ฉันมีเซิร์ฟเวอร์ Ubuntu 20.04 เซิร์ฟเวอร์นี้ได้รับการตั้งค่าให้ใช้งานเว็บไซต์ WordPress (กอง LEMP). ในเซิร์ฟเวอร์นี้ ฉันได้ตั้งค่าตัวแก้ไข DNS ของ Ubuntu เพื่อใช้ "DNS Over TLS" ใช้บริการ Cloudflare DNS
เมื่อฉันเรียกใช้คำสั่งต่อไปนี้ ฉันเห็นว่าพอร์ตนี้ใช้พอร์ต 53 ไม่ใช้ DNS Over TLS พอร์ต 853 ในไฟร์วอลล์ CSF ของฉัน ฉันได้อนุญาตพอร์ต 853 ใน TPC และ UDP (เข้า/ออก)
อะไรคือสาเหตุของสิ่งนี้ ฉันจะบังคับให้ Ubuntu ใช้ DNSOverTLS ได้อย่างไร
การกำหนดค่า modified.conf
[แก้ไข]
DNS=1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
#FallbackDNS=
#โดเมน=
#LLMNR=ไม่
#MulticastDNS=ไม่
DNSSEC=ใช่
DNSOverTLS=ใช่
แคช = ไม่ติดลบ
#DNSStubListener=ใช่
#ReadEtcHosts=ใช่
นี่คือผลการทดสอบของฉัน
root@server:~# nslookup google.com
เซิร์ฟเวอร์: 1.1.1.1
ที่อยู่: 1.1.1.1#53
คำตอบที่ไม่ได้รับอนุญาต:
ชื่อ: google.co.th
ที่อยู่: 142.250.65.174
ชื่อ: google.co.th
ที่อยู่: 2607:f8b0:4006:81e::200e
root@server:~# kdig -d google.com
;; DEBUG: การค้นหาเจ้าของ (google.com.), คลาส (1), ประเภท (1), เซิร์ฟเวอร์ (1.1.1.1), พอร์ต (53), โปรโตคอล (UDP)
;; ->>ส่วนหัว<<- opcode: QUERY; สถานะ: NOERROR; รหัส: 51182
;; ธง: qr rd ra; คำถาม: 1; คำตอบ: 1; ผู้มีอำนาจ: 0; เพิ่มเติม: 0
;; ส่วนคำถาม:
;; กูเกิล.คอม. ใน
;; ส่วนคำตอบ:
กูเกิล.คอม. 246 ใน A 142.251.40.142
;; รับ44บ
;; เวลา 2022-01-30 16:17:34 +0530
;; จาก 1.1.1.1@53(UDP) ใน 1.3 มิลลิวินาที
อย่างไรก็ตาม เมื่อฉันเรียกใช้คำสั่งต่อไปนี้ จะใช้ DNS ผ่าน TLS (พอร์ต 853)
root@server:~# kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com example.com
;; DEBUG: การค้นหาเจ้าของ (example.com.), คลาส (1), ประเภท (1), เซิร์ฟเวอร์ (1.1.1.1), พอร์ต (853), โปรโตคอล (TCP)
;; DEBUG: TLS นำเข้าใบรับรองระบบ 128 รายการ
;; DEBUG: TLS ได้รับใบรับรองลำดับชั้น:
;; ดีบัก: #1, C=US,ST=California,L=San Francisco,O=Cloudflare\, Inc.,CN=cloudflare-dns.com
;; ดีบัก: SHA-256 PIN: RKlx+/Jwn2A+dVoU8gQWeRN2+2JxXcFkAczKfgU8OAI=
;; ดีบัก: #2, C=US,O=DigiCert Inc,CN=DigiCert TLS ไฮบริด ECC SHA384 2020 CA1
;; ดีบัก: SHA-256 PIN: e0IRz5Tio3GA1Xs4fUVWmH1xHDiH2dMbVtCBSkOIdqM=
;; DEBUG: TLS ข้ามการตรวจสอบ PIN ของใบรับรอง
;; DEBUG: TLS ใบรับรองเชื่อถือได้
;; เซสชัน TLS (TLS1.3)-(ECDHE-X25519)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
;; ->>ส่วนหัว<<- opcode: QUERY; สถานะ: NOERROR; รหัส: 16525
;; ธง: qr rd ra; คำถาม: 1; คำตอบ: 1; ผู้มีอำนาจ: 0; เพิ่มเติม: 1
;; EDNS สมมุติฐาน:
;; รุ่น: 0; ธง: ; ขนาด UDP: 1232 B; ex-rcode: NOERROR
;; ช่องว่างภายใน: 408 บ
;; ส่วนคำถาม:
;; ตัวอย่าง.คอม. ใน
;; ส่วนคำตอบ:
ตัวอย่าง.คอม. 68347 ใน A 93.184.216.34
;; รับ468บ
;; เวลา 2022-01-30 16:02:33 +0530
;; จาก 1.1.1.1@853(TCP) ใน 1.7 มิลลิวินาที
เมื่อฉันตรวจสอบสถานะตัวแก้ไข จะแสดง DNS ผ่าน TLS ที่เปิดใช้งาน
root@server:~# systemd-แก้ไข --status
ทั่วโลก
การตั้งค่า LLMNR: ไม่
การตั้งค่า MulticastDNS: ไม่
การตั้งค่า DNSOverTLS: ใช่
การตั้งค่า DNSSEC: ใช่
รองรับ DNSSEC: ใช่
เซิร์ฟเวอร์ DNS: 1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
94.237.127.9
94.237.40.9
DNSSEC NTA: 10.in-addr.arpa
16.172.in-addr.arpa
168.192.in-addr.arpa
17.172.in-addr.arpa
18.172.in-addr.arpa
19.172.in-addr.arpa
20.172.in-addr.arpa
21.172.in-addr.arpa
22.172.in-addr.arpa
23.172.in-addr.arpa
24.172.in-addr.arpa
25.172.in-addr.arpa
26.172.in-addr.arpa
27.172.in-addr.arpa
28.172.in-addr.arpa
29.172.in-addr.arpa
30.172.in-addr.arpa
31.172.in-addr.arpa
บริษัท
d.f.ip6.arpa
บ้าน
ภายใน
อินทราเน็ต
แลน
ท้องถิ่น
ส่วนตัว
ทดสอบ
ลิงค์ 4 (eth2)
ขอบเขตปัจจุบัน: ไม่มี
การตั้งค่า DefaultRoute: ไม่
การตั้งค่า LLMNR: ใช่
การตั้งค่า MulticastDNS: ไม่
การตั้งค่า DNSOverTLS: ใช่
การตั้งค่า DNSSEC: ใช่
รองรับ DNSSEC: ใช่
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
