Dec 28

Stubby 是一款支持 DNS-over-TLS 的 DNS 服务器,详情可参考:

https://dnsprivacy.org/wiki/display/DP/DNS+Privacy+Daemon+-+Stubby

要支持 TLS 1.3,必须先编译 OpenSSL 1.1.1

cd /mnt/data/compile/openssl-1.1.1/
./config
make
mkdir lib
cp libssl.a libcrypto.a lib/
cp include/openssl/* include/

注意,为了不影响原系统,并不安装此 OpenSSL 版本!

还需要编译 libyaml 支持库:

cd /mnt/data/compile/yaml-0.2.1/
./configure --enable-static --disable-shared --prefix=/mmc
make install

然后通过 getdns 静态编译出 Stubby:

cd /mnt/data/compile/getdns-1.5.0/
LDFLAGS="-Wl,-static -static -static-libgcc -s" ./configure --disable-shared --without-libunbound --without-libidn --without-libidn2 --with-ssl=/mnt/data/compile/openssl-1.1.1 --with-stubby --with-piddir=/var/run --prefix=/opt
make

就可以在 src 下得到需要的文件:

file src/stubby
src/stubby: ELF 32-bit LSB executable, ARM, EABI5 version 1 (GNU/Linux), statically linked, stripped, with debug_info


Nov 21

不多介绍了,又一个可以通过 TCP 来实现 DNS 查询的小软件,作者主页

软件很轻巧,才 10 K,初步测试,速度很不错,晚上再用迅雷和 BT 考验一下它(UnboundPWX-DNS-Proxy 在长期 DNS 重负载查询下都会瘫痪)。

2011.12.2:两天重荷 BT 下依然稳如泰山~

2011.01.11 : 更新 2.0 版本

DNS 转发器
可以将 UDP 形式的 DNS 数据包,以 TCP 形式转发至指定的 DNS 服务器(默认为 Google DNS 8.8.4.4)。
因为听说 TCP 的 DNS 数据包不会被污染,于是做了这么个玩意,省得改系统文件了。

文件列表:
dnsforwarder.exe 主程序文件

使用方法:
直接打开 dnsforwarder.exe,如果没有自动退出,最小化就可以了。然后将系统的 DNS 设置为 127.0.0.1。
可能还需要重新连一下网。

在命令提示符中执行 “nslookup www.google.com 127.0.0.1”可以看到效果。

命令行 : dnsforwarder.exe [参数] [DNS服务器地址].
[参数] 区分大小写,可以为以下零个或多个,不限顺序。
-q 安静模式。不显示任何信息
-t 在本地开启TCP (默认关闭).
-la 指定本地监听IP (默认为 127.0.0.1).
-lp 指定本地监听端口为 (默认为 53).
-sp 指定服务器端口为 (默认为 53).


Tags: , ,

Aug 28

Unbound 是一款免费的相当轻量的 DNS 本地服务器软件,以前曾经做过介绍 Config Unbound On Windows

经过测试,原来只要改一下 Unbound 的配置文件,也可以把它当 PWX-DNS-Proxy 用!

方法很简单,安装完 Unbound 后,打开安装目录下的 service.conf 文件,修改(添加)以下两行内容:(注意,此方法只适用于 Unbound 1.4.12 及其以下版本,新版的官方给出了直接参数支持的方法,详见文末

# Enable UDP, "yes" or "no".
do-udp: no

# Enable TCP, "yes" or "no".
do-tcp: yes

这样就强制 Unbound 只监听 TCP 的 53 端口了。

优点: Unbound 是一款专业的 DNS 服务器软件,标准功能和稳定性比 PWX-DNS-Proxy 强,查询速度较快,内存占用也比 PWX-DNS-Proxy 少;

缺点: 没有 PWX-DNS-Proxy 那样可以自定义某些网站使用特定的 DNS 服务器功能,而且由于关闭了 UDP 端口监听,nslookup 命令使用默认格式不能查询域名了,必须加 -vc 参数。

更新:在 forward-zone 中可以设置怎样的域名用哪个服务器查询,类似:

# forward-zone:
# name: "."
# forward-addr: 8.8.4.4
# forward-addr: 192.168.2.1@5355 # forward to port 5355.
# forward-zone:
# name: "cn"
# forward-host: 202.96.134.133

顺便说下,路由器是 Tomato,DD-WRT 那样使用 DNSMasq 的,可以把 Unbound 或者 PWX-DNS-Proxy 的查询服务器设置为路由器 IP,利用 DNSMasq 来进行更加灵活的配置。

2011-09-19 更新,新版的 Unbound 1.4.13 应该如此配置 DNS-Over-TCP:

# if yes, perform prefetching of almost expired message cache entries.
prefetch: yes

# Enable IPv4, "yes" or "no".
do-ip4: yes

# Enable IPv6, "yes" or "no".
do-ip6: no

# Enable UDP, "yes" or "no".
do-udp: yes

# Enable TCP, "yes" or "no".
do-tcp: yes

# upstream connections use TCP only (and no UDP), "yes" or "no"
# useful for tunneling scenarios, default no.
tcp-upstream: yes

注意 do-udp 一定要是 yes,但是实际上游查询会使用 tcp;还有一个切记先用 -vc 的 nslookup 确定你的上游 DNS 服务器支持 TCP 查询,国内的貌似全关了 :mrgreen:

Unbound 1.4.13 下载


Aug 17

项目地址:

https://code.google.com/p/pwx-dns-proxy/

简介:

这个 DNS 代理服务器是基于 Python 以及 Twisted 框架写成的,并且它支持几乎所有的 DNS 请求类型,包括 A 地址以及 AAAA 地址(IPv6)。

远程服务器的 DNS 应答根据它们的 TTL 值将会被缓存在本地。

另外,这个服务器能够链接多个上游服务器,并且根据查询域名的不同,使用特定的服务器查询。

在查询上游服务器的时候,可以(强制)使用 TCP 协议,而不是 UDP 协议。这样,就可以避免大部分 DNS 污染了。

提供了本地 HOSTS 表的功能,支持 IPv4 和 IPv6 的地址。

这个项目的初衷是为中国大陆的用户提供一个完整的 DNS 代理解决方案——因为它能够透过 GFW,获得被屏蔽的网站的真实 IP 地址。另外,当中国大陆的用户使用 VPN 翻墙的时候,他们既能够使用更安全的、国外的 DNS 服务器,也能够享受更快的上网速度——DNS 查询结果会被缓存,而且大陆拥有 CDN 的门户网站也能够通过 ISP 的 DNS 服务器查询地址,不至于翻山越岭到美国的服务器上访问这些门户网站的内容。
终于无需再去频繁的更新那些被 DNS 劫持的站点地址 HOSTS 文件了!而且针对仅仅遭受 DNS 劫持的 Dropbox,Xmarks 以及那些境外文件服务网站,使用这个工具比使用 VPN 以及 SSH 都要来得方便(当然前提是站点本身没有被墙,只是 DNS 被污染)

DNS 服务器效率测试:

在服务器配置文件中我使用了 202.14.67.14 这个香港 ISP 的 DNS 服务器来查询,由截图看出, PWX 的确有缓存功能。

配置文件 dnsproxy.conf 中有详细的参数解析,个人建议 TCP 查询并不一定要用 8.8.8.8 这个 Google 的服务器地址,北方可以找韩国的,南方可以用香港的 ISP DNS 服务器。

在Windows下,使用 nslookup 命令时加上 -vc 参数可以强制使用 TCP 协议而不是 UDP 协议进行 DNS 查询。例如 :

nslookup -vc encrypted.google.com 8.8.8.8

进行DNS查询就可以得到正确的查询结果,其中 encrypted.google.com 是要解析的地址,8.8.8.8 是解析用到的 DNS 服务器地址,用此命令可以预先测试 DNS 服务器是否支持 TCP 方式的查询。

安装调试方法:

直接解压,运行 dnsproxy.exe 会有个黑窗口停留在任务栏,如果黑窗口一闪而过请查看配置文件是否有错。设置系统 DNS 服务器地址为 127.0.0.1 ,启动浏览器,应该能正常打开网页,同时黑窗口会有一些查询调试信息出现。正常后,可以运行 install.bat 来把这个软件安装成系统服务,开机自动运行而且不会有黑窗口出现。

DNS 服务器为保证安全性会随机打开一些高位端口(1024+,我机器都是20000+的端口号)来执行查询通讯,确保你的防火墙允许这个程序访问这些端口,如果系统有限制可以通过 TCPOptimizer 来改。

max_open_port

Tags: , ,

Oct 23

Foxy-Forwarding

Foxy是一款内容过滤的代理软件,其中有个Forwarding功能对FK GFW很有用。Forwarding允许你指定某些网站(列表)通过代理(列表),这个和浏览器默认的“以下站点不使用代理”是相反的,并且更符合实际情况,毕竟被Wall的站点还是小部分。当然对于FireFox用户来说有专门的FoxyProxy插件支持,如果用户同时使用IE和FireFox的话,Foxy就比较合适,它是一个独立程序,只需设置一次便能通用于所有浏览器。

Foxy安装后以系统服务方式启动,默认监听端口是8080,可以通过访问http://localhost:8888/proxies来直接访问Forwarding设置界面:

Hosts include中填写需要使用代理的网站列表(建议填写完整域名地址,使用过程中发现类似.domain.com并不能很好的匹配所有domain上的网站),Forwarding to one of these Proxys则填写你的代理列表,它会自动套用最近可以使用的代理服务器。

关于Foxy的其他功能,还请参考官方的用户手册: Foxy User Manual


[1/2]  1 2 >