"
echo "Done"

Просто на адресе https://download.dnscrypt.org/dnscrypt-proxy/dnscrypt-resolvers.csv теперь весит левый сертификат, поэтому скрипт выдает ошибку:

Цитата

curl: (35) OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to download.dnscrypt.org:443

 

Ну, и собственно вопрос:

когда появится стальная версия dnscrypt-proxy 2.0, будет ли она обновлена в OPKG?

[Le ecureuil]

dnscrypt-proxy 2.0 написан на go, потому можно закапывать этот механизм (пока не появится реализация на c, по крайней мере).

[ankar84]

2 часа назад, Le ecureuil сказал:

dnscrypt-proxy 2.0 написан на go, потому можно закапывать этот механизм (пока не появится реализация на c, по крайней мере).

в таком случае что порекомендуете в качестве альтернативы?

Я в данный момент как раз использую dnscrypt-proxy.

Нужно:

1. Блокировка рекламы

2. Защита от перехвата DNS провайдером (хотя это опционально)

[vasek00]

В 15.01.2018 в 12:13, Александр Рыжов сказал:

Уже есть жалобы на отвал прежних резолверов и отнюдь не факт

Данное поведение было замечено еще до нового года месяца за 1-2месяца

42 минуты назад, ankar84 сказал:

в таком случае что порекомендуете в качестве альтернативы?

зачем менять что-то, все работает :

1. подобрать по ping из текущих то что вам подходят по провайдеру

2. включить лог на несколько дней не чего не случится

3. в связке с dnsmasq вообще проблем не вижу

dnsmasq.conf
server=127.0.0.2#65053
server=127.0.0.2#65153
all-servers

и два 

dnscrypt-proxy --local-address=127.0.0.2:65053 --daemonize –edns-payload-size=1252 -R ххххх-ru -l /opt/tmp/dnscrypt-proxy.65053.log -m 7
dnscrypt-proxy --local-address=127.0.0.2:65153 --daemonize –edns-payload-size=1252 -R ххххх-dns -l /opt/tmp/dnscrypt-proxy.65153.log -m 7

уйдут два запроса, какой вернется первый тот и с работает.
А если посмотреть логи то шансов в одно и то же время получить что-то типа отладки по "[DEBUG] resolver timeout (UDP)" минимальны.
Хочеться полный анализ то в dnsmasq.conf
log-queries
log-facility=/opt/var/log/dnsmasq.log
log-async=25

 

Edited January 20, 2018 by vasek00

[Александр Рыжов]

…плюс обязательно в конфиге dnsmasq:

no-resolv

 

[vasek00]

11 час назад, Александр Рыжов сказал:

…плюс обязательно в конфиге dnsmasq:

no-resolv

 

конечно же.

[ankar84]

В 20.01.2018 в 23:43, vasek00 сказал:

Данное поведение было замечено еще до нового года месяца за 1-2месяца

зачем менять что-то, все работает :

1. подобрать по ping из текущих то что вам подходят по провайдеру

2. включить лог на несколько дней не чего не случится

3. в связке с dnsmasq вообще проблем не вижу

dnsmasq.conf
server=127.0.0.2#65053
server=127.0.0.2#65153
all-servers

и два 

dnscrypt-proxy --local-address=127.0.0.2:65053 --daemonize –edns-payload-size=1252 -R ххххх-ru -l /opt/tmp/dnscrypt-proxy.65053.log -m 7
dnscrypt-proxy --local-address=127.0.0.2:65153 --daemonize –edns-payload-size=1252 -R ххххх-dns -l /opt/tmp/dnscrypt-proxy.65153.log -m 7

уйдут два запроса, какой вернется первый тот и с работает.
А если посмотреть логи то шансов в одно и то же время получить что-то типа отладки по "[DEBUG] resolver timeout (UDP)" минимальны.
Хочеться полный анализ то в dnsmasq.conf
log-queries
log-facility=/opt/var/log/dnsmasq.log
log-async=25

 

Из-за того, что время от времени резолверы не отвечают (как сегодня очень близкий для меня по отклику и по возможностям opennic-famicoman) решил применить ваш метод с резолвом нескольких серверов одновременно посредством dnsmasq.

В init.d создал копию запускного скрипта, только на другом порту разумеется. Запустил первый - все отлично. Пробую стартовать второй - пишет, что уже запущен. 

Через команду запустился без проблем.

# dnscrypt-proxy --local-address=127.0.0.1:65153 --daemon
ze -R opennic-famicoman

Отсюда вопрос: есть ли возможность запускать два экземпляра dnscrypt-proxy стандартным методом через 2 скрипта типа S09dnscrypt-proxy в init.d?

Или как автоматически при перезагрузке сервера запускать два экземпляра dnscrypto-proxy?

[Александр Рыжов]

1 час назад, ankar84 сказал:

Отсюда вопрос: есть ли возможность запускать два экземпляра dnscrypt-proxy стандартным методом через 2 скрипта типа S09dnscrypt-proxy в init.d?

Или как автоматически при перезагрузке сервера запускать два экземпляра dnscrypto-proxy?

1. Создать симлинк /opt/sbin/dnscrypt-proxy2, ссылающийся на /opt/sbin/dnscrypt-proxy,
2. Скопировать /opt/etc/init.d/S09dnscryptproxy в /opt/etc/init.d/S09dnscryptproxy2,
3. Поправить параметры в новом S09dnscryptproxy2 для запуска dnscrypt-proxy2 с собственными параметрами.

 

[ankar84]

4 часа назад, Александр Рыжов сказал:

1. Создать симлинк /opt/sbin/dnscrypt-proxy2, ссылающийся на /opt/sbin/dnscrypt-proxy,
2. Скопировать /opt/etc/init.d/S09dnscryptproxy в /opt/etc/init.d/S09dnscryptproxy2,
3. Поправить параметры в новом S09dnscryptproxy2 для запуска dnscrypt-proxy2 с собственными параметрами.

 

Спасибо, получилось!

А при обновлении dnscrypt-proxy данный метод не поломается? 

Хотя 1.9.5 видимо последняя версия.

 

И еще, у кого поломался резолвер fvz, можно его запустить вот так:

dnscrypt-proxy --local-address=127.0.0.1:65053 --provider-name=2.dnscrypt-cert.dnsrec.meo.ws --provider-key=1A6A:D0A3:2B4C:5A61:A695:D153:670D:69AB:1690:3F9E:C3F7:F64F:13E5:35A3:18B2:28A5 --resolver-address=185.121.177.177:5353 -l /opt/var/log/dnscrypt-proxy-fvz-one-65053.log -m 7"

Причина поломки - в файле dnscrypt-resolvers.csv этот резолвер указан без порта, то есть с дефолтовым 443, а сейчас там все работает на 5353

Edited January 26, 2018 by ankar84

[ankar84]

Попробовал запустить dnscrypt-proxy 2.0.0beta12 так как автор собрал ее для Linux/mipsle.

При запуске проверяет все адреса по отклику и выбирает самый быстрый на момент проверки.

Процессор почти не потребляет, а вот оперативной памяти при моем файле dnscrypt-blacklist-domains.txt в 1.3Мб занимает около 40Мб. Мне на моей Ultra это не очень страшно, а вот девайсам с меньшим количеством оперативной памяти будет конечно сложнее, да и как высказались здесь гуру - не целесообразно.

[vasek00]

4 часа назад, ankar84 сказал:

Процессор почти не потребляет, а вот оперативной памяти при моем файле dnscrypt-blacklist-domains.txt в 1.3Мб занимает около 40Мб. Мне на моей Ultra это не очень страшно, а вот девайсам с меньшим количеством оперативной памяти будет конечно сложнее, да и как высказались здесь гуру - не целесообразно.

В моей без всяких blacklist, потребляет минимум. Отсевом не нужных dnsmasq.

А так да выбор быстрого

[2018-01-31 06:06:53] [NOTICE] Source [http://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md] loaded
[2018-01-31 06:06:53] [NOTICE] Starting dnscrypt-proxy 2.0.0beta12
[2018-01-31 06:06:53] [NOTICE] Now listening to 127.0.0.2:65153 [UDP]
[2018-01-31 06:06:53] [NOTICE] Now listening to 127.0.0.2:65153 [TCP]
[2018-01-31 06:06:53] [NOTICE] [adguard-dns] OK (crypto v1) - rtt: 37ms
[2018-01-31 06:06:53] [NOTICE] [cpunks-ru] OK (crypto v1) - rtt: 17ms
[2018-01-31 06:06:53] [NOTICE] Server with the lowest initial latency: cpunks-ru (rtt: 17ms)
[2018-01-31 06:06:53] [NOTICE] dnscrypt-proxy is ready - live servers: 2

Внимание привлекло не много другое значение параметров : VmPeak: 664688 kB и VmSize:  664688 kB и VmData: 658080 kB и положительное как Cpus_allowed: 3 при Cpus_allowed_list: 0-1

Скрытый текст

/proc/6328 # cat status
Name:   dnscrypt-proxy-
State:  S (sleeping)
Tgid:   6328
Pid:    6328
PPid:   1
TracerPid:      0
Uid:    0       0       0       0
Gid:    0       0       0       0
FDSize: 32
Groups:
VmPeak:   664688 kB
VmSize:   664688 kB
VmLck:         0 kB
VmPin:         0 kB
VmHWM:      6124 kB
VmRSS:      6124 kB
VmData:   658080 kB
VmStk:       136 kB
VmExe:      3752 kB
VmLib:         0 kB
VmPTE:        32 kB
VmSwap:        0 kB
Threads:        9
SigQ:   2/984
SigPnd: 00000000000000000000000000000000
ShdPnd: 00000000000000000000000000000000
SigBlk: fffffffffffffffffffffffe6fbdb000
SigIgn: 00000000000000000000000000000000
SigCgt: fffffffffffffffffffffffe783ffeff
CapInh: 0000000000000000
CapPrm: ffffffffffffffff
CapEff: ffffffffffffffff
CapBnd: ffffffffffffffff
Cpus_allowed:   3
Cpus_allowed_list:      0-1
voluntary_ctxt_switches:        9
nonvoluntary_ctxt_switches:     7
/proc/6328 #

/proc/6328 # cat /proc/meminfo
MemTotal:         126256 kB
MemFree:           11140 kB
Buffers:           13236 kB
Cached:            57804 kB
SwapCached:            0 kB
Active:            40984 kB
Inactive:          48296 kB
Active(anon):      18312 kB
Inactive(anon):      136 kB
Active(file):      22672 kB
Inactive(file):    48160 kB
Unevictable:           0 kB
Mlocked:               0 kB
SwapTotal:             0 kB
SwapFree:              0 kB
Dirty:                 0 kB
Writeback:             0 kB
AnonPages:         18340 kB
Mapped:            15828 kB
Shmem:               208 kB
Slab:              15232 kB
SReclaimable:       4332 kB
SUnreclaim:        10900 kB
KernelStack:         864 kB
PageTables:          572 kB
NFS_Unstable:          0 kB
Bounce:                0 kB
WritebackTmp:          0 kB
CommitLimit:       63128 kB
Committed_AS:      77888 kB
VmallocTotal:    1048372 kB
VmallocUsed:        2792 kB
VmallocChunk:    1022672 kB

 

[Александр Рыжов]

5 часов назад, ankar84 сказал:

Попробовал запустить dnscrypt-proxy 2.0.0beta12 так как автор собрал ее для Linux/mipsle.

При запуске проверяет все адреса по отклику и выбирает самый быстрый на момент проверки.

Процессор почти не потребляет, а вот оперативной памяти при моем файле dnscrypt-blacklist-domains.txt в 1.3Мб занимает около 40Мб. Мне на моей Ultra это не очень страшно, а вот девайсам с меньшим количеством оперативной памяти будет конечно сложнее, да и как высказались здесь гуру - не целесообразно.

Как и все остальные программы на GO, будет кушать оперативку аки попкорн. По этой причине не добавляю GO-программ в Entware-ng без крайней необходимости.

А на замену dnscrypt-proxy после отмирания яндексовского резовлера присматриваюcь к https_dns_proxy или DNS over TLS, но рабочих резолверов пока кот наплакал.

[ankar84]

@vasek00 пробовали установить как сервис? То есть запустить с опцией -service install

У меня не вышло, похоже там все на чистый linux зашито, а не наш Entware.

@Александр Рыжов альтернатива это безусловно хорошо, но могут ли альтернативные варианты кроме защиты от спуфинга и перехвата dns запросов предложить и блокировку не нужного контента, читай рекламы? Для меня критично.

Плюсом на OpenNIC резолверах получаем разрешение домена .lib чем я активно пользуюсь.

Edited January 31, 2018 by ankar84

[vasek00]

31 минуту назад, ankar84 сказал:

пробовали установить как сервис? То есть запустить с опцией -service install

У меня не вышло, похоже там все на чистый linux зашито, а не наш Entware

https://github.com/jedisct1/dnscrypt-proxy/releases

релиз dnscrypt-proxy-linux_mipsle-2.0.0beta12.tar.gz

запуск как обычно через .../init.d/Sxxdnscrypt-proxy где

PROCS=dnscrypt-proxy-2
ARGS="-config /opt/etc/dnscrypt-proxy.toml"


сам файл в /opt/sbin/dnscrypt-proxy-2

916 root      649m S    dnscrypt-proxy-2 -config /opt/etc/dnscrypt-proxy.toml

/ # netstat -ntulp | grep dnscrypt
tcp        0      0 127.0.0.2:65153         0.0.0.0:*               LISTEN      916/dnscrypt-proxy-
udp        0      0 127.0.0.2:65153         0.0.0.0:*                           916/dnscrypt-proxy-
/ # 

зашито все на себя

/ # lsof | grep dnscrypt
dnscrypt-  916        root  cwd       DIR        8,2     2048       6145 /opt/sbin
dnscrypt-  916        root  rtd       DIR       31,4      202         75 /
dnscrypt-  916        root  txt       REG        8,2  6663520       6759 /opt/sbin/dnscrypt-proxy-2
...
dnscrypt-  916        root    3w      REG        8,2     2939      10471 /opt/tmp/dnscrypt-proxy.log
dnscrypt-  916        root    4u  a_inode        0,7        0       1025 [eventpoll]
dnscrypt-  916        root    5u     IPv4       3833      0t0        UDP 127.0.0.2:65153 
dnscrypt-  916        root    6u     IPv4       3834      0t0        TCP 127.0.0.2:65153 (LISTEN)
...
dnscrypt-  916  918   root  txt       REG        8,2  6663520       6759 /opt/sbin/dnscrypt-proxy-2
...
dnscrypt-  916  919   root    3w      REG        8,2     2939      10471 /opt/tmp/dnscrypt-proxy.log
dnscrypt-  916  919   root    4u  a_inode        0,7        0       1025 [eventpoll]
dnscrypt-  916  919   root    5u     IPv4       3833      0t0        UDP 127.0.0.2:65153 
dnscrypt-  916  919   root    6u     IPv4       3834      0t0        TCP 127.0.0.2:65153 (LISTEN)
dnscrypt-  916  919   root    7r      CHR        1,9      0t0       1070 /dev/urandom
dnscrypt-  916  920   root  cwd       DIR        8,2     2048       6145 /opt/sbin
dnscrypt-  916  920   root  rtd       DIR       31,4      202         75 /
dnscrypt-  916  920   root  txt       REG        8,2  6663520       6759 /opt/sbin/dnscrypt-proxy-2
dnscrypt-  916  920   root    0r      CHR        1,3      0t0       1053 /dev/null
dnscrypt-  916  920   root    1w      CHR        1,3      0t0       1053 /dev/null
dnscrypt-  916  920   root    2w      CHR        1,3      0t0       1053 /dev/null
dnscrypt-  916  920   root    3w      REG        8,2     2939      10471 /opt/tmp/dnscrypt-proxy.log
...
/ # 

Так же для справки https://blog.adguard.com/ru/bye_dnscrypt/

Скрытый текст

Разработчик DNSCrypt отказался от работы над ним, закрыл репозиторий на GitHub и выставил на продажу домен. Репозиторий был склонирован и теперь поддерживается Dyne, но новые функции к DNSCrypt добавлять уже не планируется. Его место теперь придется занять протоколу "DNS over TLS".

 

Апдейт: разработчик протокола выложил в публичный доступ его новую реализацию в альфа-версии — DNSCrypt-proxy 2.0.0. Так что, видимо, проект не закрыт, а перезапущен, и его ждет развитие и улучшение. Список планируемых к добавлению функций и преимуществ новой версии можно найти здесь: github.com/jedisct1/dnscrypt-proxy

 

Edited January 31, 2018 by vasek00

[Александр Рыжов]

34 минуты назад, ankar84 сказал:

 

@Александр Рыжов альтернатива это безусловно хорошо, но могут ли альтернативные варианты кроме защиты от спуфинга и перехвата dns запросов предложить и блокировку не нужного контента, читай рекламы? Для меня критично.

Плюсом на OpenNIC резолверах получаем разрешение домена .lib чем я активно пользуюсь.

Насколько знаю, новая версия dnscrypt-proxy как и предыдущая ничего не кеширует, а значит связка с dnsmasq напрашивается сама собой. А уж с ним можно перечисленные кульбиты выполнять в любых комбинациях легко и непринуждённо. Кстати, 130.000-строчный блэк-лист при работе dnsmasq требует всего 8МБ RAM.