Am un server Ubuntu 20.04. Acest server este configurat pentru a rula site-uri WordPress (Stiva LEMP). Pe acest server, am configurat un rezolutor DNS ubuntu pentru a utiliza „DNS Over TLS”. Utilizați serviciul DNS Cloudflare.
Când rulez următoarele comenzi, pot vedea că folosește portul 53, nu folosește portul DNS Over TLS 853. În firewall-ul meu CSF, am permis portul 853 în TPC și UDP (in/out).
Care ar putea fi motivul pentru asta? Cum forțez Ubuntu să folosească DNSOverTLS?
rezolvate.conf configurații.
[Rezolva]
DNS=1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
#FallbackDNS=
#Domenii=
#LLMNR=nu
#MulticastDNS=nu
DNSSEC=da
DNSoverTLS=da
Cache=nu-negativ
#DNSStubListener=da
#ReadEtcHosts=da
Acestea sunt rezultatele testelor mele.
root@server:~# nslookup google.com
Server: 1.1.1.1
Adresă: 1.1.1.1#53
Răspuns neautorizat:
Nume: google.com
Adresa: 142.250.65.174
Nume: google.com
Adresă: 2607:f8b0:4006:81e::200e
root@server:~# kdig -d google.com
;; DEBUG: Interogare pentru proprietar(google.com.), clasă(1), tip(1), server(1.1.1.1), port(53), protocol(UDP)
;; ->>HEADER<<- opcode: QUERY; stare: NOERROR; ID: 51182
;; Steaguri: qr rd ra; INTEROARE: 1; RASPUNSUL 1; AUTORITATE: 0; SUPLIMENTARE: 0
;; SECȚIUNEA DE ÎNTREBĂRI:
;; google.com. ÎN A
;; SECȚIUNEA RĂSPUNSURI:
google.com. 246 IN A 142.251.40.142
;; A primit 44 B
;; Ora 2022-01-30 16:17:34 +0530
;; De la 1.1.1.1@53(UDP) în 1,3 ms
Cu toate acestea, când rulez următoarea comandă, folosește DNS peste TLS (portul 853).
root@server:~# kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com example.com
;; DEBUG: Interogare pentru proprietar (example.com.), clasă (1), tip (1), server (1.1.1.1), port (853), protocol (TCP)
;; DEBUG: TLS, a importat 128 de certificate de sistem
;; DEBUG: TLS, ierarhia certificatelor primite:
;; DEBUG: #1, C=US,ST=California,L=San Francisco,O=Cloudflare\, Inc.,CN=cloudflare-dns.com
;; DEBUG: SHA-256 PIN: RKlx+/Jwn2A+dVoU8gQWeRN2+2JxXcFkAczKfgU8OAI=
;; DEBUG: #2, C=US,O=DigiCert Inc,CN=DigiCert TLS Hybrid ECC SHA384 2020 CA1
;; DEBUG: SHA-256 PIN: e0IRz5Tio3GA1Xs4fUVWmH1xHDiH2dMbVtCBSkOIdqM=
;; DEBUG: TLS, săriți verificarea PIN certificatului
;; DEBUG: TLS, certificatul este de încredere.
;; Sesiune TLS (TLS1.3)-(ECDHE-X25519)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
;; ->>HEADER<<- opcode: QUERY; stare: NOERROR; ID: 16525
;; Steaguri: qr rd ra; INTEROARE: 1; RASPUNSUL 1; AUTORITATE: 0; SUPLIMENTARE: 1
;; PSEUDOSECȚIE EDNS:
;; Versiune: 0; steaguri: ; Dimensiune UDP: 1232 B; ext-rcode: NOERROR
;; CAPTURĂ: 408 B
;; SECȚIUNEA DE ÎNTREBĂRI:
;; exemplu.com. ÎN A
;; SECȚIUNEA RĂSPUNSURI:
exemplu.com. 68347 IN A 93.184.216.34
;; A primit 468 B
;; Ora 2022-01-30 16:02:33 +0530
;; De la 1.1.1.1@853(TCP) în 1,7 ms
Când verific starea rezolutorului, arată DNS prin TLS activat.
root@server:~# systemd-resolve --status
Global
Setarea LLMNR: nr
Setare MulticastDNS: nu
Setare DNSoverTLS: da
Setare DNSSEC: da
DNSSEC suportat: da
Servere DNS: 1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
94.237.127.9
94.237.40.9
DNSSEC NTA: 10.in-addr.arpa
16.172.in-addr.arpa
168.192.in-addr.arpa
17.172.in-addr.arpa
18.172.in-addr.arpa
19.172.in-addr.arpa
20.172.in-addr.arpa
21.172.in-addr.arpa
22.172.in-addr.arpa
23.172.in-addr.arpa
24.172.in-addr.arpa
25.172.in-addr.arpa
26.172.in-addr.arpa
27.172.in-addr.arpa
28.172.in-addr.arpa
29.172.in-addr.arpa
30.172.in-addr.arpa
31.172.in-addr.arpa
corp
d.f.ip6.arpa
Acasă
intern
intranet
lan
local
privat
Test
Link 4 (eth2)
Domenii curente: niciuna
Setare DefaultRoute: nu
Setare LLMNR: da
Setare MulticastDNS: nu
Setare DNSoverTLS: da
Setare DNSSEC: da
DNSSEC suportat: da
