Az operátor által a dns elleni lehallgatás elleni küzdelem

Az internethez való hozzáférés a mobilom - 3G MTS, és az utóbbi időben rájöttem, hogy nem csak az üzemeltető elfogott HTTP forgalom (amely átlátható proxyzott keresztül Harmónia proxy), de a DNS-t. Az okok ismeretlenek számomra, de az ötlet nem tetszett, amellett nem működik OpenNIC (amit szinte soha nem használt, de még inkább, hogy a hozzáférést meg). A DNS közvetlen hozzáférésének helyreállítása többféle módon történt.

Az első opció, amit kipróbáltam, az OpenVPN volt. A szerverem messze van, a kapcsolat nem nagyon gyors. Ezenkívül több VPN-csomag veszteségének következtében az ügyfél hosszú időn keresztül elveszítheti a kapcsolatot a kiszolgálóval, ami vizuálisan eltünteti a teljes internetet, és nem csak egy, az elveszett csomagokra eső kérelmet. Ha egy stabil városi csatorna VPN lenne normális megoldás, akkor amikor a falutól 3G-re csatlakozik, ez a lehetőség nem megfelelő.

A második lehetőség valójában ugyanaz volt, de az OpenVPN helyett próbáltam sshuttle-t. A különbség az, hogy könnyen lehet váltani egy gyorsabb szervert, amelynek szerepe lehet bármely gép által elérhető SSH, és nem kell, hogy hozzon létre VPN ott. Sshuttle képes proxy DNS, általában jól működik, de az is elég lassú, és érzékeny a packet loss.

A harmadik lehetőség az volt, hogy DNS-kiszolgálót telepítsen a gépére egy nem szabványos porton, amelyet az operátor nem vág. Általában ez működik, de a szerver messze van, tehát nagyon lassan működik. Ezenkívül közbenső szerverre van szüksége, és előfordulhat, hogy nem.

A negyedik lehetőség az, amelyen abbahagytam a DNSCrypt használatát. Ez ügyfél-kiszolgáló alkalmazás titkosított és proxy DNS kérések TCP vagy UDP felett. Az OpenDNS nyilvános szerverrel rendelkezik. akik támogatják ezt a technológiát. Szervereik válaszolnak, beleértve a 443-as TCP-porton keresztül, amely megkülönböztethetetlen a HTTPS-től, vagyis az operátor nem tudja elfogni ezt a forgalmat, és helyettesítheti, csak tiltott.

A külső csatorna terhelésének csökkentése érdekében a dnsmasq-ot használom, amely a kéréseket kéri, és a dnscrypt-proxy segítségével kommunikál a külvilággal. Ez a csomag, amit telepítettem az útválasztón, ott van még egy nagyméretű gyorsítótár, amely az internetet sokkal érzékenyebbé és biztonságosabbá teszi.

A Config dnsmasq valami ilyesmit lát:

Az események fejlesztését az RSS-hírcsatornán vagy a levelezési listán keresztül követheti.