【视频分享第四波】去除dns污染 dns-over-tls了解一下，openwrt stubby

QQ66

05.openwrt上安装和配置stubby dns-over-tls

参考

• https://dnsprivacy.org/wiki/display/DP/Configuring+Stubby
• https://github.com/openwrt/packages/tree/openwrt-18.06/net/stubby/files
  

安装

1. opkg update
   
2. opkg install stubby

复制代码

配置文件

1. #NOTE: See '/etc/stubby/stubby.yml.default' for original config file and descriptions
   
2. 
   
3. resolution_type: GETDNS_RESOLUTION_STUB
   
4. 
   
5. dns_transport_list:
   
6.   - GETDNS_TRANSPORT_TLS
   
7. 
   
8. tls_authentication: GETDNS_AUTHENTICATION_REQUIRED
   
9. 
   
10. tls_query_padding_blocksize: 128
    
11. 
    
12. edns_client_subnet_private : 0
    
13. 
    
14. round_robin_upstreams: 0
    
15. 
    
16. idle_timeout: 10000
    
17. 
    
18. listen_addresses:
    
19.   - 127.0.0.1@5453
    
20.   -  0::1@5453
    
21. 
    
22. upstream_recursive_servers:
    
23. ### cloudflare
    
24.   - address_data: 1.1.1.1
    
25.     tls_auth_name: "cloudflare-dns.com"
    
26.     tls_pubkey_pinset:
    
27.       - digest: "sha256"
    
28.         value: yioEpqeR4WtDwE9YxNVnCEkTxIjx6EEIwFSQW+lJsbc=
    
29.   - address_data: 1.0.0.1
    
30.     tls_auth_name: "cloudflare-dns.com"
    
31.     tls_pubkey_pinset:
    
32.       - digest: "sha256"
    
33.         value: yioEpqeR4WtDwE9YxNVnCEkTxIjx6EEIwFSQW+lJsbc=
    
34. ### Quad 9
    
35.   - address_data: 9.9.9.10
    
36.     tls_auth_name: "dns.quad9.net"
    
37.     tls_pubkey_pinset:
    
38.       - digest: "sha256"
    
39.         value: G+ullr8exb9aHemu3vmI9Jwquuqe0DwnBdFHss8UfVw=
    
40.   - address_data: 9.9.9.9
    
41.     tls_auth_name: "dns.quad9.net"
    
42.     tls_pubkey_pinset:
    
43.       - digest: "sha256"
    
44.         value: G+ullr8exb9aHemu3vmI9Jwquuqe0DwnBdFHss8UfVw=
    
45.   - address_data: 149.112.112.112
    
46.     tls_auth_name: "dns.quad9.net"
    
47.     tls_pubkey_pinset:
    
48.       - digest: "sha256"
    
49.         value: G+ullr8exb9aHemu3vmI9Jwquuqe0DwnBdFHss8UfVw=
    

复制代码

说明

• 默认配置无法查询；
• 修改为以上配置，增加pinset；
• round_robin_upstreams: 0，设为1会使轮询所有配置的服务器，应该设为0关闭，并且把延迟低的服务器放在前面，（前面的不可用才使用下一个dns服务器）；
• 推荐使用的cloudflare和quad9等公共dns服务器。
  

测试

1. stubby -C /etc/stubby/stubby.yml -v7
   
2. 
   
3. ## -C 为大写， -v7为debug模式，输出详细的log
   
4. 
   
5. ding @127.0.0.1 -p 5453 medium.com

复制代码

修改dns转发

1. 127.0.0.1#5453

复制代码

勾选忽略解析

✔ 忽略解析文件

访问dns污染的网站

一定要用https，一般只是能打开页面，视频、下载等等还是要挂代理。

视频链接：

YouTube短链接

QQ66

我可能和dns杠上了，仅仅是为了学习，清除dns污染的工具有很多，挑一个自己喜欢的就好。

w_anghe

谢谢分享

沙丘猫

RE: 【视频分享第四波】dns-over-tls了解一下，没有Android pie，还有openwrt stubby [修改]

unffe

哇塞。还有这个，好

lyss

这个还是不错的，谢谢提供了！

segasos

看看，谢谢发布分享！

icarus

看一下怎么搞

hcyme

stubby早就在pc用过，慢点

初识已是再见

...........

liubin8666

这个要学一下，毕竟能遇到这问题

余留香

这个需要弄个ui 才好配置吧...

QQ66

余留香 发表于 2018-12-4 17:08
这个需要弄个ui 才好配置吧...

luci之前学过一下，现在忘得差不多了，没有时间再捡起来，命令挺好的

hcyme

国内基本用不上吧，直接一杆入洞

世界的远野

推荐一个台湾的dns服务器，101.101.101.101，支持dot和doh。