47

去Cloudflare化的第一步 自建权威DNS服务器

 3 years ago
source link: https://awsl.blog/2021/no-cloudflare-dns
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client
去Cloudflare化的第一步 自建权威DNS服务器
menu Thinking Null
TLSv1.3 TLS_AES_256_GCM_SHA384
more_vert
chevron_right 首页 » Linux,网络安全 » 正文
3254331761.png
去Cloudflare化的第一步 自建权威DNS服务器
2021-08-11 | Linux,网络安全 | 暂无评论 | 24 次阅读 | 991字

早就想停止使用云耀斑减速器了,原因如下

  1. API服务突然停止支持freenom的免费域名,并且一刀切,而不是限量限速。
  2. 免费版限制多,只能使用cloudflare的dns,不支持多级子域名。各种高级功能不让用,灰度测试时优先部署到免费节点,因此SLA很差。(虽然已经是业内较高水准了)
  3. 被MITM我就浑身难受,而Keyless SSL 又是企业用户专属。
  4. cloudflare确实没涉及什么隐私丑闻,也一直推动互联网向着安全,快速,开放发展,但它依然是互联网皇帝
  5. 傻瓜式操作,不利于计算机技术的学习。
  6. 我自己能搞定IPv6接入和dns分区域解析,大部分资源都在JSDelivr上,再用免费CDN意义不大
  7. 可不敢乱用 Cloudflare,谁用谁就是 G D
    著 名 网 络 安 全 专 家 ,复 旦 大 学 国 际 政 治 系 人 气 讲 师 沈逸 的微博也指出

    2013年开始根据FBI的国家安全传票,CF就开始给FBI提供数据了。刚才维基百科中文里面框处理的是他们2014年给港独提供在线投票专属服务的。https://weibo.com/1157864602/Kswdt9V6d

截至发稿时,该博主的与Cloudflare相关的微博已无法评论。可见Cloudflare里一定隐藏着一些惊 天 黑 幕。
可以说,去Cloudflare化势 在 必 行。

PowerDNS

看了一些网站,最后发现还是PowerDNS最适合我。
由于本文只是对去Cloudflare化作出指引,并不会提供具体的安装过程,截图仅为个人记录,请谨慎参考。
https://computingforgeeks.com/install-powerdns-and-powerdns-admin-on-ubuntu-debian/

可能会遇到数据库字符集问题,将 InnoDB 与 MyISAM 互转即可解决问题。其他问题都可以通过谷歌解决,注意安全组放行53端口,PowerDNS设置里开启api控制。
本步骤无需自己编译,耗时20分钟。

PowerDNS-Admin

这是一个更新及时,界面还算好看的 PowerDNS GUI 管理界面。PHPMyAdmin 也可以直接管理PowerDNS

如果不出意外,它就会监听9191端口。
本步骤需自己编译,耗时15分钟。

设置DNS记录

域名注册商

到你的域名注册商处设置域名服务器和胶水记录Glue Record。这是一个先有鸡还是先有蛋的问题。比如我的thinkingnull.com 域名服务器 ns0.thinkingnull.com,要想知道它的ns0的ip地址,就得问thinkingnull.com的域名服务器,然后就死循环了。所以需要胶水记录,把ns0.thinkingnull.com直接与 IP地址绑定好。不幸的,由于没有足够的资金购买Azure标准SKU的IP地址,所以IP地址不固定。一旦换IP,就得更改相关记录,并且需要几个小时才生效。
如果有固定IP,或者你的域名服务器是DDNS域名,那么设置后可以一劳永逸。

PowerDNS

打开刚刚安装的PowerDNS-Admin,注册帐号后自动成为管理员。配置好api地址,就可以添加域名了。
首先是SOA记录,这个记录记载了管理这个域名的人,保持默认就好。
然后是NS记录,不是刚刚在域名注册商那里设置过了吗?没错,这里我们再设置一遍。当然ns0对应的A记录也不能少了

DNSSEC

虽然听起来很安全,但没几家DNS提供商好好实现了,在国内,该污染还是污染。虽然国内服务商不支持DNSSEC,但我们有日志记录啊,一样能 确 保 安 全(意味深)。妄图对我国网 络 空 间 安 全指手画脚?太平洋没加盖子,请滚出中国(无慈悲),,,

好吧,虽说支持不好,但该配置的总要配置。还是到域名注册商那里配置DS记录。

60891 13 2 ba57ccdeaae86d67a78a114514e28191932aabb9810

比如上面的 60891 就是 KEY Tag13是算法Algorithm2是摘要算法Digest Type。通常来说,在界面设计良好的域名注册商,你只要按顺序填入就可以了。完成之后在 https://dnsviz.net/d/thinkingnull.com/dnssec/ 检测,很快就全部通过了。

至此,PowerDNS的配置告一段落,我们的域名也和cloudflare彻底脱离了关系。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK