फ़ायरफ़ॉक्स का उपयोग कैसे करें DNS के लिए टीसीपी का उपयोग करें

मैं अपने ISP के धीमे और टूटे DNS सर्वर को बायपास करने के लिए, DNS के लिए TCP का उपयोग करना चाहता हूं। मैं प्रॉक्सी का उपयोग नहीं कर रहा (और उपयोग नहीं करना चाहता)।

नोट: मैं टीसीपी पर डीएनएस का उपयोग करना चाहता हूं क्योंकि अगर मैं इसे यूडीपी पर उपयोग करता हूं, तो कोई फर्क नहीं पड़ता कि मैं किस सर्वर को सेट करता हूं, मुझे अपने आईएसपी के डीएनएस से उत्तर मिलते हैं।

ध्यान दें कि जो भी सुझाव देगा, मैं उसका जमकर विरोध करूंगा:

• DNS पर टीसीपी करने के लिए कार्यक्रम,
• about:configDNS को प्रॉक्सी पर जाने के लिए सेटिंग : मैं प्रॉक्सी का उपयोग नहीं कर रहा हूं,
• एक और डीएनएस का उपयोग करें: मैंने पहले से ही अपने डीएनएस के रूप में Google को सेट किया है, लेकिन मैं इंटरसेप्टेड हूं।

अवरोधन कहने से मेरा क्या मतलब है:

$ dig @8.8.8.8 thepiratebay.se

; <<>> DiG 9.8.1 <<>> @8.8.8.8 thepiratebay.se
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24385
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;thepiratebay.se.               IN      A

;; ANSWER SECTION:
thepiratebay.se.        28800   IN      A       83.224.65.41

;; Query time: 50 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sun Sep 16 22:51:06 2012
;; MSG SIZE  rcvd: 49

$ dig +tcp @8.8.8.8 thepiratebay.se

; <<>> DiG 9.8.1 <<>> +tcp @8.8.8.8 thepiratebay.se
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15131
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;thepiratebay.se.               IN      A

;; ANSWER SECTION:
thepiratebay.se.        436     IN      A       194.71.107.15

;; Query time: 61 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sun Sep 16 22:51:10 2012
;; MSG SIZE  rcvd: 49

अगर यह मायने रखता है, तो मैं Gentoo लिनक्स पर फ़ायरफ़ॉक्स 14 का उपयोग कर रहा हूं।

यदि आप glibc का उपयोग कर रहे हैं, तो आप undocumented use-vcविकल्प ( resolv/res_init.cglib स्रोत कोड में देख सकते हैं) का उपयोग कर सकते हैं, जो कि libc resolver को हमेशा TCP का उपयोग करने के लिए मजबूर करता है।

या तो इसे resolv.conf में विश्व स्तर पर सेट करें:

options use-vc nameserver 1.2.3.4

या पर्यावरण में विकल्प पास करें:

RES_OPTIONS=use-vc firefox

यह काम नहीं करेगा यदि आवेदन बिना डीबेक res_init/res_query/…फ़ंक्शन का उपयोग किए DNS के लिए अपना समर्थन लागू करता है। यह फ़ायरफ़ॉक्स के साथ काम कर रहा है (शायद जब तक आप SOCKS प्रॉक्सी सेटिंग्स में "रिमोट DNS" विकल्प का उपयोग नहीं कर रहे हों)।

अनबाउंड स्थापित करें , और अनबाउंड .conf कॉन्फिग फ़ाइल में "tcp-upstream: no" को "Yes" में बदलें।

# upstream connections use TCP only (and no UDP), "yes" or "no"
# useful for tunneling scenarios, default no.
# tcp-upstream: no

और एक अपस्ट्रीम रिज़ॉल्वर के माध्यम से सब कुछ फिर से भरने के लिए, कुछ इस तरह जोड़ें:

forward-zone:
    name: "."
    forward-addr: 213.154.224.3

आप अनबाउंड के लिए एक सुविधाजनक उपयोगकर्ता इंटरफ़ेस dnssec- ट्रिगर का भी उपयोग कर सकते हैं , जो इसे SSL कनेक्शन के माध्यम से सब कुछ सुरंग के लिए कॉन्फ़िगर करता है।

आईएसपी के मुद्दे को गोल करने का एक तरीका अपना स्वयं का, स्थानीय, DNS सर्वर चलाना है। यह लिनक्स पर विशेष रूप से मुश्किल नहीं है।

एक पिछला, संबंधित प्रश्न है जो कुछ प्रासंगिक बिंदुओं को शामिल करता है: जब ISP NXDOMAIN अनुरोध स्वीकार करता है तो क्या करना है? और यहाँ एक और लेख ।

DNSSEC ( विकिपीडिया ) लंबे समय में इस समस्या को दूर करना चाहिए। OpenDNS से भी DNSCrypt समस्या को हल करता है लेकिन केवल मैक और विंडोज वर्कस्टेशन के लिए।

अपने स्वयं के DNS स्थापित करने पर कई अच्छे लेख हैं:

• उबंटू
• लाल टोपी
• डेबियन

फ़ायरफ़ॉक्स DNS के लिए टीसीपी का उपयोग करें?

आप नहीं कर सकते

फ़ायरफ़ॉक्स उस निर्णय को नहीं करता है, यह सिर्फ एक ऑपरेटिंग सिस्टम एपीआई की तरह कहता है gethostbyname()

ऑपरेटिंग सिस्टम रिज़ॉल्वर को एक DNS सर्वर को बंद कर देता है।

आप सोच सकते हैं कि आप अपना स्वयं का आंतरिक DNS सर्वर सेट कर सकते हैं और इसे केवल टीसीपी का उपयोग करने के लिए कॉन्फ़िगर कर सकते हैं।

यहां किसी ऐसे व्यक्ति से संबंधित पोस्ट है जो शायद DNS के बारे में किसी और से अधिक जानता है।

08-11-2008 03:20 पूर्वाह्न

पुन :: यह संभव है बंधन को विशेष रूप से उपयोग करने के लिए BIND?

"जो बैप्टिस्टा" लिखते हैं:

क्या कोई कॉन्फ़िगरेशन परिवर्तन है जो BIND को विशेष रूप से TCP का उपयोग करने के लिए बाध्य करने और UDP का उपयोग करने के लिए कभी भी नहीं किया जा सकता है? मुमकिन?

नहीं।

-
पॉल विक्सी

शायद वैसे भी

सिद्धांत रूप में आप डीएनएस फारवर्डर को ढूंढ, लिख या संशोधित कर सकते हैं जो आपको चाहिए।

सिद्धांत रूप में आप फ़ायरफ़ॉक्स प्लगइन को खोजने या लिखने में सक्षम हो सकते हैं जो gethostbyname()कस्टम डीएनएस क्लाइंट कोड के साथ किसी भी कॉल को इंटरसेप्ट और रिप्लेस करता है - मुझे नहीं पता कि फ़ायरफ़ॉक्स प्लगइन आर्किटेक्चर इसे संभव बनाता है लेकिन यह देखने लायक हो सकता है।

मुझे भी यही समस्या थी। यह फ़ायरफ़ॉक्स में किसी भी सेटिंग, ओएस या टीसीपी बनाम यूडीपी में किसी भी सेटिंग से कोई लेना देना नहीं है। समस्या वास्तव में आपके ISP से राउटर में है। यह सभी "पोर्ट 53" ट्रैफ़िक को इंटरसेप्ट कर रहा है और इसे आपके आईएसपी के डीएनएस सर्वरों पर रीरूट कर रहा है। भेजा और प्राप्त पैकेट (NAT के समान) दोनों को इस तरह से फिर से लिखने से रीरूटिंग की जाती है कि आप यह नहीं बता सकते कि क्या हुआ (पैकेट में DNS सर्वर का पता आपके इच्छित उद्देश्य के अनुसार प्रतीत होता है, भले ही वह पैकेट हो वास्तव में आईएसपी के अपने डीएनएस सर्वर के पास गया)।

अपने राउटर तक पहुंचें (अक्सर वेब ब्राउजिंग द्वारा 192.168.1.1 और नाम और पासवर्ड दर्ज करके), उस स्थान को ढूंढें जहां वह DNS सर्वर कहता है, और उस पते को अपने ISP के DNS सर्वर से उस व्यक्ति में बदल दें जिसे आप वास्तव में उपयोग करना चाहते हैं (OpenDNS? Google? ? ...;)।

राउटर कॉन्फ़िगरेशन लगभग निश्चित रूप से यह प्रकट करेगा कि पता केवल राउटर द्वारा ही उपयोग किया जाता है। यह शायद इंटरसेप्टिंग या आपके कंप्यूटर के बारे में कुछ नहीं कहेगा। यह विश्वास मत करो। राउटर्स द्वारा डीएनएस अवरोधन का उद्देश्य एसओएचओ उपयोगकर्ताओं को अस्थायी रूप से फ़िल्टर किए गए डीएनएस को एक अवैध साइट को देखने के लिए दरकिनार रखना है, और जैसा कि यह एक बड़ा रहस्य है: इसलिए न्यूनतम रूप से प्रलेखित यह आमतौर पर मौजूद भी नहीं प्रतीत होता है।

Dnscrypt + अनबाउंड का उपयोग करें। डिफ़ॉल्ट रूप से dnscrypt 443 / udp पर OpenDNS को डीएनएस प्रश्न भेजता है।

हालांकि मुझे यह पता नहीं है कि मेरे लैन पर अन्य मशीनों के लिए इस डीएनएस सेवा को सुरंग बनाने का एक तरीका है। कोई भी पतंग काम नहीं करती, न कि नेटकट, सोसैट, या यूप्टनलाइन।

Google के सार्वजनिक DNS सर्वर का उपयोग करें। वे तेज और विश्वसनीय हैं। यहां विभिन्न प्रकार के ओएस पर उनका उपयोग करने के निर्देश हैं ।

Iptables का उपयोग करके आउटगोइंग UDP DNS अनुरोधों को अवरुद्ध करने का प्रयास करें:

iptables -A OUTPUT -p udp --dport 53 -j REJECT

UDP के लिए लुकअप विफल होना चाहिए और फिर (उम्मीद है) TCP का उपयोग करके पुनः प्राप्त किया जाना चाहिए।

आखिरकार, आप जिस तरह से कई टीपीबी उपयोगकर्ता जाते हैं और टीओआर या वीपीएन सेवा का उपयोग कर सकते हैं ।