У меня сервер Ubuntu 20.04. Этот сервер настроен для запуска сайтов WordPress (стек ЛЭМП). На этом сервере я настроил преобразователь DNS Ubuntu для использования «DNS через TLS». Используйте DNS-сервис Cloudflare.
Когда я запускаю следующие команды, я вижу, что он использует порт 53, а не порт 853 DNS Over TLS. В моем брандмауэре CSF я разрешил порт 853 в TPC и UDP (вход/выход).
Что может быть причиной этого? Как заставить Ubuntu использовать DNSOverTLS?
конфигурации resolve.conf.
[Решать]
DNS=1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
#ЗапаснойDNS=
#домены=
#LLMNR=нет
#MulticastDNS=нет
DNSSEC=да
DNSOverTLS=да
Кэш=не отрицательный
#DNSStubListener=да
#ReadEtcHosts=да
Это результаты моего тестирования.
root@server:~# nslookup google.com
Сервер: 1.1.1.1
Адрес: 1.1.1.1#53
Неавторитетный ответ:
Название: google.ru
Адрес: 142.250.65.174
Название: google.ru
Адрес: 2607:f8b0:4006:81e::200e
root@server:~# kdig -d google.com
;; ОТЛАДКА: запрос владельца (google.com.), класса (1), типа (1), сервера (1.1.1.1), порта (53), протокола (UDP)
;; ->>HEADER<<- код операции: QUERY; статус: НЕТ ОШИБКИ; идентификатор: 51182
;; Флаги: qr rd ra; ЗАПРОС: 1; ОТВЕТ: 1; ВЛАСТЬ: 0; ДОПОЛНИТЕЛЬНО: 0
;; РАЗДЕЛ ВОПРОСОВ:
;; google.com. В
;; РАЗДЕЛ ОТВЕТОВ:
google.com. 246 В А 142.251.40.142
;; Получил 44 Б
;; Время 2022-01-30 16:17:34 +0530
;; С 1.1.1.1@53(UDP) за 1,3 мс
Однако, когда я запускаю следующую команду, она использует DNS через TLS (порт 853).
root@server:~# kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com example.com
;; DEBUG: запрос владельца (example.com.), класса (1), типа (1), сервера (1.1.1.1), порта (853), протокола (TCP)
;; DEBUG: TLS, импортировано 128 системных сертификатов
;; DEBUG: TLS, полученная иерархия сертификатов:
;; ОТЛАДКА: #1, C=США,ST=Калифорния,L=Сан-Франциско,O=Cloudflare\, Inc.,CN=cloudflare-dns.com
;; ОТЛАДКА: SHA-256 PIN-код: RKlx+/Jwn2A+dVoU8gQWeRN2+2JxXcFkAczKfgU8OAI=
;; ОТЛАДКА: #2, C=US,O=DigiCert Inc,CN=DigiCert TLS Hybrid ECC SHA384 2020 CA1
;; ОТЛАДКА: SHA-256 PIN-код: e0IRz5Tio3GA1Xs4fUVWmH1xHDiH2dMbVtCBSkOIdqM=
;; DEBUG: TLS, пропуск проверки PIN-кода сертификата
;; ОТЛАДКА: TLS, сертификат является доверенным.
;; Сеанс TLS (TLS1.3) — (ECDHE-X25519) — (ECDSA-SECP256R1-SHA256) — (AES-256-GCM)
;; ->>HEADER<<- код операции: QUERY; статус: НЕТ ОШИБКИ; идентификатор: 16525
;; Флаги: qr rd ra; ЗАПРОС: 1; ОТВЕТ: 1; ВЛАСТЬ: 0; ДОПОЛНИТЕЛЬНО: 1
;; ПСЕВДОРАЗДЕЛ ЭДНС:
;; Версия: 0; флаги: ; Размер UDP: 1232 Б; добавочный код: НЕТ ОШИБКИ
;; ПРОКЛАДКА: 408 Б
;; РАЗДЕЛ ВОПРОСОВ:
;; пример.com. В
;; РАЗДЕЛ ОТВЕТОВ:
пример.com. 68347 В А 93.184.216.34
;; Получил 468 Б
;; Время 2022-01-30 16:02:33 +0530
;; От 1.1.1.1@853(TCP) за 1,7 мс
Когда я проверяю статус распознавателя, он показывает, что DNS через TLS включен.
root@server:~# systemd-resolve --status
Глобальный
Настройка LLMNR: нет
Настройка MulticastDNS: нет
Настройка DNSOverTLS: да
Настройка DNSSEC: да
Поддержка DNSSEC: да
DNS-серверы: 1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
94.237.127.9
94.237.40.9
DNSSEC NTA: 10.in-addr.arpa
16.172.in-addr.arpa
168.192.in-addr.arpa
17.172.in-addr.arpa
18.172.in-addr.arpa
19.172.in-addr.arpa
20.172.in-addr.arpa
21.172.in-addr.arpa
22.172.in-addr.arpa
23.172.in-addr.arpa
24.172.in-addr.arpa
25.172.in-addr.arpa
26.172.in-addr.arpa
27.172.in-addr.arpa
28.172.in-addr.arpa
29.172.in-addr.arpa
30.172.in-addr.arpa
31.172.in-addr.arpa
корпорация
д.ф.ip6.arpa
дом
внутренний
интранет
лан
местный
частный
тестовое задание
Ссылка 4 (eth2)
Текущие области применения: нет
Настройка DefaultRoute: нет
Настройка LLMNR: да
Настройка MulticastDNS: нет
Настройка DNSOverTLS: да
Настройка DNSSEC: да
Поддержка DNSSEC: да
