Tôi có máy chủ Ubuntu 20.04. Máy chủ này được thiết lập để chạy các trang web WordPress (ngăn xếp LEMP). Trong máy chủ này, tôi đã thiết lập trình phân giải DNS ubuntu để sử dụng "DNS Over TLS". Sử dụng dịch vụ DNS của Cloudflare.
Khi tôi chạy các lệnh sau, tôi có thể thấy rằng nó sử dụng cổng 53, không sử dụng DNS Over TLS cổng 853. Trong tường lửa CSF của tôi, tôi đã cho phép cổng 853 trong TPC và UDP (vào/ra).
Điều gì có thể là lý do cho điều này? Làm cách nào để buộc Ubuntu sử dụng DNSOverTLS?
cấu hình đã giải quyết.conf.
[Giải quyết]
DNS=1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
# Dự phòngDNS=
#Miền=
#LLMNR=không
#MulticastDNS=không
DNSSEC=có
DNSOverTLS=có
Bộ nhớ cache = không âm
#DNSStubListener=có
#ReadEtcHosts=có
Đây là kết quả thử nghiệm của tôi.
root@server:~# nslookup google.com
Máy chủ: 1.1.1.1
Địa chỉ: 1.1.1.1#53
Câu trả lời không có thẩm quyền:
Tên: google.com
Địa chỉ: 142.250.65.174
Tên: google.com
Địa chỉ: 2607:f8b0:4006:81e::200e
root@server:~# kdig -d google.com
;; GỠ LỖI: Truy vấn chủ sở hữu (google.com.), lớp (1), loại (1), máy chủ (1.1.1.1), cổng (53), giao thức (UDP)
;; ->>HEADER<<- opcode: QUERY; trạng thái: KHÔNG LỖI; mã số: 51182
;; Cờ: qr rd ra; CÂU HỎI: 1; TRẢ LỜI 1; QUYỀN LỰC: 0; BỔ SUNG: 0
;; PHẦN CÂU HỎI:
;; google.com. TRONG MỘT
;; PHẦN TRẢ LỜI:
google.com. 246 TRONG 142.251.40.142
;; Đã nhận được 44 B
;; Thời gian 2022-01-30 16:17:34 +0530
;; Từ 1.1.1.1@53(UDP) trong 1,3 ms
Tuy nhiên, khi tôi chạy lệnh sau, nó sử dụng DNS qua TLS (cổng 853).
root@server:~# kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com example.com
;; GỠ LỖI: Truy vấn chủ sở hữu (example.com.), lớp (1), loại (1), máy chủ (1.1.1.1), cổng (853), giao thức (TCP)
;; GỠ LỖI: TLS, 128 chứng chỉ hệ thống đã nhập
;; GỠ LỖI: TLS, phân cấp chứng chỉ đã nhận:
;; GỠ LỖI: #1, C=US,ST=California,L=San Francisco,O=Cloudflare\, Inc.,CN=cloudflare-dns.com
;; GỠ LỖI: Mã PIN SHA-256: RKlx+/Jwn2A+dVoU8gQWeRN2+2JxXcFkAczKfgU8OAI=
;; GỠ LỖI: #2, C=US,O=DigiCert Inc,CN=DigiCert TLS Hybrid ECC SHA384 2020 CA1
;; GỠ LỖI: Mã PIN SHA-256: e0IRz5Tio3GA1Xs4fUVWmH1xHDiH2dMbVtCBSkOIdqM=
;; GỠ LỖI: TLS, bỏ qua kiểm tra mã PIN của chứng chỉ
;; GỠ LỖI: TLS, Chứng chỉ được tin cậy.
;; Phiên TLS (TLS1.3)-(ECDHE-X25519)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
;; ->>HEADER<<- opcode: QUERY; trạng thái: KHÔNG LỖI; id: 16525
;; Cờ: qr rd ra; CÂU HỎI: 1; TRẢ LỜI 1; QUYỀN LỰC: 0; BỔ SUNG: 1
;; EDNS PSEULỰA CHỌN:
;; Phiên bản: 0; cờ: ; Kích thước UDP: 1232 B; mã mở rộng: NOERROR
;; ĐỆM: 408 B
;; PHẦN CÂU HỎI:
;; ví dụ.com. TRONG MỘT
;; PHẦN TRẢ LỜI:
ví dụ.com. 68347 TRONG 93.184.216.34
;; Đã nhận được 468 B
;; Thời gian 2022-01-30 16:02:33 +0530
;; Từ 1.1.1.1@853(TCP) trong 1,7 ms
Khi tôi kiểm tra trạng thái trình phân giải, nó hiển thị DNS qua TLS đã bật.
root@server:~# systemd-resolve --status
Toàn cầu
Cài đặt LLMNR: không
Cài đặt MulticastDNS: không
Cài đặt DNSOverTLS: có
Cài đặt DNSSEC: có
DNSSEC được hỗ trợ: có
Máy chủ DNS: 1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
94.237.127.9
94.237.40.9
DNSSEC NTA: 10.in-addr.arpa
16.172.in-addr.arpa
168.192.in-addr.arpa
17.172.in-addr.arpa
18.172.in-addr.arpa
19.172.in-addr.arpa
20.172.in-addr.arpa
21.172.in-addr.arpa
22.172.in-addr.arpa
23.172.in-addr.arpa
24.172.in-addr.arpa
25.172.in-addr.arpa
26.172.in-addr.arpa
27.172.in-addr.arpa
28.172.in-addr.arpa
29.172.in-addr.arpa
30.172.in-addr.arpa
31.172.in-addr.arpa
tập đoàn
d.f.ip6.arpa
Trang Chủ
nội bộ
mạng nội bộ
lan
địa phương
riêng
kiểm tra
Liên kết 4 (eth2)
Phạm vi hiện tại: không có
Cài đặt DefaultRoute: không
Cài đặt LLMNR: có
Cài đặt MulticastDNS: không
Cài đặt DNSOverTLS: có
Cài đặt DNSSEC: có
DNSSEC được hỗ trợ: có
