Re: Туннелирование DNS

To: debian-russian@lists.debian.org
Subject: Re: Туннелирование DNS
From: Yuriy Kaminskiy <yumkam@gmail.com>
Date: Tue, 05 Mar 2013 17:02:59 +0400
Message-id: <[🔎] kh4qe0$55h$1@ger.gmane.org>
In-reply-to: <[🔎] 5130A5EF.6020308@yandex.ru>
References: <512CD743.4020107@lavabit.com> <87y5ebc65v.fsf@ws00.freehck.ru> <512DDCF5.6020308@ufp.appl.sci-nnov.ru> <877gltfxav.fsf@ws00.freehck.ru> <512E5BE5.5070402@yandex.ru> <CAAB-KckB2k9iH_7ag3xEC_xpBoVpDQ2CcWhtpqPvSV68PbXdrA@mail.gmail.com> <512FC036.5040308@lavabit.com> <[🔎] 5130A5EF.6020308@yandex.ru>

Артём Н. wrote:
> Эх, видимо, обсуждение теперь будет в этой ветке...
> 
> 01.03.2013 00:38, Ivan Zavarzin пишет:
>> Hleb Valoshka:
>>> On 2/27/13, "Артём Н." <artiom14@yandex.ru> wrote:
>>>
>>>> 1. Если установлен какой-либо плагин браузера, например, TorButton, DNS
>>>> запрос всё-равно производится напрямую и открытым текстом?
>>> нет
>>>
>> По-идее нет. Но для большей гарантии, лучше произвести прозрачную
>> торификацию посредством фаервола, если речь идет о сети Tor. На сайте
>> торпроджекта это подробно описано.
>> Тогда, правда, TBB надо "отвязать" от локальных тора, видалии и т.п.
>> (В tor-browser*/start-tor-browser для этого ./App/vidalia --datadir
>> Data/Vidalia/ -style Cleanlooks заменить на ./App/Firefox/firefox
>> -profile ./Data/profile -style).
> Я не имею ввиду именно Tor. Я привёл его просто, как пример "защищённого
> соединения".
> В этом плане больше меня интересуют SOCKS и прочее.
> Вопрос 1 был в том, как firefox (поскольку я им пользуюсь) производит резолвинг:
> 1. Используя системные вызовы (gethostbyname и подобное)?
> 2. При использовании прокси, через прокси? Если да, то как: у него есть
> встроенный резолвер?
> 3. При использовании сторонних расширений анонимизации, _например_ TorButton,
> резолвинг обеспечивается расширением?

Есть несколько видов прокси. При использовании http прокси - ресолвинг идёт на
стороне прокси. При использовании socks4 - ресолвинг идёт на стороне браузера,
(и для tor это, очевидно, не подходит); socks4a (и socks5?) - ресолвинг идёт в
прокси (см. network.proxy.socks_remote_dns). TBB/TorButton пользуется именно
этим вариантом.
Также tor умеет отвечать на dns запросы, и можно его настроить в качестве
nameserver (man torrc на предмет DNSPort).
Альтернативный вариант - см.
https://trac.torproject.org/projects/tor/wiki/doc/TransparentProxy

> Вопрос 2 был в том, как организовать туннелирование DNS запроса?

Если строгой анонимизации не нужно и нужно только пробросить dns с доверенного
сервера через небезопасную сеть, то dnscrypt-proxy и dnscrypt-wrapper подойдут,
наверно, больше.

> Например, я имею локально запущенный DNS сервер или нечто подобное (dnsmasq),
> который прописан в resolv.conf.
> Я могу запустить его через stunnel.

М... stunnel - это ведь tcp? А для dns нужен udp.

> Но куда прикрутить "второй конец" stunnel? Есть ли какие-то гейты, которые
> позволяют туннелировать через них любой протокол (этакий SOCKS только ещё и с SSL)?
> Есть ли DNS с поддержкой SSL?

См. выше про dnscrypt-proxy.

>> Но для большей гарантии, лучше произвести прозрачную
>> торификацию посредством фаервола, если речь идет о сети Tor.
> Честно говоря, я не очень хорошо знаком с Tor.
> Возможно через него туннелировать любой протокол?
> Нет такого, что там есть гейты лишь на распространённые протоколы (к примеру, HTTP)?

Reply to:

Follow-Ups:
- Re: Туннелирование DNS
  - From: "Артём Н." <artiom14@yandex.ru>
- Re: Туннелирование DNS
  - From: "Артём Н." <artiom14@yandex.ru>

References:
- Re: Туннелирование DNS
  - From: "Артём Н." <artiom14@yandex.ru>

Prev by Date: Re: Updated Debian 6.0: 6.0.7 released
Next by Date: Re: Updated Debian 6.0: 6.0.7 released
Previous by thread: Re: Туннелирование DNS
Next by thread: Re: Туннелирование DNS
Index(es):
- Date
- Thread