30 Ocak 2019 Çarşamba

Güvenli sörf - DNSCrypt-proxy

DNSCrypt-proxy internet trafiğinizi güvenli hale getiren, onu şifreleyen bir uygulamadır.
DNS işleri için daha önceleri DNSmasq kullanıyordum, DNSCrypt-proxy'i de ona entegre ediyordum, ayrıca DSNmasq'a da reklamları engelleyen filtrelerde yapılabiliyor ama işlemleri biraz uzun oluyordu haliyle.

DNSCrypt-proxy'in V2 sürümü ile artık DNSmasq kullanmama gerek kalmadı, zira hem şifreleme, hem cache, hemde filtre olayı DNSCrypt-proxy V2 sürümlerinde çok pratik şekilde oluyor.

DNSCrypt-proxy'in Debian depolarında çeşitli sürümleri var, Debian 9 Strech sürümündeyse DNSCrypt-proxy'in V1.x sürümü kuruluyor, bize V2.x sürümü lazım. Deponuzda varsa oradan kurun yoksa V2 sürümünün .deb paketini indirip kurun.

wget http://ftp.tr.debian.org/debian/pool/main/d/dnscrypt-proxy/dnscrypt-proxy_2.0.19+ds1-2_amd64.deb
dpkg -i dnscrypt-proxy_2.0.19+ds1-2_amd64.deb
apt install -f

Bundan sonra resolv.conf'ta değişiklik yapmamız gerekiyor, içine nameserver 127.0.2.1 adresini koymanız gerek.

Yalnız resolv.conf başka bir yere linklenmiş bir dosyadır, işlem yapsak bile ilk restartta gene değişecektir. O yüzden onu önce silip, (isterseniz yedekleyin) sonra yeniden oluşturmak gerekiyor.

rm - f /etc/resolv.conf
touch /etc/resolv.conf
echo "nameserver 127.0.2.1" > /etc/resolv.conf
chattr +a /etc/resolv.conf

Normalde işimiz bitti ama dns değiştirmeyi söyleyelim ki eksik kalmasın /etc/dnscrypt-proxy/dnscrypt-proxy.toml dosyası DNSCrypt-proxy'in yapılandırması dosyasıdır, orada server_names = kısmı değiştirmek istediğiniz DNS lerin isimlerini girerek oluyor. Varsayılan olarak ['cloudflare'] dir, virgül koyarak daha fazla sunucularda eklenebilir.
server_names = ['cloudflare', 'cloudflare-ipv6'] gibi.

Buradan da kullanılabilecek diğer sunucu adreslerine de ulaşabilirsiniz.
https://github.com/dyne/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv

İşimiz bittiğinde servislere restart atmak gerekir.
systemctl restart networking ; systemctl restart dnscrypt-proxy

Artık sistem genelinde DNSCrypt-proxy'i kullanıyor olmanız gerekir, tarayıcılara da herhangi bir ayar yapmanıza gerek yoktur.
Cloudflare reklam engellemede çok başarı değil ama genede idare eder düzeydedir, daha fazlası için adguard DNS veya klasik tarayıcı engelleme programları kullanılabilir.

(DNSCrypt-proxy'e blacklist, whitelist ekleme seçenekleri de varmış, sonrada onları anlatacağım)

TESTLER
http://dnscrypt.me

DNSCrypt-proxy de Cloudflare sunucusunu kullanıyorsanız, böyle bir resim görüyorsanız bu işleminiz tamam demektir. Yanız IPV6 olayını tam çözemedim, o da yes olursa çok daha iyi olur ama henüz daha beceremedim. Görüldüğü gibi (DoH) için bile herhangi bir şey yapmaya gerek yoktur.

Cloudflare testi: https://1.1.1.1/help


Burası size puan verir, ben anca %60 alabiliyorum, o da IPV6 eksikliği yüzünden oluyor.
https://internet.nl/connection/

Burada ise DNSSEC testleri vardır.
https://dnssec.vs.uni-due.de/
http://www.dnssec-or-not.com/

Burası da Algoritmik test verir.
https://rootcanary.org/test.html

Burası zaten bilindik bir yerdir.
https://dnsleaktest.com/results.html

DNS cache'i konsolumuzdan kontrol edelim.
$ dig google.com.tr | grep -e Query -e SERVER

;; Query time: 276 msec
;; SERVER: 127.0.2.1#53(127.0.2.1)

Bir daha verelim.
$ dig google.com.tr | grep -e Query -e SERVER

;; Query time: 0 msec
;; SERVER: 127.0.2.1#53(127.0.2.1)
0 msec DNSCrypt-proxy'in cache yaptığını gösterir, işlem tamamdır.

Not:
dig uygulaması yok derse, dnsutils 'i kurun.
Ağ ayarları konusunda bilginiz yoksa, burada anlatılanları DENEMEYİNİZ !

Kolay gelsin.

Benzer Yayınlar

Güvenli sörf - DNSCrypt-proxy
4/ 5
Oleh

Abone Olun!

Beğendiyseniz yayınlara abone olabilirsiniz.