dns over https 已经成为了标准了,给予我们的dns 解析添加了安全的支持

测试项目使用docker && docker-compose 运行

一张参考图

环境准备

  • dnscrypt-proxy (dns 代理的)
直接下载了linux 版本,并安装依赖

https://github.com/jedisct1/dnscrypt-proxy/releases
  • doh server
使用源码编译安装,使用docker 的multi stage 构建
  • nginx
使用openresty

docker-compose

  • 文件
version: "3"

services:

  nginx:

    image: openresty/openresty:alpine

    ports:

    - "443:443"

    - "8080:80"

    volumes:

    - "./nginx/nginx.conf:/usr/local/openresty/nginx/conf/nginx.conf"

    - "./nginx/cert/apicaddy.com/cert1.pem:/usr/local/openresty/nginx/conf/cert1.pem"

    - "./nginx/cert/apicaddy.com/privkey1.pem:/usr/local/openresty/nginx/conf/privkey1.pem"

  dns-server:

    image: dalongrong/doh-server

    volumes:

    - "./dns-server/doh-server.conf:/app/doh-server.conf"

    build:

      context: ./dns-server

      dockerfile: Dockerfile

  dns-proxy:

    image: dalongrong/dnscrypt-proxy

    build:

      context: ./dns-proxy

      dockerfile: Dockerfile
  • nginx 配置
worker_processes auto;

events {

    worker_connections 65535;

}

http {

    include mime.types;

    default_type application/octet-stream;

    sendfile on;

    keepalive_timeout 65;

    gzip on;

    real_ip_header X-Forwarded-For;

    real_ip_recursive on;

    server {

        listen 80;

        server_name localhost;

        charset utf-8;

        location / {

           proxy_set_header Host $http_host;

           proxy_set_header X-Real-IP $remote_addr;

           proxy_set_header X-Forwarded-For $remote_addr;

           client_body_buffer_size 10M;

           client_max_body_size 10G;

           proxy_buffers 1024 4k;

           proxy_pass http://dns-server:8053;

           real_ip_header X-Forwarded-For;

           real_ip_recursive on;

        }

        location /dns-query {

                proxy_set_header X-Real-IP $remote_addr;

                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

                proxy_set_header Host $http_host;

                proxy_set_header X-NginX-Proxy true;

                proxy_http_version 1.1;

                proxy_set_header Upgrade $http_upgrade;

                proxy_redirect off;

                proxy_set_header X-Forwarded-Proto $scheme;

                proxy_read_timeout 86400;

                proxy_pass http://dns-server:8053/dns-query ;

        }

    }

    server {

        listen 443 ssl http2;

        server_name app.apicaddy.com;

        ssl_certificate cert1.pem;

        ssl_certificate_key privkey1.pem;

        ssl_session_cache shared:SSL:1m;

        ssl_session_timeout 5m;

        ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:AES256+EDH';

        ssl_prefer_server_ciphers on;

        location / {

           proxy_set_header Host $http_host;

           proxy_set_header X-Real-IP $remote_addr;

           proxy_set_header X-Forwarded-For $remote_addr;

           client_body_buffer_size 10M;

           client_max_body_size 10G;

           proxy_buffers 1024 4k;

           proxy_pass http://dns-server:8053;

           real_ip_header X-Forwarded-For;

           real_ip_recursive on;

        }

        location /dns-query {

                proxy_set_header X-Real-IP $remote_addr;

                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

                proxy_set_header Host $http_host;

                proxy_set_header X-NginX-Proxy true;

                proxy_http_version 1.1;

                proxy_set_header Upgrade $http_upgrade;

                proxy_redirect off;

                proxy_set_header X-Forwarded-Proto $scheme;

                proxy_read_timeout 86400;

                proxy_pass http://dns-server:8053/dns-query ;

        }

    }

}
  • 修改配置文件
因为运行的时候没有启动ipv6 ,同时默认大部分软件绑定的端口是127.0.0.1

doh-server 配置修改

listen = [

    "0.0.0.0:8053",

]

。。。。

upstream = [

    # "1.1.1.1:53",

    # "1.0.0.1:53",

    # "8.8.8.8:53",

    # "8.8.4.4:53",

    "dns-proxy:53"

]

dnscrypt-proxy 配置:

listen_addresses = ['0.0.0.0:53']

构建&测试

  • 构建
docker-compose up -d

说明

dns over https 是很不错的东西,从安全以及灵活性,都是比较方便的,更多的使用还有待仔细研究

参考资料

https://github.com/jedisct1/dnscrypt-proxy/releases
https://www.aaflalo.me/2018/10/tutorial-setup-dns-over-https-server/
https://github.com/rongfengliang/dns-proxy-demo
https://github.com/m13253/dns-over-https
https://developers.google.com/speed/public-dns/docs/dns-over-https

 
 
 
 

dns over https 简单测试(docker 运行)的更多相关文章

  1. apache airflow docker 运行简单试用

    airflow 是一个编排.调度和监控workflow的平台,由Airbnb开源,现在在Apache Software Foundation 孵化. airflow 将workflow编排为tasks ...

  2. springboot+nginx+https+linux实现负载均衡加域名访问简单测试

    把springboot项目打包成三个jar包,并指定端口为 14341,14342,14343 下载腾讯云免费ssl证书,解压后会出现如下图文件夹 把nginx文件夹下的 .crt 和 .key文件复 ...

  3. Docker安装canal、mysql进行简单测试与实现redis和mysql缓存一致性

    一.简介 canal [kə'næl],译意为水道/管道/沟渠,主要用途是基于 MySQL 数据库增量日志解析,提供增量数据订阅和消费. 早期阿里巴巴因为杭州和美国双机房部署,存在跨机房同步的业务需求 ...

  4. 在 Azure 上使用 Docker运行 Mono

    Docker 是最近相当热门的一个名词,它是一个基于 Linux Container 的轻量化的虚拟技术,而微软也相当积极与 Docker 合作,在 Azure 上支持这个火热的技术,并且提供简单的方 ...

  5. Docker学习笔记之搭建Docker运行环境

    0x00 概述 既然 Docker 是一款实用软件,我们就不得不先从它的安装说起,只有让 Docker 运行在我们的计算机上,才能更方便我们对 Docker 相关知识和使用方式的学习.得益于与商业性的 ...

  6. 使用Docker运行Java Web应用

    前言 Tomcat是目前比较流行的Web应用服务器,深受Java爱好者的喜爱.通常J2EE应用的产出物是一个war包,这篇文章将为你介绍如何使用Docker运行Tomcat+war包的Java Web ...

  7. Docker运行GUI软件的方法

    转自 https://www.csdn.net/article/2015-07-30/2825340 简介: Docker通过namespace将容器与主机上的网络和运行环境进行了隔离,默认情况下,在 ...

  8. Docker运行MongoDB及Redis及ssh端口映射远程连接

    Docker运行MongoDB及Redis及ssh端口映射远程连接 本节内容简介 在本实验里我们将通过完成 MongoDB 和 Redis 两个容器来学习Dockerfile及Docker的运行机制. ...

  9. Docker运行 Mono

    Docker运行 Mono Docker 是最近相当热门的一个名词,它是一个基于 Linux Container 的轻量化的虚拟技术,而微软也相当积极与 Docker 合作,在 Azure 上支持这个 ...

随机推荐

  1. 转:Too many systemd: Created slice !

    OS: centos-release-7-4.1708 /va/log/message  大量这种提示信息: resolvent: Here is how I got rid of these: vi ...

  2. LeetCode--198--打家劫舍

    问题描述: 你是一个专业的小偷,计划偷窃沿街的房屋.每间房内都藏有一定的现金,影响你偷窃的唯一制约因素就是相邻的房屋装有相互连通的防盗系统,如果两间相邻的房屋在同一晚上被小偷闯入,系统会自动报警. 给 ...

  3. C#下实现的基础K-MEANS多维聚类

    资源下载 #本文PDF版下载 C#下实现的基础K-MEANS多维聚类PDF #本文代码下载 基于K-Means的成绩聚类程序 前言 最近由于上C # 课的时候,老师提到了-我们的课程成绩由几个部分组成 ...

  4. nyoj860(01变形)

    http://acm.nyist.net/JudgeOnline/problem.php?pid=860 又见01背包 时间限制:1000 ms  |  内存限制:65535 KB 难度:3   描述 ...

  5. java 中利用异或实现两个变量互换

    一般实现两个变量之间的互换要用第三个变量,这样做可以,但创建新变量,增加了系统开销.如果要交换的变量时两个整数型变量,可以用更高效的方法.例如:^(异或)操作,举例如下: package chapte ...

  6. Oracle HRMS APIs

    Oracle HRMS APIs..... Here I will be sharing all the Oracle HRMS APIs related articles. 参考地址: Oracle ...

  7. Eureka服务注册过程详解之IpAddress(详解eureka.instance.prefer-ip-address = true 与 eureka.instance.prefer-ip-address)

    分析,eureka.instance.prefer-ip-address 本节解释为什么配置eureka.instance.prefer-ip-address = true时,注册到Eureka Se ...

  8. map和unordered_map

    1.boost::unordered_map, 它与 stl::map的区别就是,stl::map是按照operator<比较判断元素是否相同,以及比较元素的大小,然后选择合适的位置插入到树中. ...

  9. tensoflow学习入门一

    对于如何创建图并开启session,参考如下 # -- encoding:utf-8 -- import tensorflow as tf # 定义常量矩阵a和矩阵b a=tf.constant([[ ...

  10. js解码编码decodeURI与decodeURIComponent区别

    ###decodeURI与decodeURIComponent区别 1. 概念: URI: Uniform ResourceIdentifiers,通用资源标识符 Global对象的encodeURI ...