dnscrypt-proxy (Português)

O serviço pode ser iniciado de duas formas mutuamente exclusivas (ou seja, apenas um dos dois pode estar ativado):

• Com o arquivo .service.

• Por meio de ativação de .socket.

Ao deixar comentado no arquivo de configuração , o dnscrypt-proxy escolherá o servidor mais rápido a partir das fontes já configurado em . As listas serão baixadas, verificadas e atualizadas automaticamente . Assim, a configuração de um conjunto específico de servidores é opcional.

Para definir manualmente qual servidor é usado, edite e descomente a variável , selecionando um ou mais dos servidores. Por exemplo, para usar os servidores da Cloudflare:

server_names = ['cloudflare', 'cloudflare-ipv6']

Uma lista completa de resolvedores está localizada na página do upstream ou no Github. Se o dnscrypt-proxy já tiver sido executado com sucesso no sistema antes, /var/cache/dnscrypt-proxy/public-resolvers.md também conterá uma lista. Olhe a descrição dos servidores que validam DNSSEC (Português), não registram e não são censurados. Esses requisitos podem ser configurados globalmente com as opções , , require_nofilter.

Para ver se algum programa está usando a porta 53, execute:

 $ ss -lp 'sport = :domain'

Se a saída contiver mais do que a primeira linha de nomes de coluna, será necessário desabilitar qualquer serviço que esteja usando a porta 53. Um culpado comum é (NetworkManager (Português)#Unit dbus-org.freedesktop.resolve1.service não encontrado), mas outros gerentes de rede podem ter componentes análogos. Você está pronto para prosseguir, uma vez que o comando acima não produz nada além da seguinte linha:

 Netid               State                 Recv-Q                Send-Q                                 Local Address:Port                                   Peer Address:Port

Modifique o arquivo resolv.conf e substitua o conjunto atual de endereços do resolvedor pelo endereço para localhost e opções :

nameserver ::1
nameserver 127.0.0.1
options edns0 single-request-reopen

Outros programas sobrescrevem essa configuração. Veja resolv.conf (Português)#Sobrescrita do /etc/resolv.conf para detalhes.

Finalmente, inicie/habilite a unit ou , dependendo de qual método você escolheu.

É recomendado executar o dnscrypt-proxy como um encaminhador para um cache DNS local, se não estiver usando o recurso de cache dnscrypt-proxy; caso contrário, todas as consultas farão um retorno para o resolvedor upstream. Qualquer programa de cache DNS local deve funcionar. Além de configurar o dnscrypt-proxy, você deve configurar o seu programa de cache DNS local.

Para encaminhar consultas de um cache DNS local, o dnscrypt-proxy deve escutar em uma porta diferente do padrão , já que o próprio cache DNS precisa escutar e consultar dnscrypt-proxy em uma porta diferente. O número de porta é usado como um exemplo nesta seção. Neste exemplo, o número da porta é maior que 1024, portanto, o dnscrypt-proxy não precisa ser executado pelo root.

Existem dois métodos para alterar a porta padrão:

Método do soquete

Edite como o seguinte conteúdo:

[Socket]
ListenStream=
ListenDatagram=
ListenStream=127.0.0.1:53000
ListenStream=[::1]:53000
ListenDatagram=127.0.0.1:53000
ListenDatagram=[::1]:53000

Quando as consultas são encaminhadas do cache DNS local para , vai iniciar .

Método do serviço

Edite a opção listen_addresses em com o seguinte:

listen_addresses = ['127.0.0.1:53000', '[::1]:53000']

As seguintes configurações devem funcionar com dnscrypt-proxy e assumir que ele está escutando na porta .

Configure Unbound ao seu gosto (em particular, veja Unbound#Local DNS server) e adicione as seguintes linhas ao final da seção em :

  do-not-query-localhost: no
forward-zone:
  name: "."
  forward-addr: ::1@53000
  forward-addr: 127.0.0.1@53000

Reinicie para aplicar as alterações.

Configure o dnsmasq como um cache DNS local. A configuração básica para trabalhar com dnscrypt-proxy:

Se você configurou o dnscrypt-proxy para usar um resolvedor com a validação DNSSEC ativada, certifique-se de ativá-lo também no dnsmasq:

Reinicie para aplicar as configurações.

Instale o pdnsd. Uma configuração básica para trabalhar com o dnscrypt-proxy é:

Reinicie para aplicar as configurações.

Edite o para incluir as seguintes linhas:

[Service]
CapabilityBoundingSet=CAP_IPC_LOCK CAP_SETGID CAP_SETUID CAP_NET_BIND_SERVICE
ProtectSystem=strict
ProtectHome=true
ProtectKernelTunables=true
ProtectKernelModules=true
ProtectControlGroups=true
PrivateTmp=true
PrivateDevices=true
MemoryDenyWriteExecute=true
NoNewPrivileges=true
RestrictRealtime=true
RestrictAddressFamilies=AF_INET AF_INET6
SystemCallArchitectures=native
SystemCallFilter=~@clock @cpu-emulation @debug @keyring @ipc @module @mount @obsolete @raw-io

Veja systemd.exec(5) e Systemd (Português)#Usando ambientes de aplicativos em sandbox para mais informações.

Extension Mechanisms for DNS que, junto com outras coisas, permitem que um cliente especifique quão grande uma resposta por UDP pode ser.

Adicione a linha a seguir ao :

options edns0

Você também pode querer acrescentar o seguinte ao :

EDNSPayloadSize bytes

sendo bytes um número de bytes, com valor padrão de 1252 e com valores máximos até 4096 bytes sendo supostamente seguros. Um valor abaixo ou igual a 512 bytes desativará este mecanismo, a menos que um cliente envie um pacote com uma seção OPT fornecendo um tamanho de carga útil.

Use o Servidor de teste de tamanho de resposta do DNS, use a ferramenta de linha de comando drill para emitir uma consulta TXT para o nome rs.dns-oarc.net:

$ drill rs.dns-oarc.net TXT

Caso haja suporte a EDNS0, a "answer section" da saída deve ser parecer com isso:

rst.x3827.rs.dns-oarc.net.
rst.x4049.x3827.rs.dns-oarc.net.
rst.x4055.x4049.x3827.rs.dns-oarc.net.
"2a00:d880:3:1::a6c1:2e89 DNS reply size limit is at least 4055 bytes"
"2a00:d880:3:1::a6c1:2e89 sent EDNS buffer size 4096"