Страница 1 из 1
посмотреть записи ns dns-сервера через dig [ DoH сервер ]
Добавлено: 24 мар 2025, 21:36
ya
для debian
для alpine
Искользовать:
или
Узнать сведения whois. Она покажет данные о регистрации блока IP-адресов или о регистрации доменного имени
Установка
Использование
Re: посмотреть записи ns dns-сервера через dig
Добавлено: 31 авг 2025, 16:25
ya
https://documentation.ubuntu.com/server/how-to/networking/install-dns/
Служба доменных имен (DNS)
Служба доменных имен (DNS) — это интернет-служба, которая сопоставляет IP-адреса и полные доменные имена (FQDN). Таким образом, DNS избавляет от необходимости запоминать IP-адреса. Компьютеры, на которых работает DNS, называются серверами имен. Ubuntu поставляется с Berkley Internet Naming Daemon (BIND), наиболее распространенной программой, используемой для обслуживания сервера имен в Linux.
Re: посмотреть записи ns dns-сервера через dig
Добавлено: 28 дек 2025, 01:27
ya
Set Up DNS over HTTPS (DoH) Resolver on Debian with DNSdist
https://www.linuxbabe.com/debian/set-up-dns-over-https-doh-resolver-debian-dnsdist
Set Up Your Own DNS Resolver on Debian with BIND9
https://www.linuxbabe.com/debian/dns-resolver-debian-10-buster-bind9
DoH против DoT
Существует еще один протокол, который также предназначен для шифрования DNS-запросов. Он называется DNS over TLS (DoT). Каковы преимущества использования DNS over HTTPS?
DoH работает на TCP-порте 443, который является стандартным портом для HTTPS-сайтов
/etc/dnsdist/dnsdist.conf
Код: Выделить всё
-- allow query from all IP addresses
addACL('0.0.0.0/0')
-- add a DoH resolver listening on port 443 of all interfaces
addDOHLocal("0.0.0.0:443", "/etc/letsencrypt/live/doh.example.com/fullchain.pem", "/etc/letsencrypt/live/doh.example.com/privkey.pem", { "/" }, { doTCP=true, reusePort=true, tcpFastOpenSize=0 })
-- downstream resolver
newServer({address="127.0.0.1:53",qps=5, name="resolver1"})
Код: Выделить всё
sudo apt install acl
sudo setfacl -R -m u:_dnsdist:rx /etc/letsencrypt/
sudo crontab -e
Код: Выделить всё
@daily certbot renew --quiet; setfacl -R -m u:_dnsdist:rx /etc/letsencrypt/
Re: посмотреть записи ns dns-сервера через dig
Добавлено: 28 дек 2025, 17:39
ya
bind9
Код: Выделить всё
sudo apt update
sudo apt install bind9 bind9utils bind9-doc bind9-host dnsutils
/etc/bind/named.conf.options
options {
listen-on {any;};
allow-query-cache {any;};
dnssec-validation auto;
auth-nxdomain no;
Код: Выделить всё
// hide version number from clients for security reasons.
version "not currently available";
// optional - BIND default behavior is recursion
recursion yes;
// enable the query log
querylog yes;
};
проверить:
named -v версию
netstat -lnptu | grep named порты, которые слушает bind9
sudo rndc status текущий статус днс-сервера
sudo named-checkconf правильность конфигурации
sudo systemctl status bind9 статус
Re: посмотреть записи ns dns-сервера через dig
Добавлено: 28 дек 2025, 20:35
ya
Генерация ключей dnssec
Код: Выделить всё
#!/bin/bash
if /usr/sbin/rndc-confgen -a -A hmac-sha256 > /dev/null 2>&1
then
:
fi
/etc/bind/named.conf.options
Код: Выделить всё
...
bindkeys-file "/etc/bind/rndc.key";
...
Re: посмотреть записи ns dns-сервера через dig
Добавлено: 02 янв 2026, 21:08
ya
Re: посмотреть записи ns dns-сервера через dig
Добавлено: 12 янв 2026, 23:54
ya
Re: посмотреть записи ns dns-сервера через dig [ DoH сервер ]
Добавлено: 16 янв 2026, 22:27
ya
проверка обратной зоны (актуально для почтовых серверов, например mx.hardprivate.com)
Re: посмотреть записи ns dns-сервера через dig [ DoH сервер ]
Добавлено: 07 май 2026, 04:25
ya
Скрипт резолвит домен, и если есть AAAA-адрес, добавляет IPv4-адрес этого домена в чс для iptables.
Код: Выделить всё
# Создаем список блокнутых IPv4
ipset create block_ipv4 hash:ip
# Правило в iptables: реджектнуть трафик на адреса из списка
iptables -A OUTPUT -m set --match-set block_ipv4 dst -j REJECT
Код: Выделить всё
#!/bin/bash
DOMAIN="example.com"
# Проверяем наличие AAAA записи
IPV6=$(dig +short AAAA $DOMAIN)
if [ ! -z "$IPV6" ]; then
# Если IPv6 есть, находим все IPv4 и заносим в бан-лист
IPV4_LIST=$(dig +short A $DOMAIN)
for ip in $IPV4_LIST; do
ipset add block_ipv4 $ip
done
echo "IPv6 detected for $DOMAIN. IPv4 addresses blocked."
else
echo "No IPv6 for $DOMAIN. Directing via IPv4."
fi
В Linux за выбор между IPv4 и IPv6 отвечает файл /etc/gai.conf. По умолчанию IPv6 и так имеет приоритет, но вы можете это закрепить.
Чтобы система всегда предпочитала IPv6 при наличии выбора:
Откройте файл: nano /etc/gai.conf
Найдите или добавьте строку:
precedence ::ffff:0:0/96 10
(Это установит стандартный приоритет, где нативные IPv6 адреса выше IPv4-mapped адресов).