Wiki Search

Actions

Donate

Flattr this

Translations

You are here: OpenWrt Wiki » OpenWrt Wiki на русском языке » inbox » DNSCrypt
Table of Contents

DNSCrypt

Введение

Компания OpenDNS анонсировала проект DNSCrypt, в рамках которого продвигается новый способ защиты от атак, связанных с модификацией и манипулированием транзитным трафиком DNS. Основная задача DNSCrypt - полное шифрование всего канала связи между клиентом и сервером DNS, примерно как SSL используется для шифрования HTTP-трафика. Шифрование DNS-трафика позволит защитить клиента от атак "человек посередине", при которых злоумышленник вклинивается в канал связи и притворяется DNS-сервером. Кроме того, шифрование предотвращает наблюдение за трафиком и блокирует активность злоумышленников, связанную с подбором идентификаторов пакетов или отправкой фиктивных DNS-ответов.

Установка для ar71xx

Для начала, скачиваем http://www.ge.tt/#!/3XexhfG/v/1 

cd /tmp
wget http://one-c.ru/dnscrypt-proxy_0.9.3-1_ar71xx.ipk
opkg install /tmp/dnscrypt-proxy_0.9.3-1_ar71xx.ipk

Настройка

Настраиваем /Dnsmasq для исползования dnscrypt-proxy на 127.0.0.1:2053

Пример /etc/config/dhcp 

config 'dnsmasq'
        option 'domainneeded' '1'
        option 'boguspriv' '1'
        option 'filterwin2k' '0'
        option 'localise_queries' '1'
        option 'rebind_protection' '1'
        option 'rebind_localhost' '1'
        option 'local' '/lan/'
        option 'domain' 'lan'
        option 'expandhosts' '1'
        option 'nonegcache' '0'
        option 'authoritative' '1'
        option 'readethers' '1'
        option 'leasefile' '/tmp/dhcp.leases'
        #option 'resolvfile' '/tmp/resolv.conf.auto'     #закоментировать
        option 'noresolv' '1'     #Добавить
        list 'server' '127.0.0.1#2053'     #добавить
        list 'server' '2620:0:ccc::2'    # OpenDNS*
        list 'server' '2620:0:ccd::2'    # OpenDNS*

config 'dhcp' 'lan'
        option 'interface' 'lan'
        option 'ignore' '1'

config 'dhcp' 'wan'
        option 'interface' 'wan'
        option 'ignore' '1'
*OpenDNS предоставляет общедоступные IPv6 DNS-сервер IPv6 DNS.

Пример /etc/init.d/dnscrypt-proxy 

#!/bin/sh /etc/rc.common
# Copyright (C) 2009 OpenWrt.org

START=50

start() {
	/usr/sbin/dnscrypt-proxy -d -P 2053 -p /var/run/dnscrypt-proxy.pid
}

stop() {
	/usr/sbin/dnscrypt-proxy
}

Запускаем dnscrypt-proxy 

/etc/init.d/dnscrypt-proxy start

Перезапускаем /Dnsmasq

Примечание: время на маршрутизаторе должно быть установлено ​​правильно. 

/etc/init.d/dnsmasq restart

Очищаем кэш DNS на компьютерах и серверах

Примечание: Команды должны быть запущены в командной строке с правами администратора.

Windows ⇒ ipconfig /flushdns

Mac OSX 10.4 (Tiger) ⇒ lookupd -flushcache

Mac OSX 10.5/10.6 (Leopard/Snow Leopard) ⇒ dscacheutil -flushcache

Linux ⇒ sudo /etc/init.d/nscd restart или sudo /etc/init.d/networking restart

Ссылки

Источнок https://forum.openwrt.org/viewtopic.php?id=36380

Проверяем работоспособность http://www.opendns.com/welcome/

Back to top

ru/inbox/dnscrypt.txt · Last modified: 2012/05/24 23:20 by buffl