Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Раздел полезных советов: Организация шифрованного доступа к ..."	+/–
Сообщение от auto_tips (ok), 17-Апр-18, 18:31
Для предоставления клиентам возможности доступа к DNS-серверу на основе BIND с использованием протокола DNS-over-TLS можно настроить TLS-прокси с использованием nginx. Для добавления TLS-слоя поверх DNS можно использовать модуль [[http://nginx.org/en/docs/stream/ngx_stream_core_module.html stream]] для nginx, который прозволяет организовать проброс произвольных TCP- и UDP-соединений. Пример nginx.conf:    user www-data;    worker_processes auto;    pid /run/nginx.pid;    events {       worker_connections 1024;    }    stream {       upstream dns_tcp_servers {          # IP и порт DNS-сервера, на который будет делать проброс          server 127.0.0.1:53;       }       # Прикрепляем к 853 порту слой TLS, пробрасываемый на локальный DNS-сервер       server {          listen 853 ssl;          proxy_pass dns_tcp_servers;          ssl_certificate       /etc/nginx/ssl/certificates/privacydns.crt;          ssl_certificate_key   /etc/nginx/ssl/certificates/privacydns.key;          ssl_protocols         TLSv1.2;          ssl_ciphers           ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;          ssl_session_tickets on;          ssl_session_timeout   4h;          ssl_handshake_timeout 30s;       }    } Сертификат можно получить через [[https://letsencrypt.org/ Let's Encrypt]].    certbot certonly -d privacydns.example.com --standalone На стороне клиента в качестве резолвера можно использовать [[http://www.unbound.net/ Unbound]], [[https://www.knot-dns.cz/ Knot]] или [[https://github.com/getdnsapi/stubby stubby]]. URL: https://dnsprivacy.org/wiki/display/DP/Using+a+TLS+proxy Обсуждается: https://www.opennet.ru/tips/info/3062.shtml
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Организация шифрованного доступа к DNS-серверу BIND (DNS-ove..."	+/–
Сообщение от universite (ok), 17-Апр-18, 18:31
После получения сертификата через certbot  не забываем делать симлинки в /etc/nginx/ssl/certificates/privacydns.crt и /etc/nginx/ssl/certificates/privacydns.key
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Организация шифрованного доступа к DNS-серверу BIND (DNS-ove..."	+/–
	Сообщение от Аноним (-), 21-Апр-18, 17:45
	забываем. нужно просто в конфигурацию nginx прописать пусть сертификату который в /etc/letsencrypt/live
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	4. "Организация шифрованного доступа к DNS-серверу BIND (DNS-ove..."	+/–
	Сообщение от А (??), 23-Апр-18, 15:01
	Берем клиент acme.sh, и в нем не забываем после получения сертификата сделать еще установку сертификата в любое удобное нам место в системе - после этого обновление сертификатов гарантированно будет обновлять их там, где мы сказали им лежать установленными.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Организация шифрованного доступа к DNS-серверу BIND (DNS-ove..."	+/–
Сообщение от Аноним (-), 20-Апр-18, 17:10
На какой домен сертификат получать? Или абсолютно всё равно? Как клиент будет сверять тот ли сертификат или нет?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Организация шифрованного доступа к DNS-серверу BIND (DNS-ove..."	+/–
Сообщение от тимоха (?), 29-Сен-18, 16:50
хелп, ребята что делать с этой прогой?дайте связт телеги я постучусь!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Организация шифрованного доступа к DNS-серверу BIND (DNS-ove..."	+/–
Сообщение от В (?), 21-Фев-19, 13:35
Тогда уже на certbot, а acme.sh берите, он поинтереснее )
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема