URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 114097
[ Назад ]

Исходное сообщение
"Раздел полезных советов: Организация шифрованного доступа к ..."
Отправлено auto_tips , 17-Апр-18 18:31

Для предоставления клиентам возможности доступа к DNS-серверу на основе BIND с использованием протокола DNS-over-TLS можно настроить TLS-прокси с использованием nginx.
Для добавления TLS-слоя поверх DNS можно использовать модуль [[http://nginx.org/en/docs/stream/ngx_stream_core_module.html stream]] для nginx, который прозволяет организовать проброс произвольных TCP- и UDP-соединений.

Пример nginx.conf:
   user www-data;
   worker_processes auto;
   pid /run/nginx.pid;
   events {
      worker_connections 1024;
   }
   stream {
      upstream dns_tcp_servers {
         # IP и порт DNS-сервера, на который будет делать проброс
         server 127.0.0.1:53;
      }
      # Прикрепляем к 853 порту слой TLS, пробрасываемый на локальный DNS-сервер
      server {
         listen 853 ssl;
         proxy_pass dns_tcp_servers;
         ssl_certificate       /etc/nginx/ssl/certificates/privacydns.crt;
         ssl_certificate_key   /etc/nginx/ssl/certificates/privacydns.key;
         ssl_protocols         TLSv1.2;
         ssl_ciphers           ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
         ssl_session_tickets on;
         ssl_session_timeout   4h;
         ssl_handshake_timeout 30s;
      }
   }
Сертификат можно получить через [[https://letsencrypt.org/ Let's Encrypt]].
   certbot certonly -d privacydns.example.com --standalone
На стороне клиента в качестве резолвера можно использовать [[http://www.unbound.net/ Unbound]], [[https://www.knot-dns.cz/ Knot]] или [[https://github.com/getdnsapi/stubby stubby]].

URL: https://dnsprivacy.org/wiki/display/DP/Using+a+TLS+proxy
Обсуждается: http://www.opennet.me/tips/info/3062.shtml

Содержание

Организация шифрованного доступа к DNS-серверу BIND (DNS-over-TLS) при помощи nginx ,universite, 18:31 , 17-Апр-18
- Организация шифрованного доступа к DNS-серверу BIND (DNS-ove...,Аноним, 17:45 , 21-Апр-18
- Организация шифрованного доступа к DNS-серверу BIND (DNS-ove...,А, 15:01 , 23-Апр-18
Организация шифрованного доступа к DNS-серверу BIND (DNS-over-TLS) при помощи nginx ,Аноним, 17:10 , 20-Апр-18
Организация шифрованного доступа к DNS-серверу BIND (DNS-over-TLS) при помощи nginx ,тимоха, 16:50 , 29-Сен-18
Организация шифрованного доступа к DNS-серверу BIND (DNS-over-TLS) при помощи nginx ,В, 13:35 , 21-Фев-19

Сообщения в этом обсуждении

"Организация шифрованного доступа к DNS-серверу BIND (DNS-over-TLS) при помощи nginx "
Отправлено universite , 17-Апр-18 18:31

После получения сертификата через certbot не забываем делать симлинки в /etc/nginx/ssl/certificates/privacydns.crt и /etc/nginx/ssl/certificates/privacydns.key

"Организация шифрованного доступа к DNS-серверу BIND (DNS-ove..."
Отправлено Аноним , 21-Апр-18 17:45

забываем.
нужно просто в конфигурацию nginx прописать пусть сертификату который в /etc/letsencrypt/live

"Организация шифрованного доступа к DNS-серверу BIND (DNS-ove..."
Отправлено А , 23-Апр-18 15:01

Берем клиент acme.sh, и в нем не забываем после получения сертификата сделать еще установку сертификата в любое удобное нам место в системе - после этого обновление сертификатов гарантированно будет обновлять их там, где мы сказали им лежать установленными.

"Организация шифрованного доступа к DNS-серверу BIND (DNS-over-TLS) при помощи nginx "
Отправлено Аноним , 20-Апр-18 17:10

На какой домен сертификат получать? Или абсолютно всё равно? Как клиент будет сверять тот ли сертификат или нет?

"Организация шифрованного доступа к DNS-серверу BIND (DNS-over-TLS) при помощи nginx "
Отправлено тимоха , 29-Сен-18 16:50

хелп, ребята что делать с этой прогой?дайте связт телеги я постучусь!

"Организация шифрованного доступа к DNS-серверу BIND (DNS-over-TLS) при помощи nginx "
Отправлено В , 21-Фев-19 13:35

Тогда уже на certbot, а acme.sh берите, он поинтереснее )