rehydrate Sep 10 at 10:16

Приватный DNS: защищаемся от слежки провайдера и блокируем рекламу

Easy

5 min

10K

DNS * Domain names administrating * Information Security * Network technologies * System administration *

From sandbox

Comments 15

DanilinS Sep 10 at 11:17

ваш интернет-провайдер видит каждый DNS-запрос, то есть знает, к каким сайтам вы обращаетесь, даже если само соединение с ними защищено через HTTPS

Открою большой секрет: провайдер прекрасно видит к каким сайтам вы обращаетесь, вообще не прибегая к услугам анализа DNS-запроса. Собственно IP:Port ресурса, куда вы обращаетесь, провайдер видит всегда.

HomeMan Sep 10 at 11:51

Да пусть видит. Здесь немного о другом.

Когда провайдер отдает вместо оригинального 123.123.123.123 свой фейковый 124.124.124.124

Это забавно.

char32t Sep 10 at 11:47

Сервер 9.9.9.9 от Quad9 блокирует вредоносные домены (Malware Blocking). У них есть сервер 9.9.9.10, который ничего не блокирует, а просто работает, как DNS-сервер.

Если нужна блокировка рекламы на уровне DNS, то есть https://dnsforge.de/. Он медленее и у него есть лимит 100 запросов в 10 секунд, но работает отлично.

rehydrate Sep 10 at 14:14

Cпасибо огромное за ценное дополнение!
Про dnsforge не знал, обязательно изучу. Насчет Quad9 - абсолютно верное замечание, стоило упомянуть про разные серверы

Aleho Sep 10 at 12:58

Писать о приватных DNS и не упомянуть старейший проект OpenNIC - это даже как-то неприлично.

rehydrate Sep 10 at 14:21

Спасибо, вы правы - хоть это и чуть более сложное решение, но оно достойно упоминания

Aleho Sep 10 at 14:33

А в чём сложность?

rehydrate Sep 10 at 15:38

В моём понимании обычному юзеру будет проще взять универсальный адрес, как у того же адгуард, чем идти на сайт OpenNIC и выбирать сервер там. За безопасность и работоспособность которого, как я понимаю, никто не отвечает. Поправьте если не прав

Aleho Sep 10 at 18:31

Поправлю.
Начну с пары риторических вопросов.
Обычный юзер озадачился руками прописать настройки днс, но сходить на сайт ОпенНика это уже усложнение?
А "универсальный адрес", получается, был напечатан на наклейке его компьютера из коробки?
Надеюсь ясно, что это шутка юмора.
А если серьезно насчет "сложности" - то куда проще поставить WARP от Cloudflare, чем прописывать айпишники вручную в настройках. Утилита проще некуда - вкл/выкл, как говорится. А тем более что она умеет больше, чем просто днс по-своему резольвить.
Кстати, для винды есть утилита ДНС-Джампер, чтоб в настройки не лазить.
Продолжая же тему Cloudflare, как раз упираемся в работоспособность, которая тут обеспечивается серьезной компанией, но "Может быть нестабилен в РФ".
В то в время как OpenNIC (и только он) обеспечивает доступ к альтернативным доменам, что требует какой-никакой, но надежности.

rehydrate Sep 10 at 18:55

Вот как, спасибо за развёрнутый ответ. Варп действительно был прекрасным инструментом до определённого момента, а DNS Jumper заслуживает внимания, согласен. Ценю, что поделились своей экспертизой

Aleho Sep 10 at 19:14

Очень заслуживает.
Она напрямую соответствует теме )

BareDreamer Sep 10 at 15:14

[Resolve]
DNS=94.140.14.14 94.140.15.15

В документации и в примерах указывают ещё имя:

DNS=94.140.14.14#dns.adguard-dns.com 94.140.15.15#dns.adguard-dns.com

Или это не обязательно?

wwq_deezer Sep 10 at 15:24

Имя за решеткой #, которая означает начало комментария. Так что необязательно.

BareDreamer Sep 10 at 15:49

Нет. В документации (например, тут https://wiki.archlinux.org/title/Systemd-resolved#DNS_over_TLS) сказано, что надо писать именно так, как в моём комментарии. И в документации, и в самом файле есть примеры вида:
DNS=9.9.9.9#dns.quad9.net 149.112.112.112#dns.quad9.net
Если первую решётку # трактовать как знак комментария, то остальной текст не имеет значения, а там таких адресов ещё несколько штук (я их сократил)

rehydrate Sep 10 at 16:02

Такой формат действительно необходим для корректной работы DoT, так как имя сервера после решётки используется для проверки TLS-сертификата. Спасибо за внимательность, сейчас подправлю