The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Раздел полезных советов: Организация шифрованного доступа к ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Организация шифрованного доступа к ..."  +/
Сообщение от auto_tips (ok) on 17-Апр-18, 18:31 
Для предоставления клиентам возможности доступа к DNS-серверу на основе BIND с использованием протокола DNS-over-TLS можно настроить TLS-прокси с использованием nginx.

Для добавления TLS-слоя поверх DNS можно использовать модуль [[http://nginx.org/en/docs/stream/ngx_stream_core_module.html stream]] для nginx, который прозволяет организовать проброс произвольных TCP- и UDP-соединений.


Пример nginx.conf:

   user www-data;
   worker_processes auto;
   pid /run/nginx.pid;

   events {
      worker_connections 1024;
   }

   stream {
      upstream dns_tcp_servers {
         # IP и порт DNS-сервера, на который будет делать проброс
         server 127.0.0.1:53;
      }

      # Прикрепляем к 853 порту слой TLS, пробрасываемый на локальный DNS-сервер
      server {
         listen 853 ssl;
         proxy_pass dns_tcp_servers;

         ssl_certificate       /etc/nginx/ssl/certificates/privacydns.crt;
         ssl_certificate_key   /etc/nginx/ssl/certificates/privacydns.key;
         ssl_protocols         TLSv1.2;
         ssl_ciphers           ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
         ssl_session_tickets on;
         ssl_session_timeout   4h;
         ssl_handshake_timeout 30s;
      }
   }

Сертификат можно получить через [[https://letsencrypt.org/ Let's Encrypt]].

   certbot certonly -d privacydns.example.com --standalone

На стороне клиента в качестве резолвера можно использовать [[http://www.unbound.net/ Unbound]], [[https://www.knot-dns.cz/ Knot]] или [[https://github.com/getdnsapi/stubby stubby]].


URL: https://dnsprivacy.org/wiki/display/DP/Using+a+TLS+proxy
Обсуждается: http://www.opennet.ru/tips/info/3062.shtml

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Организация шифрованного доступа к DNS-серверу BIND (DNS-ove..."  +/
Сообщение от universite (ok) on 17-Апр-18, 18:31 
После получения сертификата через certbot  не забываем делать симлинки в /etc/nginx/ssl/certificates/privacydns.crt и /etc/nginx/ssl/certificates/privacydns.key
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Организация шифрованного доступа к DNS-серверу BIND (DNS-ove..."  +/
Сообщение от Аноним (??) on 21-Апр-18, 17:45 
забываем.
нужно просто в конфигурацию nginx прописать пусть сертификату который в /etc/letsencrypt/live
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Организация шифрованного доступа к DNS-серверу BIND (DNS-ove..."  +/
Сообщение от А (??) on 23-Апр-18, 15:01 
Берем клиент acme.sh, и в нем не забываем после получения сертификата сделать еще установку сертификата в любое удобное нам место в системе - после этого обновление сертификатов гарантированно будет обновлять их там, где мы сказали им лежать установленными.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Организация шифрованного доступа к DNS-серверу BIND (DNS-ove..."  +/
Сообщение от Аноним (??) on 20-Апр-18, 17:10 
На какой домен сертификат получать? Или абсолютно всё равно? Как клиент будет сверять тот ли сертификат или нет?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor