Wpis z mikrobloga

Skopiuj link

28.08.2021, 01:53:24

Mirki, znacie jakiś publicznie dostępny serwer DNS obsługujący zapytania przez TCP zamiast UDP?
(tak, wiem, że brzmi to dziwnie)

#pytaniedoeksperta #dns #siecikomputerowe #programowanie #domeny #serwery

R4vPL

28.08.2021, 02:00:45

@oslet: po UDP idzie request tylko jak robisz zone transfer (AXFR) lub request jest większy niż ileś tam kb.

oslet

R4vPL

28.08.2021, 02:01:31

poprawka, 512B, czyli w sumie 0.5kB

oslet

oslet

28.08.2021, 02:10:51

@R4vPL: chyba miałeś na myśli TCP.

Chodzi mi o DNS który odpowiadałby na każde zwykłe zapytanie 'A' o domenę, tak jak to robi zwykły DNS. Tyle że zapytania odbierałby z TCP (ale byłyby to normalne zapytania, zgodne z protokołem DNS).

W tej chwili ograłem to tak, że na swoim VPSie forwarduje socat'em ruch przychodzący z TCP 53 do googlowego dnsa 8.8.8. na UDP 53. No i w efekcie mam pod IP

R4vPL

28.08.2021, 02:16:44 via Android

@oslet masz rację, #!$%@? xD
nie znam takiego rozwiązania, a po co Ci to potrzebne? Chodzi o firewalle?

oslet

Koliat

28.08.2021, 02:19:35 via Wykop Mobilny (Android)

@oslet: możesz użyć dns over https https://developers.cloudflare.com/1.1.1.1/dns-over-tls - TLS daje szyfrowanie ruchu oraz właśnie TCP (bo nie masz TLS w UDP)

mackarr

28.08.2021, 02:20:55

@oslet: Może przeskocz na DNS over HTTPS? HTTPS wymaga połączenia po TCP (jeszcze) więc będzie spełniony twój warunek. A np. CloudFlare dostracza infre I DNSa pod 1.1.1.1

oslet

oslet

28.08.2021, 02:35:42

@R4vPL: @Koliat: @mackarr: W skrócie chodzi o to, że mam LAN z kilkoma urządzeniami i routerem. Całość jest za modemem (wpiętym w router) który daje wyjście na świat, ale jest to specyficzny modem bo wycina cały ruch UDP, tylko TCP jest dozwolone przy kontakcie ze światem. A zatem urządzenia w LAN nie mogą dobić się do zewnętrznych serwerów DNS.

Chcę jednak, żeby ww lanie działało rozwiązywanie nazw domen. Robię

oslet

28.08.2021, 02:41:51

@mackarr: @Koliat: DNS over TLS/HTTPS fajny, ale trochę ciężko by było wymusić na wszystkich urządzeniach w LAN żeby go używały. By trzeba było na każdym urządzeniu oddzielnie konfigurować, a na wielu się pewnie nawet nie da.

mackarr

28.08.2021, 02:48:57

@oslet: W takiej konfiguracji wystarczy tylko jak na tym jednym urządzeniu działającym jako lokalny DNS skonfigurujesz DoH/DoT. Zazwyczaj klienci DoH/DoT i tak wystawiają serwer DNS na localhost:53 więc wystarczy że zmienisz config żeby wystawiał na 0.0.0.0 żeby cała sieć korzystała. Do DoH cloudflare ma osobnego toola, ale do DoT jest stubby, który ladnie pozwala na wystawienie na świat portu 53 UDP.

oslet

oslet

29.08.2021, 12:39:41 via Android

@mackarr oooo w sumie gadasz z sensem

mackarr

29.08.2021, 12:42:46

@oslet: Tzn, osobieście polecam stawianie DoT bo jest dużo prostsze (instalowanie stubby). A do DoH jest tutorial od CF https://developers.cloudflare.com/1.1.1.1/dns-over-https/cloudflared-proxy. Obie opcje łatwe do zrobienia na raspbianie.

oslet

oslet

02.09.2021, 11:40:24

@mackarr: dzięki, DoH przez dnscrypt-proxy z serwerami cloudflare działa jak marzenie. Daemona cloudflared coś nie mogłem znaleźć wersji dla tej architektury, niby dla RPi zero powinno być arm ale wywalało błąd :( Ale dnscrypt-proxy poszło już bez problemu zgodnie z tutorialem. DoT i stubby już nie próbowałem bo nie ma potrzeby.

mackarr

mackarr

02.09.2021, 16:07:57

@oslet: I teraz nie tylko masz dnsy po TCP, ale przy okazji zabezpieczyłeś sieć I uczyniłeś sieć bezpieczniejszą przez nieużywanie starego standardu DNS ( ͡° ͜ʖ ͡°) Taki miły side effect.

oslet

Aktywne Wpisy

exori_vis

exori_vis +201

4 godz. i 44 min temu

Gadałem wczoraj ze znajomym na piwie i zrobili u niego hybrydę w pracy 3 dni z biura 2 zdalnie.
I opowiedział mi że 3 Sprint już nie dowieziony xD A jak przychodzą do biura to sobie robią plażę. Manager chciał by przychodzili to przychodzą, ale wygląda to tak, że o 9 idą zespołem na kawę, potem o 10 mają calla na słuchawkach, po callu idą znowu na kawę, potem o 12 na