dns server配合dingo防止dns投毒和内网解析

之前看到有人用群晖的dns server做了内网解析，我之前家里的网络么一直都是使用的dnsmasq+chinadns+pdnsd来做解析和防止dns的某些解析错误（大家应该都懂的），然后手痒痒准备折腾下群晖自己的dns server

        先简单说下家里网络吧，因为北京这边电信已经彻底不给公网ip了，所以我家里的网络和阿里云的ecs主机打了一个洞，阿里云的机器可以直接访问内网的任意一台机器，从公网访问内网也就成为了可能。
        然后就是fq的需求了，上上google啊，看看土鳖啊，这一块呢就碰到了dns偶尔的解析错误了，所以之前采用了上面说到的方式来防止，dnsmasq里面导入了国内域名列表，国内域名直接走本地电信的dns，其他的域名走chinadns，然后转发给pdnsd把dns请求从udp转换为tcp丢给hk的机器来做真正的解析，同时还要负责解析我自己的域名，回到家里就解析成内网地址。

        前情提要结束，下面开干，首先是选择更好的防止dns解析错误的方式，原来的chinadns+pdnsd对于cdn其实不是很友好，家里访问一些国内的视频网站经常各种解析错误或者慢，所以这次也要一并解决，最终研究了一天，选择了DNS Over HTTP(S)，提供https的解析服务选择的是dns.google.com。
        首先说下dns.google.com本身解析速度飞快，然后呢就是很重要的支持edns_client_subnet设置，这一点很重要，设置edns_client_subnet为本地的出口地址，这样解析出来的结果cdn也是正确的了，可以说是目前最完美的解决dns投毒的方式了。
        然后就是选择本地的应用了，支持使用dns.google.com做解析的开源软件其实挺多，看到国内有人做过prcdns，但是各种不好用，后来看到了dingo，用go开发的，做了一些测试完美，而且可以在docker里面跑。
        关于dingo的镜像我没有直接使用docker hub上的版本，而是直接去了做着的github做了调整，因为默认的镜像修改一些参数群晖自己的docker界面创建的时候会报错，所以我是自己从Dokerfile在群晖本地构建出来的镜像。
        1、首先ssh到群晖，然后命令创建一个dingo目录（mkdir dingo）
            
        2、进入dingo目录（cd dingo)，下载dockerfile（wget https://raw.githubusercontent.co ... er/dingo/Dockerfile）
            
        3、然后就是需要对Dockerfile做修改，我直接把修改的内容放上来

1. FROM ubuntu:16.04
   
2. 
   
3. RUN set -x \
   
4.     && apt-get update \
   
5.     && apt-get install -y ca-certificates \
   
6.     && apt-get install -y curl \
   
7.     && curl -k -L -o /usr/local/bin/dingo https://github.com/pforemski/dingo/releases/download/0.13/dingo-linux-amd64 \
   
8.     && chmod a+x /usr/local/bin/dingo \
   
9.     && apt-get remove -y --purge curl \
   
10.     && apt-get autoremove -y --purge \
    
11.     && rm -rf /var/lib/apt/lists/*
    
12. 
    
13. CMD dingo -bind=0.0.0.0 -port=53 -gdns:edns=1.203.64.25 -gdns:server=216.58.197.110

复制代码

         这里我主要增加了apt-get install -y ca-certificates，安装证书，否则运行会报错          然后就是最后的启动参数，默认只绑定在127.0.0.1，所以在docker 里面跑会有问题
          -gdns:edns=1.203.64.25，这里是指定edns_client_subnet的参数，后面的地址用你们自己宽带的出口ip地址即可
          -gdns:server=216.58.197.110，这里是指定dns.google.com的地址，我用的hk的，因为解析最终就是hk完成，这里需要自己修改，找到一个能访问的ip地址，我家里是在路由导入了国内的路由表，如果不是国内的ip地址就会转发走隧道出去。
          修改好之后，运行"sudo docker build -t dingo:latest . "，注意最后一个“点”哦～不要忘记。
           
          看到最后的successfully就好了，然后就能在群晖的docker里面，看到你刚刚build出来的镜像了
         
        4、后面我们开始在docker里面做写操作，首先我们要新增一个新的网络
              
          这里随便起一个名字吧，然后确定，我们开始运行dingo
         
          回去docker的映像，选择前面创建出来的dingo:latest，然后启动，名字自己随便起，这里先点击高级设置
         
         进入高级设置，选择网络，把你刚才新建的网络添加进去，确定，然后下一步应用，docker就会把dingo起来了
         
          在容器里面就能看到已经运行的dingo了，点击详情查看下日志，有同样的内容就代表运行好了，然后来配置群晖的dns server。
          这里有一点，我们需要知道dingo的地址，还是在dingo的详情里面，选择最后的终端机，点新增旁边的箭头，通过命令启动
          输入“/bin/bash”，然后确定
         
        可以左边就有了bash，点击进去，就可以在右边输入命令
       执行“cat /etc/hosts”，这里能看到我最后的“172.19.0.2 dingo-dns2https"，我的容器名字就是dingo-dns2https，前面的172.19.0.2这个地址就是docker分配给dingo的地址，这里记下来。
        
        我们打开dns server，进入解析，勾选“启用解析服务”和下面的“启用解析器”，下面输入上面查到的docker里面的ip地址，然后应用
        

        好了，这样就可以了，用群晖的dns提供了解析服务，我用来访问群晖的域名解析成内网地址，然后解析也使用群晖的dns来完成了，一举兼得，而且比以前架构简单～

小白看不懂

这个教程好，收藏了

感谢分享

也就是说，不用ngrok之类的，也能够在外网直接访问内网了？

谢谢分享！！！

感谢分享！！！

jojo100 发表于 2018-11-21 23:59
也就是说，不用ngrok之类的，也能够在外网直接访问内网了？

ngrok只是选择之一
我直接通过家里的路由器和阿里云之间通过pptp建立一个隧道，然后家里的群晖自己就可以配置反响代理，还支持https，包括lets的证书，基本上隧道建立之后就不用管了，阿里云上只要配置好80和443端口转发到内网的群晖上就可以了，剩下的都用群晖自己的功能和配置就实现了

专业专业！