Dns proxy что это в роутере: Использование публичных DNS-серверов – Keenetic

Содержание

Использование публичных DNS-серверов – Keenetic

Какие нужно выполнить настройки на Keenetic, чтобы определение адресов доменных имён в Интернете осуществлялось не через предоставленные провайдером DNS-серверы, а через общедоступные публичные DNS-сервера?


В сети Интернет доступ к узлам может осуществляться по их адресам (например, 2.11.115.99) либо соответствующим доменным именам, таким как help.keenetic.com. Соответствие между доменными именами и их адресами хранится в иерархической структуре службы доменных серверов (DNS-серверов). Обычно интернет-провайдер автоматически предоставляет своим пользователям собственный доменный сервер, однако в некоторых случаях может потребоваться использовать так называемые публичные серверы, расположенные в сети Интернет и доступные всем её пользователям.

В KeeneticOS модуль, отвечающий за работу службы доменных имён (DNS Proxy), агрегирует полученные от провайдера и настроенные вручную адреса серверов DNS в соответствии с указанными зонами (интерфейсами) и отправляет запрос на определение адреса доменного имени наиболее подходящему из них.

Если адрес для доменного имени уже был определён в результате полученного ранее запроса, он может хранится в кэше устройства, что обеспечивает ускорение повторного отклика сайтов.

Далее рассмотрим настройки интернет-центра Keenetic, которые можно выполнить для использования DNS-серверов в сети Интернет.

1. Использование публичных серверов DNS непосредственно компьютерами, подключенными к интернет-центру

Существует два варианта такой настройки — на компьютерах домашней сети или в интернет-центре.

а) На компьютере выполняется ручная настройка параметров протокола IP и требуемые адреса серверов DNS указываются в конфигурации сетевого интерфейса, например как на приведенном ниже скриншоте, — интерфейс компьютера получит IP-адрес и адрес шлюза по умолчанию от интернет-центра автоматически, но использовать в качестве DNS-сервера будет не его, а адреса серверов публичного провайдера SafeDNS.

Такой способ может быть неудобен, когда необходимо выполнить настройки на большом количестве устройств в сети или когда к интернет-центру подключаются всякий раз разные устройства, для которых требуется обеспечить одинаковые условия доступа.

б) Можно указать нужные публичные адреса DNS-серверов в веб-конфигураторе интернет-центра на странице «Домашняя сеть» в раздел

Настройка DDNS (Динамический DNS) на роутере TP-Link

Если вы зашли на эту страницу, то скорее всего хотите настроить функцию DDNS на своем роутере TP-Link. Возможно, для удаленного доступа к настройкам роутера, для доступа к FTP-серверу через интернет, или еще для каких-то задач, для которых может понадобится настройка динамической системы доменных имен. Если это так, то вы зашли по адресу. В этой статье я покажу, как выполнить настройку функции «Динамический DNS» на роутерах компании TP-Link со старым (зеленым) и новым (синим) веб-интерфейсом. Чтобы подготовить простую, а главное рабочую инструкцию, я уже все проверил на своем роутере (даже на двух). Сделал необходимые скриншоты, и готов рассказать вам о всех нюансах и возможных проблемах, с которыми можно столкнуться в процессе настройки. Прежде чем перейти непосредственно к настройке, в двух словах расскажу о DDNS, зачем он нужен и как работает.

Функция «Динамический DNS», или просто DDNS позволяет присвоить маршрутизатору постоянный адрес, с помощью которого можно получать доступ к роутеру. А так же к устройствам (IP-камерам, например) или серверам (FTP, HTTP), которые находятся (настроены) за роутером, или на роутере. Проще говоря, DDNS решает проблему внешнего динамического IP-адреса. Интернет провайдер выдает роутеру внешний IP-адрес, используя который можно зайти на роутер. Если этот WAN IP-адрес статический (постоянный) – отлично, настраивать DDNS вам не нужно. Но обычно провайдеры выдают динамические IP-адреса (которые постоянно меняются). Так вот, функция «Динамический DNS» позволяет привязать роутер к одному постоянному адресу, не смотря на динамический WAN IP-адрес.

Два важных момента:

  1. Если провайдер выдает роутеру внешний (публичный) статический IP-адрес, то выполнять настройку DDNS на роутере TP-Link не нужно, так как у роутера уже есть постоянный адрес. Как правило, эту функцию можно подключить у провайдера за дополнительную плату.
  2. Функция DDNS не работает с серыми IP-адресами. И это большая проблема, так как большинство провайдеров сейчас выдают именно серые, внешние IP-адреса, а не белые.

Больше информации об этой технологии, и о том, как проверить какой адрес (белый, или серый) выдает ваш провайдер, я писал в этой статье: DDNS (динамический DNS) на роутере: что это, как работает и как пользоваться. Обязательно прочитайте ее.

Как это работает: выбираем сервис (который предоставляет данную услугу) из списка доступных на своем роутере и регистрируемся в нем. Получаем постоянный адрес. В настройках роутера вводим этот адрес, имя пользователя и пароль (от сервиса, на котором регистрировались).

TP-Link DNS – только на роутерах с поддержкой облачных функций

Некоторые модели маршрутизаторов поддерживают фирменный сервис TP-Link DNS. Его можно настроить только на роутерах с поддержкой облачных функций. Как правило, это новые, дорогие модели (Archer C3150 V2, Archer C1200 V2/V3, Archer C59 V2/V3, Archer C9 V4/V5, Archer C7/V4 V5 и т. д.). Если у вас в роутере есть поддержка «Облако TP-Link», то рекомендую использовать DDNS от TP-Link.

Сначала нужно зарегистрировать аккаунт TP-Link ID и войти в него в настройках роутера, в разделе «Облако TP-Link» на вкладке «Базовые настройки».

Роутер будет привязан к вашему TP-Link ID. И, например, если войти в этот аккаунт в приложении TP-LINK Tether, то вы сможете управлять роутером удаленно. Через облако. Но это уже тема для другой статьи. И еще один момент: после привязки роутера к TP-Link ID, при входе в его настройки нужно будет вводить не пароль администратора роутера, а логин и пароль от аккаунта TP-Link ID.

Переходим в «Дополнительные настройки» — «Сеть» — «Динамический DNS». Ставим переключатель возле «TP-Link» в строке «Поставщик услуг». Нажимаем на кнопку «Зарегистрируйтесь». В поле «Доменное имя» нужно придумать и записать уникальный адрес для своего роутера. После чего нажимаем на кнопку «Сохранить».

Все, теперь установленный адрес (у меня это http://helpwifi123. tplinkdns.com/) можно использовать для обращения к маршрутизатору через интернет.

Всегда можно отвязать этот адрес от роутера и удалить его. Или создать новый.

Если роутер с поддержкой облачных функций, то однозначно рекомендую использовать именно TP-Link DNS. Настраивается очень просто и быстро, чего не скажешь о сторонних сервисах, о которых речь пойдет дальше в статье.

Регистрируем адрес DDNS (подходит для всех роутеров)

В начале статьи я уже писал, что сначала нам нужно выбрать сервис и зарегистрироваться в нем. Сервис нужно выбирать из списка доступных в своем роутере. Для этого заходим в настройки роутера TP-Link и переходим в раздел «Динамический DNS» (Dynamic DNS). На новых прошивках это вкладка: «Дополнительные настройки» — «Сеть» — «Динамический DNS».

Выбираем из писка «Поставщик услуг» нужный сервис и переходим по ссылке «Перейти к регистрации…»

Я регистрировал адрес на сайте no-ip.com. Мне он показался самым простым.

Вы можете выбрать другой сервис.

В сервисе no-ip.com можно получить адрес и использовать его бесплатно (тариф free), но там есть три ограничения: нужно каждые 30 дней подтверждать активность аккаунта, можно получить максимум три адреса третьего уровня, и ограниченный выбор доменов.

Переходим по ссылке, и сразу на главной странице нам нужно придумать и ввести адрес, который в дальнейшем будет использоваться для доступа к роутеру через интернет. Это должен быть уникальный адрес. Впрочем, если вы введет адрес, который уже используется, сервис вас об этом предупредит. Придумываем адрес и нажимаем на кнопку «Sign Up». У меня после регистрации этот адрес почему-то не появился в личном кабинете. Добавлял его заново.

Дальше нужно указать свою почту, придумать и указать пароль (эту почту и пароль мы будем вводить еще в настройках роутера), принять лицензионное соглашение и нажать на кнопку «Get Enhanced».

Откроется окно, где нам предложат оплатить платные услуги.

Вы можете просто закрыть это окно. На почту придет письмо, в котором нужно подтвердить свою электронную почту. Просто перейдите по ссылке из письма, нажав на кнопку «Confirm Account».

Откроется страница, на которой переходим в свой аккаунт (если необходимо, войдите в свой аккаунт используя почту и пароль).

Так как адрес, который я вводил при регистрации почему-то не был создан автоматически, то нужно создать его вручную. Для этого в своем аккаунте переходим в раздел «Dynamic DNS» и нажимаем на кнопку «Create Hostname».

Нужно придумать какой-то уникальный адрес (в дальнейшем это будет адрес нашего роутера) и указать его в поле «Hostname». Если хотите, можете выбрать любой домен из списка «Domain» (это не обязательно). Больше ничего не меняем. Регистрируем адрес нажав на кнопку «Create Hostname».

Видим, что адрес зарегистрирован. После настройки роутера, по этому адресу (доменному имени) мы сможем получать доступ к нашему роутеру из интернета (в том числе к FTP-серверу, IP-камерам и т.

д.). В моем случае, это адрес tplinkhelpwifi.hopto.org.

Все, регистрация завершена. Осталось только настроить маршрутизатор.

Настройка функции «Динамический DNS» на роутере TP-Link

Настройка роутеров со старой версией веб-интерфейса. Выполните вход в настройки своего маршрутизатора (зайдите на адрес 192.168.0.1, или 192.16.1.1) по этой инструкции.

Откройте раздел «Динамический DNS» (Dynamic DNS). Вменю «Поставщик услуг» выбираем сервис, в котором зарегистрировали адрес.

Дальше вводим «Доменное имя», которое создали на сайте постановщика услуг DDNS (см. скриншот выше). В поле «Имя пользователя» и «Пароль» нужно ввести электронную почту и пароль, которые использовали при регистрации на сайте (в нашем случае на no-ip.com).

Ставим галочку возле «Включить DDNS» и нажимаем на кнопку «Войти».

Если мы все сделали правильно, то статус подключения сменится на «Успешно». Сохраните настройки.

Вы можете отвязать роутер от этого адреса. Просто нажмите на кнопку «Выйти» и сохраните настройки.

Настройка DDNS на роутере с новым веб-интерфейсом

Открываем настройки роутера и переходим в раздел «Дополнительные настройки» — «Сеть» — «Динамический DNS».

Выбираем поставщика услуг и вводим данные, которые использовали при регистрации на сайте. В том числе доменное имя, которое мы создали для нашего маршрутизатора. Нажимаем на кнопку «Войти». После успешного подключения к DDNS можно сохранить настройки.

В любой момент можно перестать использовать динамический DNS, нажав на кнопку «Выход» и сохранив настройки.

Как пользоваться?

Чтобы зайти в настройки роутера TP-Link через интернет используя DDNS (с любого устройства, где бы вы не находились) нужно просто в браузере перейти по адресу, который мы получили в процессе регистрации. Например, http://tplinkhelpwifi.hopto.org/ (в моем случае).

Но перед этим нужно в настройках маршрутизатора открыть удаленный доступ для всех IP-адресов.

Я так понимаю, что для конкретного IP-адреса открыть доступ не получится (только в том случае, когда провайдер выдает вам статический IP-адрес). А это не очень безопасно. Поэтому, обязательно установите надежный пароль администратора роутера по этой инструкции: как на роутере поменять пароль с admin на другой. Он будет защищать страницу с настройками. Так же смените имя пользователя с заводского admin на другое.

Этот адрес можно использовать для доступа к FTP-серверу (который настроен на роутере) через интернет. В браузере переходим по этому адресу прописав в начале ftp://. Получится примерно такой адрес: ftp://tplinkhelpwifi.hopto.org/

Нужно сначала настроить FTP-сервер по инструкции настройка FTP-сервера на роутере TP-LINK и включить в настройках «Доступ к Интернет» (подробнее смотрите в инструкции по ссылке выше).

IP-телевидение (IPTV) и настройки UDP Proxy, UDP-to-HTTP

Следует отметить, что не все устройства такие как смартфоны, планшеты, IPTV-приставки, телевизоры Smart TV и Android TV, а также игровые консоли и различные онлайн ТВ-плееры способны воспроизводить мультикаст трафик (multicast) напрямую. В таких случаях необходимо указывать в настройках самих устройств, или в установленных на них приложениях и программах для просмотра IPTV непосредственно IP-адрес и порт прокси (proxy), указанные в настройках Wi-Fi роутера (маршрутизатора), или прокси-сервера (proxy-server) в локальной (домашней) сети. В роли такого сервера может выступать не только роутер, но и один из ваших персональных компьютеров, подключенных к такой малой сети. Например этот адрес может выглядеть так: 192.168.1.1:1234.

Глубоко в терминологию, схемы и принципы работы прокси-сервера мы погружаться не будем. Об этом можно прочесть на безграничных просторах интернета. Единственное, что нужно отметить, так это то, что для устройств, не способных воспроизводить IPTV по протоколу UDP, multicast поток преобразуется таким сервером в unicast поток, или UDP  в TCP, а точнее — UDP-to-HTTP. Рассмотрим с вами в общих чертах несколько примеров данных настроек.

И начнём мы с роутеров, так как в первую очередь организация домашней сети начинается именно с них и именно от их возможностей зависит, сможете вы смотреть IPTV вашего провайдера, или нет.

Поддержка UDP Proxy имеется в таких моделях роутеров как ASUS, Zyxel Keenetic, Mikrotik, Eltex и др. Также UdpxyLinux-прокси существует как отдельный компонент, доступный для загрузки и установки на альтернативные прошивки маршрутизаторов:  OpenWRT, DD-WRT, Gargoyle и прочих им подобных. Можно попробовать найти и установить такую прошивку, подходящую для модели и аппаратной версии вашего роутера, и произвести необходимые настройки.

Настройка Proxy на Wi-Fi роутере (маршрутизаторе)

В некоторых моделях маршрутизаторов (далеко не во всех), поддерживающих передачу мультикаст-потоков, имеется возможность включить встроенный программный прокси-сервер. Обычно такой пункт в веб-интерфейсе роутера находится во вкладке или на странице «Настройка локальной сети», «Домашняя сеть», или «LAN», возможно  «IPTV», «IP-телевидение» и называется соответственно «UDP Proxy», «Udpxy»«Proxy», «UDP-to-HTTP», «HTTP Proxy»«Включить Прокси», или что-то наподобие.

Имейте в виду, что при наличии и возможности включения IGMP Proxy, как в роутерах Zyxel Keenetic, его нужно обязательно включить.

Следует дополнительно включить UDP Proxy и назначить (прописать) порт, если его значение установлено как 0. Например: 1234, или любой другой. Что касается IP-адреса, то он по-умолчанию на различных моделях маршрутизаторов может быть 192.168.0.1, или 192.168.1.1, иногда, но редко — 192. 168.10.1. Смотрите инструкцию по настройке вашего роутера. Чаще всего данные об IP напечатаны на нижней крышке или на задней части корпуса маршрутизатора.

Пример настройки HTTP-прокси на маршрутизаторе Eltex WB-2

  • Выбираем вкладку IP-телевидение, затем IPTV.
  • В открывшихся настройках включаем IPTV (ставим галочку в чекбоксе).
  • Выбираем версию IGMP (здесь 3 варианта: Автоматически, V2 или V3, если сомневаемся, то оставляем как есть).
  • Включаем HTTP-прокси (также ставим галочку в чекбоксе).
  • Указываем порт прокси (в нашем случае это — 1234).
  • Применяем настройки нажатием соответствующей кнопки.

Пример настройки UDPXY на роутере D-Link DIR-615

  • Выбираем пункт настроек Дополнительно, затем Разное.
  • Выбираем версию IGMP (по-умолчанию V3).
  • Включаем сервис UDPXY (ставим галочку в чекбоксе).
  • Вписываем порт (в нашем случае номер порта — 1234).
  • Нажимаем кнопку Применить.
  • Сохраняем введённые данные (конфигурацию устройства).

Пример настройки UDPXY на роутере SNR-CPE-W4N

  • В настройках нужно выбрать пункт Сервисы, потом Разное.
  • Отключить Режим обработки NAT.
  • Включить IGMP прокси.
  • Преобразование мультикаста в http установить для LAN.
  • Ввести номер порта UDPXY — 1234.
  • Применить введённые настройки.

Пример настройки UDP-прокси на интернет-центре Keenetic Ultra

  • Выбираем в настройках пункт Управление, а затем Общие настройки.

  • Нажимаем кнопку Изменить набор компонентов.

  • Ищем в списке компонентов Прокси-сервер UDP-HTTP (udpxy).
  • Отмечаем его для установки (ставим галочку в чекбоксе).
  • Нажимаем кнопку Установить обновления.

  • После установки компонента и перезагрузки устройства открываем пункт настроек Управление, затем Приложения.

  • Ищем установленный компонент UDP-прокси.
  • Включаем прокси-сервер (переводим ползунок в правое положение).
  • Переходим в настройки компонента, нажав на ссылку UDP-прокси.

  • Вписываем номер порта (в нашем случае — 1234, по умолчанию — 4022).
  • В пункте настроек подключения (Подключаться через) нужно выбрать локальную сеть Провайдера (IPoE).

  • Сохраняем внесённые данные нажатием соответствующей кнопки.

После всех соответствующих настроек интернет-центра нужно указать (прописать) вручную IP-адрес и номер порта в настройках ваших устройств (виджетов, приложений, или программ), через которые вы хотите смотреть IPTV посредством прокси-сервера домашнего роутера. Если все данные указаны и введены вами верно, то телеканалы будут доступны для просмотра уже не по протоколу UDP, а по TCP.

Настройка Proxy на компьютере (прокси-сервер в домашней локальной сети)

Если ваш роутер поддерживает приём и передачу мультикастового трафика IPTV (например TP-Link, или D-Link с официальной заводской прошивкой), но в нём нет настроек UDP Proxy, то в качестве прокси-сервера можно использовать небольшую утилиту, установленную на один из персональных компьютеров, подключенных к этому Wi-Fi роутеру, то есть к малой локальной сети. При этом не важно какое подключение используется — проводное, или беспроводное.

Для этого нужно скачать специальную утилиту: UDP-to-HTTP Proxy для компьютеров под управлением ОС Windows.

Запускаем UDP-to-HTTP Proxy.exe и переходим к настройкам:

  1. Устанавливаем интерфейс UDP-мультикаста: 192. 168.1.2
  2. Устанавливаем интерфейс HTTP-сервера: 192.168.1.2
  3. Указываем порт: 1234 или какой-то другой.
  4. Сохраняем введённые данные.
  5. Запускаем программу вручную нажатием соответствующей кнопки, или настраиваем её запуск в качестве сервисной службы. Во втором случае утилита будет запускаться автоматически при включении компьютера.

Далее указываем вручную IP-адрес и номер порта (в нашем конкретном случае это — 192.168.1.2:1234)  в настройках ваших устройств, виджетов, приложений, или программ, через которые вы желаете смотреть IP-телевидение, используя прокси-сервер на компьютере. Если данные указаны и введены верно, то начнётся воспроизведение телеканалов.

  • sys-s.ru/wp-content/uploads/4-e1535514125844.jpg» data-title=»» data-description=»»>

 

Примечание: Иногда в некоторых приложениях, как например, в настройках виджета OTT-Player для Smart TV, нужно указывать IP-адрес и номер порта следующим образом: http://192.168.1.1:1234

Очень большим плюсом использования UDP Proxy в небольшой домашней сети как на Wi-Fi роутерах, так и на компьютерах является надёжность доставки пакетов трафика IPTV по Wi-Fi и возможность воспроизведения его практически на любых устройствах, а также значительно стабильнее транслируются телеканалы в HD качестве — без подвисаний и различных визуальных, звуковых артефактов.

Помочь в выборе подходящего Wi-Fi маршрутизатора вам помогут статьи на нашем сайте:

DNSCrypt-Proxy — документация Traffic Inspector Next Generation 1. 7.0

Плагин os-dnscrypt-proxy представляет собой гибкий DNS прокси-сервер с поддержкой современных шифрованых DNS протоколов DNSCrypt v2, DNS-over-HTTPS и Anonymized DNSCrypt.

Также плагин os-dnscrypt-proxy может выступать в роли самостоятельного DNS резолвера.

Установка плагина.

Перейдите в раздел Система -> Прошивка -> Плагины

На вкладке Плагины нажмите на кнопку + напротив плагина os-dnscrypt-proxy для его установки.

Настройка плагина

Перейдите в раздел Службы -> DNSCrypt-Proxy -> Конфигурация

Закладка Общие:

Выполните основные настройки плагина:

  • Адрес для прослушивания -Задайте комбинации IP-адресов и портов, которые должна прослушивать эта служба в формате IPv4 адрес:порт и/или [IPv6 адрес]:порт ( к примеру 127.0.0.1:5353 и/или [:: 1]:53 )

  • Разрешить привилегированные порты — Установите, чтоб разрешить службе работать на порту 53.

  • Максимум Клиентских Подключений — Установите максимальное число одновременных клиентских подключений.

  • Использовать сервера IPv4 — Разрешить DNSCrypt-Proxy использовать серверы с поддержкой IPv4.

  • Использовать сервера IPv6 — Разрешить DNSCrypt-Proxy использовать серверы с поддержкой IPv6.

  • Требовать NoFilter — Используйте только DNS-сервер без собственного черного списка. ( есть много серверов, удаляющих рекламу или с включенным родительским контролем.)

  • Принудительно TCP — Всегда использовать TCP для подключения к вышестоящим серверам.

  • Прокси — Использовать для маршрутизации всех TCP-соединений на локальный узел Tor, формат должен быть 127.0.0.1:9050

  • Тайм-аут — Как долго DNS-запрос будет ждать ответа в миллисекундах.

  • Постоянное соединение — Длительность keepalive (сек. ) для запросов HTTP (HTTPS, HTTP/2) в секундах.

  • Задержка обновления сертификата — Задержка в минутах, после чего сертификаты перезагружаются.

  • Ключи Ephemeral — Создайте новый уникальный ключ для каждого DNS-запроса ( это может улучшить конфиденциальность, но также может оказать значительное влияние на использование ЦП )

  • TLS отключить тикеты сеанса — Отключить тикеты сеанса TLS ( увеличивает конфиденциальность, но и задержку ).

  • Резервный резолвер — Адрес DNS сервера, который будет использоваться только для первоначальных запросов при получении исходного списка шифрованых DNS серверов и только если конфигурация DNS системы не работает. Формат IP адрес:порт ( к примеру 9.9.9.9:53 ).

  • Блокировка IPv6 — Отвечать на запросы, связанные с IPv6, пустым ответом ( обработка будет быстрее, когда не используется IPv6).

  • Кэш — Включить кэш DNS для уменьшения задержки и экономии исходящего трафика.

  • Размер кэша — Задайте размер DNS кэша.

  • Кэш минимальное значение TTL — Минимальный TTL для кэшированных записей.

  • Кэш максимальное значение TTL — Максимальный TTL для кэшированных записей.

  • Кэш минимальное значение отрицательного TTL — Минимальный TTL для отрицательных кэшированных записей.

  • Кэш максимальное значение отрицательного TTL — Максимальный TTL для отрицательных кэшированных записей.

После внесения всех изменений нажмите Сохранить

Закладка Пересылки:

Иногда возникает необходимость часть запросов пересылать на определенные DNS сервера (к примеру, локальные).

В таком случае вам необходимо создать описание такой пересылки (форвардинга).

Для этого нажмите + и добавьте описание пересылки:

  • Включен — включить данный форвардинг.

  • Домен — имя домена, для которого необходимо использовать конкретный DNS сервер.

  • DNS-сервер — IP адрес DNS сервера, на который будут пересылаться запросы. Можно использовать список адресов, разделенный запятой.

Закладка Переопределение:

На данной закладке вы можете создать записи переопределения доменов в определенные IP адреса (аналог файла hosts). В случае совпадения записи, плагин os-dnscrypt-proxy не будет пересылать запрос вышестоящим серверам, а сразу вернет ответ клиенту.

Для этого нажмите + и добавьте описание переопределения:

  • Включен — включить данное переопределение.

  • Имя — имя домена, для котрого необходимо выполнять переопределение.

  • Получатель — адрес, который будет возвращен клиенту в случае совпадения.

*.example.com
=example. com
*.example.*
example.*
example[0-9]*

Закладка Серверы:

При отсутствии сервера, необходимого для обработки ваших запросов, вы можете самостоятельно добавить его описание и использовать его в дальнейшем.

Для этого на закладке Серверы нажмите + и добавьте описание необходимого вам сервера.

  • Имя — название сервера, которое используется в списке серверов.

  • SDNS Stamp — Штамп сервера, в котором закодирован адрес сервера и его свойства.

Закладка DNSBL:

На данной закладке вы можете задать списки DNSBL фильтров, с помощью которых можно ограничивать запросы пользователей (черный список).

Для этого вам необходимо Включить данную настройку и в выпадающем списке отметь необходимые списки.

Закладка Белый список:

В случае, если необходимый домен попадает в черный список, вы можете создать исключение для него.

Для этого нажмите + и добавьте необходимую запись.

Настройка работы в качестве кеширующего сервера DNS:

Для настройки плагина os-dnscrypt-proxy в качестве проксирующего резолвера необходимо выполнить следующие настройки:

  1. Убедитесь, что выключены все модули TING, выполняющие резолвинг DNS на 53 порту, кроме Unbound DNS.

  2. На закладке Система -> Настройки -> Общие уберите все записи из секции DNS серверы (список должен быть пустым).

  3. Убедитесь, что сняты галочки с настроек
    • Позволить переопределить список DNS-серверов DHCP/PPP на WAN

    • Не используйте локальную службу DNS в качестве сервера имен для этой системы

  4. В общих настройках плагина os-dnscrypt-proxy:
  5. Перейти в настройку сервера Unbound DNS (Службы -> Unbound DNS -> Общие)

  6. Выключите параметр Переадресация DNS-запросов.

  7. В секцию Пользовательские настройки внесите следующий код:

    do-not-query-localhost: no
    forward-zone:
        name: "."
            forward-addr: 127.0.0.1@5353
    

    Адрес и порт должны совпадать с введенными ранее в П.4

  8. Нажмите кнопку Сохранить, а затем Применить изменения

Настройка в качестве основного резолвера DNS:

Для настройки плагина os-dnscrypt-proxy в качестве основного резолвера необходимо выполнить следующие настройки:

  1. Убедитесь, что выключены все модули TING, выполняющие резолвинг DNS на 53 порту (Unbound DNS, Dnsmasq DNS).

  2. На закладке Система -> Настройки -> Общие уберите все записи из секции DNS серверы (список должен быть пустым).

  3. Убедитесь, что сняты галочки с настроек
    • Позволить переопределить список DNS-серверов DHCP/PPP на WAN

    • Не используйте локальную службу DNS в качестве сервера имен для этой системы

  4. В общих настройках плагина os-dnscrypt-proxy:

Журналы:

В данном разделе вы можете просмотреть журналы работы плагина и выполненных запросов.

Настройка DNS на маршрутизаторах Cisco

Целью этого документа является сведение воедино некоторых данных об использовании DNS маршрутизаторами Cisco.

Требования

Читатели данного документа должны обладать знаниями по следующим темам:

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Можно настраивать конфигурацию маршрутизатора для использования поиска DNS, если вы хотите использовать команды ping или traceroute с именем хоста, а не IP адресом. Используйте для этого следующие команды:

Команда Описание
команда ip domain lookup Включает преобразование имени хоста в адрес на основе DNS. Эта команда включена по умолчанию.
ip name-server Задает адрес одного или более сервера доменных имен.
ip domain list Задает список доменов, для каждого из которых выполняется попытка использования.

 Примечание. Если список доменов отсутствует, используется доменное имя, заданное с помощью команды глобальной кофигурации ip domain name.

При наличии списка доменов доменное имя по умолчанию не используется.
ip domain name Задает доменное имя по умолчанию, которое используется ПО Cisco IOS для дополнения неполных имен хоста (имен без доменных имен в виде десятичного представления с точкой). Не включайте первую точку, которая отделяет неполное имя от доменного имени.
ip ospf name-lookup Настраивает протокол OSPF для поиска имен DNS, которые необходимо использовать во всех выводах команды OSPF show EXEC. Эта функция упрощает идентификацию маршрутизатора, потому что маршрутизатор называется по имени, а не по идентификатору маршрутизатора или соседа.

Здесь приведен пример конфигурации на маршрутизаторе, конфигурированном для основного поиска DNS:

Пример основной конфигурации поиска в DNS
 

Router# show running-config
Building configuration. .. 
Current configuration : 470 bytes
!
version 12.2
service timestamps debug datetime msec
service timestamps log uptime
no service password-encryption
!
hostname Router
!
!
ip subnet-zero
ip name-server 192.168.1.100

!--- Configures the IP address of the name server. !--- Domain lookup is enabled by default.
 
!
!
interface Ethernet0
 ip address 192.168.1.1 255.255.255.0
!
!  

!--- Output Suppressed.

 end
Router# ping www.cisco.com
Translating "www.cisco.com"...domain server (192.168.1.100) [OK]
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 198.133.219.25, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 224/228/236 ms

Устранение неисправностей

Довольно редко можно увидеть одну из следующих ошибок:

Router# debug ip udp
UDP packet debugging is on
Router# ping www. yahoo.com 
Translating "www.yahoo.com"...domain server (129.250.35.250) 
*Mar  8 06:26:41.732: UDP: sent src=209.69.16.66(5476), dst=129.250.35.250(53), length=59 
*Mar  8 06:26:44.740: UDP: sent src=209.69.16.66(5476), dst=129.250.35.250(53), length=59 
*Mar  8 06:26:47.744: UDP: sent src=209.69.16.66(5476), dst=129.250.35.250(53), length=59 
% Unrecognized host or address, or protocol not running. 
Router#undebug allAll possible debugging has been turned off

Router# ping www.yahoo.co.kr 
Translating "www.yahoo.co.kr"...domain server (169.140.249.4) ¡¦ 
Not process 
 
Router# ping www.novell.com 
Translating "www.novell.com"...domain server (255.255.255.255) 
% Unrecognized host or address, or protocol not running.

Для того чтобы устранить эту проблему, выполните следующие шаги:

  1. Убедитесь, что маршрутизатор может достичь сервера DNS. Отправьте на сервер DNS эхозапрос от маршрутизатора с помощью его IP-адреса и убедитесь, что для настройки IP-адреса сервера DNS на маршрутизаторе используется команда ip name-server.

  2. Используйте эти шаги, чтобы проверить, перенаправляет ли маршрутизатор запросы поиска:

    1. Задайте список контроля доступа (ACL), совпадающий на пакетах DNS:

      access-list 101 permit udp any any eq domain 
      access-list 101 permit udp any eq domain any
      
    2. Используйте команду debug ip packet 101.

       Примечание. Убедитесь, что задан ACL. При выполнении без ACL объем выходных данных команды debug ip packet в консоли может оказаться слишком большим, что приведет к перезагрузке маршрутизатора.

  3. Убедитесь, что на маршрутизаторе включена команда ip domain-lookup.

В редких случаях доступ к определенным веб-сайтам по имени невозможен. Обычно проблема возникает из-за недоступных сайтов, выполняющих обратный поиск DNS на исходном IP адресе с целью проверки того, что адрес не имитируется. При возврате неверной записи или отсутствии записей (иными словами, при отсутствии cвязанного названия для диапазона IP-адресов) запрос HTTP будет заблокирован.

Получив доменное имя в Интернете, следует также обратиться за получением домена inaddr.arpa. Этот специальный домен иногда называют обратным доменом. Домен обратного преобразования осуществляет преобразование цифровых IP-адресов в доменные имена. Если интернет-провайдер предоставляет вам сервер имен или назначил вам адрес из блока своих адресов, не требуется самостоятельно обращаться за получением домена in-addr.arpa. Консультация Интернет-провайдера.

Давайте Давайте Рассмотрим пример, в котором используется www.cisco.com. Приведенные ниже выходные данные были получены от рабочей станции UNIX. Использовались программы nslookup и dig. Обратите внимание на различия в выходных данных:

sj-cse-280% nslookup www.cisco.com 
Note:  nslookup is deprecated and may be removed from future releases.  
Consider using the 'dig' or 'host' programs instead.  Run nslookup with 
the '-sil[ent]' option to prevent this message from appearing. 
Server:         171.68.226.120 
Address:        171.68.226.120#53 
Name:   www.cisco.com 
Address: 198.133.219.25

sj-cse-280% nslookup 198.133.219.25 
Note:  nslookup is deprecated and may be removed from future releases. 
Consider using the 'dig' or 'host' programs instead.  Run nslookup with 
the '-sil[ent]' option to prevent this message from appearing. 
Server:         171.68.226.120 
Address:        171.68.226.120#53 
25.219.133.198.in-addr.arpa     name = www.cisco.com.

Программа dig дает более детальную информацию о DNS пакетах:

sj-cse-280% dig 198.133.219.25 
 
; <<>> DiG 9.0.1 <<>> 198.133.219.25 
;; global options:  printcmd 
;; Got answer: 
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 5231 
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 
 
;; QUESTION SECTION: 
;198. 133.219.25.                        IN      A 
 
;; AUTHORITY SECTION: 
.                       86400   IN      SOA     
A.ROOT-SERVERS.NET. nstld.verisign-grs.com. 
( 2002031800 1800 900 604800 86400 ) 

;; Query time: 135 msec 
;; SERVER: 171.68.226.120#53(171.68.226.120) 
;; WHEN: Mon Mar 18 09:42:20 2002 
;; MSG SIZE  rcvd: 107

В зависимости от уровня сетевой активности маршрутизатор может запросить несколько серверов имен, перечисленных в конфигурации. Ниже представлен пример:

router> test002 
Translating ?test002?...domain server (172.16.33.18) (171.70.10.78) 
(171.100.20.78) 
(172.16.33.18) (171.70.10.78) (171.10.20.78)
Translating ?test002?...domain server (172.16.33.18) [OK] 
Trying test002.rtr.abc.com (171.68.23.130)... Open

Это поведение весьма вероятно и имеет место, когда маршрутизатору требуется создать запись протокола разрешения адресов (ARP) для сервера DNS. По умолчанию маршрутизатор поддерживает ARP-запись в течение четырех часов. В периоды низкой активности маршрутизатору требуется дополнить ARP-запись и затем выполнить запрос DNS. Если ARP-запись для сервера DNS отсутствует в ARP-таблице маршрутизатора, при передаче только одного запроса DNS произойдет сбой. Поэтому отправляются два запроса: один для получения ARP-записи, если необходимо, а второй — для отправки запроса DNS. Такое поведение является обычным для приложений TCP/IP.

Маршрутизатор

не должен быть DNS-сервером

Я не уверен — но я использую для тестирования своих DNS-серверов с помощью этого инструмента:

https://www.grc.com/dns/benchmark.htm

после теста он говорит:
—— ————————————————— —————————
В системе настроен только ОДИН (на основе маршрутизатора) сервер имен.
Похоже, что только один локальный (маршрутизатор-шлюз) DNS-сервер имен с IP-адресом [192.168.1.1] в настоящее время предоставляет все услуги разрешения имен DNS для этой системы. Эта конфигурация не рекомендуется, поскольку большинство маршрутизаторов потребительского уровня предоставляют неэффективные и недостаточно мощные службы разрешения DNS.

Если DNS-преобразователи, которые использует ваш маршрутизатор, не находятся под вашим контролем, он может не предоставлять лучшие или полные услуги разрешения имен. Например, используется ли несколько дублирующих DNS-серверов имен?

Пользователи системы GRC DNS Spoofability определили, что маршрутизаторы потребительского уровня могут выйти из строя при получении определенных пакетов ответа DNS из Интернета.Это открывает возможность того, что Интернет-преступники могут получить доступ к вашему маршрутизатору из Интернета, а также к частной сети в контроле.

Многие маршрутизаторы потребительского уровня не могут предоставить полный набор служб поиска DNS. Это могло быть обнаружено тестом и указано ниже.

Рекомендуемые действия:

Если у вас нет особых причин не делать этого, вам следует серьезно подумать об отключении предоставления маршрутизатором служб DNS (которые он предоставляет для всех компьютеров в вашей локальной сети). После того, как это будет сделано, новая перезагрузка ваших компьютеров, скорее всего, покажет несколько DNS-серверов имен, предоставленных вашим интернет-провайдером. Это превосходная конфигурация, в которой маршрутизатор с недостаточным питанием действует как некомпетентный посредник и препятствует любому доступу к DNS.

Обратите внимание, что если вы можете определить IP-адреса серверов имен, предоставленных вашим поставщиком Интернет-услуг (которые могут быть видны в веб-конфигурации вашего маршрутизатора), вы можете вручную добавить их к серверам имен, тестируемым с помощью этого теста, при этом оставив свой маршрутизатор для поддержки DNS.Это позволит вам сравнить производительность при работе через маршрутизатор и при прямом подключении.
————————————————- ————————————————

на моем старом маршрутизаторе DNS был предоставлен всем клиентам: если я затем посмотрел с помощью ipconfig / all, я увидел 2 DNS-сервера, и ни один из них не был маршрутизатором.

Итак, я подумал, что могу получить это обратно без настройки каждого клиента.

Проблема с DNS и настройки DHCP для DNS

Я попробовал восстановить заводские настройки, но через пару дней DNS снова умирает.

Вот запрошенные вами перехваты пакетов.

Первый, первый показывает неотвеченные запросы DNS.

Второй показывает пакеты DHCP, определяющие маршрутизатор в качестве преобразователя, а не первичный и вторичный DNS-серверы, указанные на маршрутизаторе.


13: 44: 52.427483 IP 192.168.0.50.53543> 192.168.0.1.53: 58168+ A? d.dropbox.com. (31)
13: 44: 53.224035 IP 192.168.0.50.58761> 192.168.0.1.53: 23974+ А? ssl.gstatic.com.(33)
13: 44: 54.575041 IP 192.168.0.1.53715> 255.255.255.255.7423: UDP, длина 173
13: 44: 56.304650 IP 192.168.0.50.58761> 192.168.0.1.53: 23974+ A? ssl.gstatic.com. (33)
13: 44: 57.545639 IP 192.168.0.1.53715> 255.255.255.255.7423: UDP, длина 173
13: 44: 59. 674669 IP 192.168.0.50.52921> 192.168.0.1.53: 4820+ A? clients6.google.com. (37)
13:45: 00.521497 IP 192.168.0.1.53715> 255.255.255.255.7423: UDP, длина 173
13:45: 03.586250 IP 192.168.0.1.53715> 255.255.255.255.7423: UDP, длина 173
13: 45: 05.322884 IP 192.168.0.50.58761> 192.168.0.1.53: 23974+ A? ssl.gstatic.com. (33)
13: 45: 05.486670 IP 192.168.0.50> 192.168.0.1: эхо-запрос ICMP, id 379, seq 0, длина 64
13: 45: 05.489026 IP 192.168.0.1> 192.168.0.50: эхо-ответ ICMP, id 379, последовательность 0, длина 64
13: 45: 06.316149 IP 192.168.0.50.56777> 192.168.0.1.53: 18720+ A? www3.l.google.com. (35)
13: 45: 06.487419 IP 192.168.0.50> 192.168.0.1: эхо-запрос ICMP, id 379, seq 1, длина 64
13:45:06.488983 IP 192.168.0.1> 192.168.0.50: эхо-ответ ICMP, id 379, seq 1, длина 64
13: 45: 06.539016 IP 192.168.0.1.53715> 255.255.255.255.7423: UDP, длина 173
13:45: 07.487884 IP 192.168.0.50> 192.168.0.1: эхо-запрос ICMP, id 379, seq 2, длина 64
13: 45: 07. 489998 IP 192.168.0.1> 192.168.0.50: эхо-ответ ICMP, id 379, seq 2, длина 64
13: 45: 08.489005 IP 192.168.0.50> 192.168.0.1: эхо-запрос ICMP, id 379, seq 3, длина 64
13: 45: 08.491074 IP 192.168.0.1> 192.168.0.50: эхо-ответ ICMP, id 379, seq 3, длина 64
13:45: 09.489322 IP 192.168.0.50> 192.168.0.1: эхо-запрос ICMP, id 379, seq 4, длина 64
13:45: 09.490898 IP 192.168.0.1> 192.168.0.50: эхо-ответ ICMP, id 379, seq 4, длина 64
13: 45: 09.544986 IP 192.168.0.1.53715> 255.255.255.255.7423: UDP, длина 173
13:45: 10.489576 IP 192.168.0.50> 192.168.0.1: эхо-запрос ICMP, id 379, seq 5, длина 64
13: 45: 10.491282 ARP, запрос, у кого есть 192.168.0.50 tell 192.168.0.1, длина 28
13: 45: 10.491297 ARP, ответ 192.168.0.50 is-at 9c: f3: 87: b4: 8b: c6, длина 28
13: 45: 10.491973 IP 192.168.0.1> 192.168.0.50: Эхо-ответ ICMP, id 379, seq 5, длина 64
13: 45: 12.596608 IP 192.168.0.1.53715> 255.255.255.255.7423: UDP, длина 173
13:45: 15.556980 IP 192. 168.0.1.53715> 255.255.255.255.255.7423 255.255.7423: UDP, длина 173
13: 45: 18.638564 IP 192.168.0.1.53715> 255.255.255.255.7423: UDP, длина 173
13: 45: 20.758982 IP 192.168.0.50.53628> 192.168.0.1.53: 54154+ А? www.abc.net.au. (32)
13: 45: 21.568968 IP 192.168.0.1.53715> 255.255.255.255.7423: UDP, длина 173
13: 45: 24.577698 IP 192.168.0.1.53715> 255.255.255.255.7423: UDP, длина 173
13: 45: 25.758154 IP 192.168.0.50.53628> 192.168.0.1.53: 54154+ A? www.abc.net.au. (32)
13: 45: 27.580772 IP 192.168.0.1.53715> 255.255.255.255.7423: UDP, длина 173
13:45: 30.619196 IP 192.168.0.1.53715> 255.255.255.255.7423: UDP, длина 173
13: 45: 30.758493 IP 192.168.0.50.53628> 192.168.0.1.53: 54154+ А? www.abc.net.au. (32)
13: 45: 33.690943 IP 192.168.0.1.53715> 255.255.255.255.7423: UDP, длина 173
13: 45: 36.598435 IP 192.168.0.1.53715> 255.255.255.255.7423: UDP, длина 173

DHCP

 
PAD Опция 0, длина 0, встречается 26
13: 56: 08. 194197 IP (tos 0x0, ttl 255, id 39994, смещение 0, флаги [нет], протокол UDP (17), длина 328)
0.0.0.0.68> 255.255.255.255.67: [udp sum ok] BOOTP / DHCP, запрос от 9c: f3: 87: b4: 8b: c6, длина 300, xid 0xb9065a44, флаги [нет] ( 0x0000)
Client-Ethernet-Address 9c: f3: 87: b4: 8b: c6
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
Параметр DHCP-сообщения 53, длина 1: Discover
Параметр запроса параметра 55, длина 9:
Маска подсети, шлюз по умолчанию, сервер доменного имени, доменное имя
, опция 119, LDAP, опция 252, Netbios-Name-Server
Netbios-Node
MSZ, опция 57, длина 2: 1500
Client-ID, опция 61 , длина 7: ether 9c: f3: 87: b4: 8b: c6
Вариант аренды 51 , длина 4: 7776000
Имя хоста, опция 12, длина 9: «OwenAir-2»
END, опция 255, длина 0
PAD, опция 0, длина 0, происходит 15
13:56:08.290723 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.0.50 tell 192.168.0.1, length 46
13:56: 08. 389741 ARP, Ethernet (len 6), IPv4 (len 4), запрос who-has 192.168.0.65 сказать 192.168.0.32, длина 46
13: 56: 08.492557 IP (tos 0x0, ttl 64, id 43105, смещение 0, флаги [нет], протокол UDP (17), длина 116)
192.168. 0.55.61188> 192.168.0.255.19540: [udp sum ok] UDP, длина 88
13:56: 08.802977 IP (tos 0x0, ttl 64, id 0, смещение 0, флаги [нет], протокол UDP (17), длина 328)
192.168.0.1.67> 192.168.0.50.68: [udp sum ok] BOOTP / DHCP, ответ, длина 300, xid 0xb9065a44, флаги [нет] (0x0000)
Your-IP 192.168.0.50
Client-Ethernet-Address 9c: f3 : 87: b4: 8b: c6
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
Параметр DHCP-сообщения 53, длина 1: Предложение
Вариант идентификатора сервера 54, длина 4: 192.168.0.1
Параметр времени аренды 51, длина 4 : 86400
Вариант 1 маски подсети, длина 4: 255.255.255.0
Вариант 3 шлюза по умолчанию, длина 4: 192.168.0.1
Вариант 6 сервера доменного имени, длина 4: 192.168.0.1
END Опция 255, длина 0
PAD Опция 0, длина 0, встречается 26

DNS — проверка маршрутизатора

Что такое DNS

Система доменных имен или DNS — это служба в Интернете, которая превращает имена (например, routercheck. com) в IP-адреса (например, номера, которые компьютеры в Интернете используют для поиска друг друга). Это важно, потому что компьютерам для связи нужны IP-адреса, но они слишком громоздки, чтобы их запомнить.DNS позволяет людям запоминать простые в использовании имена, а затем при необходимости незаметно преобразовывать их в IP-адреса.

Вы можете думать об этом как о том, что происходит, когда вы звоните кому-нибудь по телефону. Телефонная система требует, чтобы вы использовали номер телефона этого человека, но кто больше помнит номера телефонов? Чтобы позвонить кому-либо, вы просто ищите в телефоне имя человека, и телефон позаботится о деталях, чтобы узнать номер. До мобильных телефонов этим процессом занимались телефонные справочники (или 411 для ленивых).

В Интернете процесс преобразования имен в IP-адреса обрабатывается DNS-сервером . В Интернете работает множество DNS-серверов — большинство от интернет-провайдеров, но некоторые работают как общедоступные службы, такие как Google DNS или OpenDNS.

Есть также плохие DNS-серверы

Большинство доступных DNS-серверов работают хорошо. К сожалению, всякий раз, когда появляется возможность заработать на каком-нибудь проказе, найдутся люди, которые попробуют это сделать.

Подумайте вот о чем: допустим, преступник использует DNS-сервер где-то в Интернете и убеждает вас использовать его.Он настроил его так, что всякий раз, когда вы вводите адрес веб-сайта своего банка, вместо того, чтобы разрешать правильный IP-адрес вашего банка, его искаженный DNS-сервер преобразовывает его в IP-адрес созданного им фальшивого веб-сайта, который выглядит так же, как ваш банк. Не зная разницы, вы взаимодействуете с его кривым веб-сайтом и при этом даете ему свою банковскую информацию, пароль и… все.

Какой бы безумной и сложной ни казалась эта схема, это происходит постоянно. И, к сожалению, это сделать намного проще, чем может показаться.

При чем тут ваш роутер

Эту схему легко реализовать, за исключением одной небольшой проблемы. Вспомните, как мы сказали, что преступник использовал свой плохой сервер и « он убеждает вас использовать его ». Что ж, никто на самом деле не будет пытаться убедить вас использовать их сервер. Причина этого в том, что обычно ваш компьютер решает, какой DNS-сервер использовать, на основе настроек, которые вы делаете в конфигурации своего маршрутизатора. Какая!? Вы ничего не настраивали в конфигурации своего роутера.Тогда, вероятно, вы используете DNS-сервер, назначенный вам вашим интернет-провайдером.

И вот здесь все становится опасно. Если хакеру удастся взломать ваш маршрутизатор, первое, что он сделает, это изменит настройки DNS-сервера на вашем маршрутизаторе на то, что он контролирует. После этого на каждый компьютер в вашем доме окажется под угрозой.

Последствия вредоносного DNS-сервера

Когда хакер изменил DNS-сервер маршрутизатора, он может проводить произвольные атаки типа «злоумышленник в середине» против пользователей скомпрометированного маршрутизатора.Вот список из нескольких возможных действий, которые можно выполнить, перенаправив определенные имена хостов DNS на сервер злоумышленника:

  • Перенаправлять пользователей на фишинговые сайты при открытии легитимного сайта
  • Перенаправить пользователей на эксплойты браузера
  • Блочные обновления программного обеспечения
  • Атака на средства обновления программного обеспечения, не использующие криптографические подписи
  • Заменить рекламу на веб-сайтах путем перенаправления рекламных серверов
  • Заменить исполняемые файлы, загруженные с официального сайта загрузки законных поставщиков программного обеспечения
  • Взломать учетные записи электронной почты путем кражи пароля, если почтовый клиент не принудительно использует TLS / SSL с действующим сертификатом

Это действительно плохая штука.Хуже всего то, что все это происходит из-за проблемы с местом, которое легко не заметить. Если ваш компьютер заражен вирусом из-за того, что ваш маршрутизатор указывает на плохой DNS-сервер, никакая очистка не остановит вирус от повторного появления снова и снова.

Прозрачные DNS-прокси

Существуют общепринятые «правила» работы DNS-сервера, и большинство из них делает это правильно. Вредоносные DNS-серверы, используемые для того, чтобы обмануть вас и украсть информацию, явно нарушают правила.

Кроме того, есть некоторые серверы, которые работают в серой зоне — не обязательно злонамеренно, но не действуют строго в соответствии с правилами. Это Прозрачные прокси-серверы DNS . Этими серверами часто управляют интернет-провайдеры, которые считают, что они делают своим клиентам одолжение. Поскольку интернет-провайдер отвечает за ретрансляцию всего трафика своих клиентов в Интернет и из Интернета, он находится в уникальном положении, так что он может изменять определенные типы запросов. Прозрачный прокси-сервер — это DNS-сервер, который провайдер будет использовать для запросов своих клиентов, даже если в запросе клиентов предлагается использовать другой сервер.Часто это делается ради доходов от рекламы, что на самом деле не приносит пользы конечному потребителю.

RouterCheck и DNS

RouterCheck осознает важность надежных DNS-серверов и тот факт, что настройки DNS-сервера маршрутизатора часто являются самой важной целью для хакера. RouterCheck использует проприетарную систему, чтобы определить, является ли DNS-сервер, который использует ваш компьютер, проблемным. RouterCheck следует использовать для частой проверки маршрутизатора, чтобы убедиться, что настройки маршрутизатора остаются в безопасности.

Общественный Wi-Fi

Бесплатный Wi-Fi, доступный в кофейне или другом общественном месте, — отличный способ сэкономить данные на тарифном плане мобильного телефона. Но это сопряжено с риском, к которому нельзя относиться легкомысленно. Если вы получаете DNS из общедоступной точки доступа Wi-Fi, вам нужно быть осторожным и убедиться, что вы не используете вредоносный сервер. Маловероятно, что владелец точки доступа сделал что-то злонамеренное, но кофейня, полная ничего не подозревающих людей, может стать непреодолимой целью для хакера.

RouterCheck можно использовать для проверки DNS-серверов общедоступной системы Wi-Fi и завершить проверку еще до того, как будет налито кофе.

Чтобы узнать больше о реальных проблемах с DNS, пожалуйста, посмотрите здесь.

Система доменных имен (DNS) на уровне приложений

DNS — это служба преобразования имени хоста в IP-адрес. DNS — это распределенная база данных, реализованная в виде иерархии серверов имен. Это протокол прикладного уровня для обмена сообщениями между клиентами и серверами.

Требование

Каждый хост идентифицируется по IP-адресу, но людям очень сложно запоминать номера, а также IP-адреса не статичны, поэтому требуется сопоставление для изменения доменного имени на IP-адрес. Таким образом, DNS используется для преобразования доменного имени веб-сайтов в их числовые IP-адреса.

Домен:
Существуют различные типы ДОМЕНА:

  1. Общий домен: .com (коммерческий) .edu (образовательный).mil (военный) .org (некоммерческая организация) .net (аналогично коммерческому) — все это общий домен.
  2. Загородный домен .in (Индия) .us .uk
  3. Обратный домен, если мы хотим знать, что такое доменное имя веб-сайта. Сопоставление IP-адресов с доменными именами. Таким образом, DNS может предоставить как сопоставление, например, для поиска IP-адресов geeksforgeeks.org, тогда мы должны ввести nslookup www.geeksforgeeks.org.

Организация домена

Очень сложно узнать IP-адрес, связанный с веб-сайтом, потому что существуют миллионы веб-сайтов, и со всеми этими веб-сайтами мы должны иметь возможность немедленно сгенерировать IP-адрес,
не должно быть большая задержка для этого очень важна организация базы данных.
DNS-запись — Доменное имя, ip адрес какой срок действия ?? сколько времени жить ?? и вся информация, относящаяся к этому доменному имени. Эти записи хранятся в древовидной структуре.


Пространство имен — Набор возможных имен, плоских или иерархических. Система именования поддерживает набор привязок имен к значениям — при наличии имени механизм разрешения возвращает соответствующее значение —

Сервер имен — это реализация механизма разрешения.. DNS (система доменных имен) = служба имен в Интернете. Зона — это административная единица, домен — это поддерево.

Разрешение имени и адреса

Хост запрашивает DNS-сервер для разрешения имени домена. И сервер имен возвращает хосту IP-адрес, соответствующий этому доменному имени, чтобы хост мог в будущем подключиться к этому IP-адресу.

Иерархия серверов имен
Корневые серверы имен — с ним связываются серверы имен, которые не могут разрешить имя.Он связывается с официальным сервером имен, если сопоставление имен неизвестно. Затем он получает сопоставление и возвращает IP-адрес хосту.

Сервер верхнего уровня — Он отвечает за com, org, edu и т. Д. И за все домены верхнего уровня, такие как uk, fr, ca, in и т. Д. У них есть информация об авторитетных серверах домена и известны имена и IP-адреса каждого авторитетного имени. сервер для доменов второго уровня.

Авторитетные серверы имен Это DNS-сервер организации, предоставляющий официальное сопоставление hostName и IP для серверов организации.Он может поддерживаться организацией или поставщиком услуг. Чтобы получить доступ к cse.dtu.in, мы должны запросить корневой DNS-сервер, затем он укажет на сервер домена верхнего уровня, а затем на полномочный сервер доменного имени, который фактически содержит IP-адрес. Таким образом, полномочный сервер домена вернет ассоциативный IP-адрес.

Сервер доменных имен


Клиентский компьютер отправляет запрос на локальный сервер имен, который, если root не находит адрес в своей базе данных, отправляет запрос на корневой сервер имен, который, в свою очередь, направляет запрос к промежуточному или авторитетному имени сервер.Корневой сервер имен также может содержать некоторые сопоставления hostName с IP-адресами. Промежуточный сервер имен всегда знает, кто является официальным сервером имен. Итак, наконец, IP-адрес возвращается на локальный сервер имен, который, в свою очередь, возвращает IP-адрес хосту.


Автор статьи Моника Сингх

Вниманию читателя! Не прекращайте учиться сейчас. Ознакомьтесь со всеми важными концепциями теории CS для собеседований SDE с курсом CS Theory Course по приемлемой для студентов цене и будьте готовы к отрасли.

Как настроить маршрутизатор Cisco в качестве DNS-сервера

Серверы доменных имен (DNS) — это Интернет-эквивалент телефонной книги. Они поддерживают каталог FQDN (полных доменных имен) и переводят их в IP-адресов .

Это необходимо, поскольку доменные имена легко запоминаются и, следовательно, конечные системы получают доступ к веб-сайтам на основе IP-адресов.

В сценариях, где нельзя использовать локальный сервер DNS , корпоративные клиенты должны быть полностью зависимы от 3 сторон rd , таких как ISP или некоторый общедоступный сервер DNS .

Эта схема будет иметь много накладных расходов и зависимостей. Маршрутизаторы Cisco имеют возможность интегрировать функциональность DNS и предоставлять локальную службу DNS, которая дает больше контроля для клиента.

Давайте разберемся ниже, как можно выполнить службу DNS на локальном маршрутизаторе Cisco, выполнив простые шаги:

Ниже приведена справочная диаграмма, на которой маршрутизатор Cisco R1 (192.168.0.1) будет настроен со службой DNS . Также у нас есть 2 рабочие станции arush и john с IP 192.168.0.3 и 192.168.0.4 соответственно. Файловому серверу присвоен IP 192.168.0.5.

Шаг 1 —

Включить службу DNS и поиск домена на маршрутизаторе —

R1 # настроить терминал
R1 (config) # ip dns server
R1 (config) # ip domain-lookup

Шаг 2 —

Настройте маршрутизатор с общедоступным сервером имен. DNS-запрос от внутренних пользователей будет отправлен на маршрутизатор, который затем отправит запрос на DNS-серверы через Интернет.IP-адрес пункта назначения возвращается на запрашивающую рабочую станцию.

R1 (config) # ip name-server 4.2.2.2

Связанные — DNS-сервер cisco

Шаг 3 —

Настройте DNS-сервер с именами хостов вашей локальной сети. В этом случае, когда любой другой компьютер хочет выполнить эхо-запрос « arush» (рабочая станция), маршрутизатор разрешит свое имя netbios на соответствующий IP-адрес. То же самое в случае «файлового сервера » .

R1 (config) # ip host fileserver 192.168.0.5
R1 (config) # ip host arush 192.168.0.3

Шаг 4 —

R1 # ping arush
Введите escape-последовательность для отмены.
Отправка 5 100-байтовых эхо-сообщений ICMP на адрес 192.168.0.3, таймаут 2 секунды:
!!!!!
Уровень успеха составляет 100 процентов (5/5), мин. / Сред. / Макс. Туда и обратно = 1/2/6 мс

R1 # ping fileserver
Введите escape-последовательность для отмены.
Отправка 5 100-байтовых эхо-сообщений ICMP на адрес 192.168.0.5, таймаут 2 секунды:
!!!!!
Уровень успеха составляет 100 процентов (5/5), мин. / Сред. / Макс. Туда-обратно = 1/1/6 мс

Шаг 5 —
Мы настраиваем рабочие станции и файловые серверы на использование IP-адреса маршрутизатора в качестве DNS-сервера, как показано ниже —

Связанные — Хост Cisco IP

Часто задаваемые вопросы о маршрутизаторе Cisco в качестве DNS-сервера

Вопрос: Что такое Cisco DNS ?

Ответ: Система доменных имен (DNS) — это распределенная база данных, в которой вы можете сопоставить имена хостов с IP-адресами через протокол DNS с DNS-сервера.Образ Cisco IOS создает таблицу кэша сопоставлений имени хоста-адреса. Эта кэш-память ускоряет процесс преобразования имен в адреса.

Если ваши сетевые устройства требуют подключения к устройствам в сетях, присвоение имен которым вы не контролируете, вы можете назначить имена устройств через Cisco DNS, которые однозначно идентифицируют ваши устройства во всей межсетевой сети.

Вопрос: Как мне сделать мой маршрутизатор Cisco DNS-сервером?

Ответ: Устройство Cisco IOS предоставляет клиентам службу DNS.Маршрутизатор CISCO действует как сервер имен кэша и как авторитетный сервер имен для локальных хостов. Когда маршрутизатор CISCO выступает в качестве сервера имен кэша, устройство направляет запросы DNS к серверам имен, которые преобразуют сетевое имя в IP-адрес. Сервер кэширования имен кэширует запросы DNS, чтобы он мог быстро отвечать на запросы без необходимости запрашивать полномочные серверы для каждой транзакции.

Когда маршрутизатор CISCO настроен как полномочный NS (сервер имен) для локального хоста, устройство будет прослушивать порт номер 53 для запросов DNS, а затем отвечать на запросы DNS, используя кэшированные записи в своей собственной таблице хостов.Полномочный NS (сервер имен) обычно выдает передачу зоны или отвечает на запросы передачи зоны от другого полномочного сервера имен (сервера имен) для той же зоны. Сервер DNS Cisco IOS не может выполнять передачи зон. Ниже приведены команды, используемые для настройки маршрутизатора в качестве DNS-сервера и сопоставления имени хоста с IP-адресом.

Вопрос: Что поставить для DNS сервера?

Ответ: DNS-сервер отвечает за преобразование доменных имен в IP-адреса, такие как nslookup www.google.com на 172.217.167.196. При назначении IP-адреса DNS-сервера хосту у нас есть несколько вариантов, например, есть общедоступные службы DNS, такие как OpenDNS и Google DNS и DNS-сервер самого вашего интернет-провайдера.

Вопрос: В чем причина для включения (настройки) службы DNS на маршрутизаторе или коммутаторе?

Ответ: Настройка DNS на маршрутизаторе / коммутаторе CISCO позволяет легко администрировать с консоли. Он включает разрешение DNS из консоли.Разрешение внешнего источника не допускается, если вы не настроили имена хостов на DNS-сервере.

Вопрос: Могу ли я использовать 8.8 8.8 DNS?

Ответ: Да, Google DNS — это общедоступная служба DNS, предоставляемая Google с целью сделать Интернет и систему DNS быстрее, безопаснее, безопаснее и надежнее для всех пользователей Интернета. Глобальные DNS-серверы Google доступны для всех. Некоторые интернет-провайдеры теперь даже предпочитают назначать глобальные DNS-серверы Google, а не использовать и поддерживать свои собственные серверы.

Вопрос. Что такое Google Public DNS?

Ответ: Google Public DNS — это бесплатная служба разрешения глобальной системы доменных имен (DNS), которую можно использовать в качестве альтернативы вашему текущему провайдеру DNS, и она доступна всем и везде.

Вопрос: Что такое OpenDNS ?

Ответ: OpenDNS — американская компания, предоставляющая услуги разрешения DNS с такими функциями, как: —

Характеристики:

  • Защита от фишинга
  • Фильтрация содержимого
  • Поиск DNS
  • Безопасность облачных вычислений
  • Обеспечивает более быстрый и надежный домашний Интернет.
  • Простота установки.

Преимущества использования OpenDNS:

OpenDNS предлагает более быструю и надежную службу DNS. С OpenDNS вы быстро доберетесь до места назначения и никогда не столкнетесь с перебоями в работе службы DNS, предоставляемой интернет-провайдером. Серверы OpenDNS хранят IP-адреса и имена хостов миллионов веб-сайтов в своем кэше, поэтому на обработку запросов пользователей потребуется меньше времени. Когда пользователь запрашивает IP-адрес веб-сайта, который ранее был запрошен другим пользователем OpenDNS, в этом случае DNS кэширует запись в таблице хостов, и ответ будет очень быстрым.OpenDNS также имеет функцию блокировки фишинговых сайтов и предотвращения заражения вирусами и вредоносными программами.

Недостатки использования OpenDNS:

OpenDNS направляет весь трафик через OpenDNS. Они предоставляют все разрешения хостов DNS, OpenDNS записывает полную информацию об истории просмотра Интернета пользователем.


7 этапов конфигурации Cisco DNS-сервера ⋆ IpCisco

Как настроить DNS на маршрутизаторах Cisco?

Чтобы использовать DNS , во-первых, мы должны настроить DNS-сервер .В сети мы можем настроить маршрутизатор как сервер системы доменных имен . В этом уроке мы поговорим о настройке DNS-сервера Cisco, мы увидим, как настроить маршрутизатор Cisco как DNS-сервер в сети.

Для нашего примера конфигурации DNS-сервера мы будем использовать следующую топологию:


Чтобы настроить маршрутизатор Cisco как DNS-сервер , нам необходимо выполнить несколько основных шагов настройки.Эти шаги настройки DNS-сервера Cisco приведены ниже:

1. Включите DNS-сервер
2. Включите Domian Lookup
3. Конфигурация общедоступного сервера имен
4. Сопоставление хоста / IP-адреса
5. Конфигурация IP интерфейса маршрутизатора
6. Конфигурация IP-адреса хостов
7. Проверка конфигурации

Теперь давайте настроим наш маршрутизатор Cisco Router как DNS-сервер , выполнив указанные выше действия.


Включить DNS-сервер

Чтобы включить DNS-сервер , мы будем использовать команду « ip dns server ».С помощью этой команды наш маршрутизатор становится DNS-сервером.

RouterA # настроить терминал
RouterA (config) # ip DNS server


Включить поиск домена

Чтобы включить поиск домена, мы будем использовать команду « ip domain-lookup ».

RouterA (config) # ip domain-lookup


Конфигурация серверов публичных имен

На маршрутизаторе мы настроим серверов публичных имен .В этой конфигурации наш маршрутизатор DNS-сервера будет запрашивать настроенные общедоступные DNS-серверы для каждого DNS-запроса и отвечать на него. Здесь вы можете использовать любые адреса Public DNS Server .

RouterA (config) # ip name-server 1.1.1.1
RouterA (config) # ip name-server 2.2.2.2


Host / IP Address Mappings

На этом этапе , мы передадим DNS-серверу имена хостов и их IP-адреса вручную.Обладая этой информацией, DNS-сервер может отвечать на запросы, поступающие от имен хостов с IP-адресами.

RouterA (config) # ip host Arwen 172.16.1.1

RouterA (config) # ip host Legolas 172.16.1.2

RouterA (config) # ip host Gandalf 172.16.1.3

Router ) # ip host Арагорн 172.16.1.4


IP-конфигурация интерфейса маршрутизатора

Интерфейс маршрутизатора к нашей сети будет настроен с IP-адресом в той же сети, что и хосты.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *