Unbound + Dnscrypt sorunsalı

[zorlar]

Merhabalar bir kaç yerde DNS sızıntıları, engellemeleri ve tehlikeleri ile ilgili dökümanlar okudum ve unbound kurulumunu yaptım. Daha önceden Windows içinde DNSCrypt kullanıyordum şimdi ikisini bir arada kullanmak istiyorum ama tam 1 gün boyunca uğraştım başaramadım. Dnscrypt tek başına çalıştırabiliyorum, unbound da tek başına çalışabiliyor ancak ikisini aktif ettiğim zaman internete bağlantı sağlayamıyorum. Bir sürü döküman okudum yarım ingilizcemle yabancı ve türkçe olarak unbound conf çeşitleri denedim kombinasyonlarını sağlayamadım bi. Ayrıca sadece unbound kullandığımda "forward-addr:" OpenDNS adreslerini girsem bile dnsleak testlerinde Türkiye'den gözüküyorum yine. Bu ikisini bir arada kullanmayı anlatan Türkçe döküman da yok nerdeyse.

Bu ikisini bir arada nasıl kullanabilirim ?

Birde farklı bir sorum olcaktı:

RKHunter ile rootkit taraması yaptığımda "Warning: SSH root access is allowed" "Warning: SSH protocol allowed" gibi uyarılar alıyorum. Bunları da araştırdığımda bir sonuca ulaşamadım. Güvenlik duvarından 22 portunu engellemeyi düşünüyorum yeterli olur mu acaba.

Teşekkür ederim.

[Deathangel]

unbound  linux için mi güvenlik saglıyor bıde lınux için güvenlik saglıyorsa görevi ne ?

[zorlar]

Hocam çeşitli DNS zehirlemelerini engelliyor. Yani siz bir siteye sorgu gönderdiğinizde google DNS kullanıyor bile olsanız turk telekom yönlendirme yapıyor ve kendilerinin DNS adresinden bağlanıyorsunuz yine. ama unbound sayesinde bu olmuyor. Farkındaysanız DNS değişseniz dahi IP değişmeden yasaklı sitelere giremiyorsunuz bunun sebebi bu. Bazı yanlışlıklarım olabilir bu konuda profesyonel değilim. Dnscrypt ise DNS veri trafiğini şifreliyor. Tam güvenlik oluyor yani anlayacağınız.

[Deathangel]

bu dedıgınız iki programıda ubuntuya mı kurdunuz ? kurulumları benimle paylaşabilirmisiniz rica etsem

[marslı]

Dnscrypt kurulumunu yapabildiniz mi? Yardımcı olabilirim yapamadıysanız

[Deathangel]

malesef yapamadım

[marslı]

Komutların çıktılarını buraya kopyalarsanız hata olup olmadığını anlayabiliriz 
Komutları sırayla uçbirimde çalıştırın ve kurulumu yapın

Kod Seç Genişlet

sudo add-apt-repository ppa:anton+/dnscrypt
sudo apt-get update
sudo apt-get install dnscrypt-proxy

[Deathangel]

Kod Seç Genişlet

brn@laptop:~$ sudo add-apt-repository ppa:anton+/dnscrypt
[sudo] password for brn:
Üzgünüm, yeniden deneyin.
[sudo] password for brn:
Packages from Vivid 15.04 now support only systemd
__________________________________________________

A protocol for securing communications between a client and a DNS resolver.

http://dnscrypt.org/

List of free, DNSCrypt-enabled resolvers
________________________________________

To get started, you can use any of the public DNS resolvers supporting DNSCrypt.

https://github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv

The packaging used for this branch is maintained in the official DNSCrypt git repository.

https://github.com/jedisct1
https://github.com/jedisct1/dnscrypt-proxy
https://github.com/jedisct1/libsodium

The official sources download website are

https://download.dnscrypt.org/dnscrypt-proxy/
https://download.libsodium.org/libsodium/releases/

Add the PPA, enable source code repository as well and then run:
$ apt-get source dnscrypt-proxy
$ sha256sum dnscrypt-proxy_1.4.3.orig.tar.bz2
The output should match the output of:
$ dig +short +dnssec TXT dnscrypt-proxy-1.4.3.tar.bz2.download.dnscrypt.org
And don't forget to do the same for libsodium:
$ apt-get source libsodium
$ dig +dnssec +short TXT libsodium-1.0.1.tar.gz.download.libsodium.org
You can also build the packages by yourself with debuild or:
$ dpkg-checkbuilddeps
$ dpkg-buildpackage -rfakeroot -us -uc

[NOTE]: Ubuntu has released a libsodium source for its Wily Werewolf
        15.10 which is different in size from the upstream repository.
        See https://launchpad.net/ubuntu/+source/libsodium
        Hence I am using the tar xz compression for my packages.

To get an idea of which first local address your system is using for DNS
________________________________________________________________________

$ cat /etc/resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 127.0.1.1

For Trusty 14.04 and Precise 12.04 Users [UPDATE]
_________________________________________________

The published packages use Upstart.

I did create a second package named dnscrypt-proxy2 to be able to have a second DNS up and running in case the first fails (like in M$ Windows).

My packages provides already 6 resolvers defined [from file /usr/share/dnscrypt-proxy/dnscrypt-resolvers.csv] in /etc/default/dnscrypt-proxy. Just uncomment the one you would like to use and comment out the default.

The default DNS resolver 1 is set to dnscrypt.eu-nl

The first DNS is defined by package dnscrypt-proxy. By default its local address is now 127.0.1.1 So don't forget to set in System Settings --> Network Settings the DNS Server Address the same 127.0.1.1 address

The default DNS resolver 2 is set to dnscrypt.eu-dk

The second DNS is defined by package dnscrypt-proxy2. By default its local address is now 127.0.1.2 It cannot be installed alone and it's only available as an addition to dnscrypt-proxy. So don't forget to add in System Settings --> Network Settings the DNS 2 Server Address. This will be IPv4 --> DNS Servers 127.0.1.1, 127.0.1.2

Select the DNS you would like to use by its ping response time, reliability and supported features.

I will provide a second DNS as well for systemd machines when I have time.

For Vivid 15.04, Wily 15.10 and Xenial 1604 Users [UPDATE]
__________________________________________________________

The published packages use Systemd.

I did create a second package named dnscrypt-proxy2 to be able to have a second DNS up and running in case the first fails (like in M$ Windows).

The default DNS resolver 1 is set to dnscrypt.eu-nl

The first DNS is defined by package dnscrypt-proxy. By default its local address is now 127.0.1.1 So don't forget to set in System Settings --> Network Settings the DNS Server Address the same 127.0.2.1 address

The default DNS resolver 2 is set to dnscrypt.eu-dk

The second DNS is defined by package dnscrypt-proxy2. By default its local address is now 127.0.1.2 It cannot be installed alone and it's only available as an addition to dnscrypt-proxy. So don't forget to add in System Settings --> Network Settings the DNS 2 Server Address. This will be IPv4 --> DNS Servers 127.0.2.1, 127.0.2.2

If you want to change the resolver look at file /usr/share/dnscrypt-proxy/dnscrypt-resolvers.csv to get the required data. Then update the config files in /etc accordingly.

Testing which DNS Resolver your System is Using
_______________________________________________

To test which DNS your system is using please visit : https://dnsleaktest.com/

Source
______

I have used for this ppa the previous work of Sergey "Shnatsel" Davidoff with some tunings:

https://launchpad.net/~shnatsel/+archive/ubuntu/dnscrypt

* Using the latest sources tarballs.
* Optimizing the code for Quad Core (Compiler option -O3) instead of Core
  Duo (Compiler option -O2).
* Upgrading the Debian compat to 9 as this is placing the libraries in the
  standard Debian path instead of the RPM (Red Hat) path.
* Given the home page hijack and the kept log by US based OpenDNS, these
  packages use by default the DNSCrypt.eu server based in The Hague, Holland.
  Still you can change the DNS resolver by editing the
  /etc/default/dnscrypt-proxy section # Remote DNS(Crypt) provider settings
Daha fazla bilgi: https://launchpad.net/~anton+/+archive/ubuntu/dnscrypt
Devam etmek için [ENTER] tuşuna ya da eklemeyi iptal etmek için ctrc-c kısayoluna basın.

gpg: `/tmp/tmpq28q98m4/secring.gpg' anahtar zinciri oluşturuldu
gpg: `/tmp/tmpq28q98m4/pubring.gpg' anahtar zinciri oluşturuldu
gpg: 72B61DBF anahtarı keyserver.ubuntu.com sunucusunun hkp adresinden isteniyor
gpg: /tmp/tmpq28q98m4/trustdb.gpg: güvence veritabanı oluşturuldu
gpg: anahtar 72B61DBF: genel anahtar "Launchpad PPA for Pascal Mons" alındı
gpg: İşlenmiş toplam miktar: 1
gpg:               alınan: 1  (RSA: 1)
OK
brn@laptop:~$ sudo apt-get update
Aynı:  1 http://archive.canonical.com xenial InRelease
Yoksay:2 http://mega.nz/linux/MEGAsync/xUbuntu_16.04 ./ InRelease
İndir: 3 http://mega.nz/linux/MEGAsync/xUbuntu_16.04 ./ Release [982 B]
Aynı:  5 http://tr.archive.ubuntu.com/ubuntu xenial InRelease
Aynı:  6 http://tr.archive.ubuntu.com/ubuntu xenial-updates InRelease         
İndir: 7 http://tr.archive.ubuntu.com/ubuntu xenial-backports InRelease [92,2 kB]
Aynı:  8 http://security.ubuntu.com/ubuntu xenial-security InRelease           
Aynı:  9 http://repository.spotify.com stable InRelease                       
İndir: 10 http://ppa.launchpad.net/anton+/dnscrypt/ubuntu xenial InRelease [23,0 kB]
Aynı:  11 http://ppa.launchpad.net/nilarimogard/webupd8/ubuntu xenial InRelease
Aynı:  12 http://ppa.launchpad.net/teejee2008/ppa/ubuntu xenial InRelease     
İndir: 13 http://ppa.launchpad.net/anton+/dnscrypt/ubuntu xenial/main amd64 Packages [1.744 B]
İndir: 14 http://ppa.launchpad.net/anton+/dnscrypt/ubuntu xenial/main i386 Packages [1.744 B]
İndir: 15 http://ppa.launchpad.net/anton+/dnscrypt/ubuntu xenial/main Translation-en [968 B]
6 sn.'de 121 kB alındı (18,1 kB/s)                                             
Paket listeleri okunuyor... Bitti
N: '/etc/apt/sources.list.d/' dizinindeki 'spotify.list.save' dosyası geçersiz bir dosya uzantısı olduğu için yok sayılıyor
N: '/etc/apt/sources.list.d/' dizinindeki 'megasync.list.save' dosyası geçersiz bir dosya uzantısı olduğu için yok sayılıyor
N: '/etc/apt/sources.list.d/' dizinindeki 'teejee2008-ubuntu-ppa-xenial.list.save' dosyası geçersiz bir dosya uzantısı olduğu için yok sayılıyor
N: '/etc/apt/sources.list.d/' dizinindeki 'nilarimogard-ubuntu-webupd8-xenial.list.save' dosyası geçersiz bir dosya uzantısı olduğu için yok sayılıyor
brn@laptop:~$ sudo apt-get install dnscrypt-proxy
Paket listeleri okunuyor... Bitti
Bağımlılık ağacı oluşturuluyor       
Durum bilgisi okunuyor... Bitti     
Aşağıdaki ek paketler kurulacak:
  libsodium18
Aşağıdaki YENİ paketler kurulacak:
  dnscrypt-proxy libsodium18
0 paket yükseltilecek, 2 yeni paket kurulacak, 0 paket kaldırılacak ve 0 paket yükseltilmeyecek.
372 kB arşiv dosyası indirilecek.
Bu işlem tamamlandıktan sonra 1.086 kB ek disk alanı kullanılacak.
Devam etmek istiyor musunuz? [E/h] e
İndir: 1 http://ppa.launchpad.net/anton+/dnscrypt/ubuntu xenial/main amd64 libsodium18 amd64 1.0.8-5pmo1~xenial [174 kB]
İndir: 2 http://ppa.launchpad.net/anton+/dnscrypt/ubuntu xenial/main amd64 dnscrypt-proxy amd64 1.6.1-1pmo3~xenial [198 kB]
6 sn.'de 372 kB alındı (56,1 kB/s)                                             
N: '/etc/apt/sources.list.d/' dizinindeki 'spotify.list.save' dosyası geçersiz bir dosya uzantısı olduğu için yok sayılıyor
N: '/etc/apt/sources.list.d/' dizinindeki 'megasync.list.save' dosyası geçersiz bir dosya uzantısı olduğu için yok sayılıyor
N: '/etc/apt/sources.list.d/' dizinindeki 'teejee2008-ubuntu-ppa-xenial.list.save' dosyası geçersiz bir dosya uzantısı olduğu için yok sayılıyor
N: '/etc/apt/sources.list.d/' dizinindeki 'nilarimogard-ubuntu-webupd8-xenial.list.save' dosyası geçersiz bir dosya uzantısı olduğu için yok sayılıyor
Daha önce seçili olmayan libsodium18:amd64 paketi seçiliyor.
(Veritabanı okunuyor ... 203946 dosya veya dizin kurulu durumda.)
Paket açılacak: .../libsodium18_1.0.8-5pmo1~xenial_amd64.deb ...
Paket açılıyor: libsodium18:amd64 (1.0.8-5pmo1~xenial) ...
Daha önce seçili olmayan dnscrypt-proxy paketi seçiliyor.
Paket açılacak: .../dnscrypt-proxy_1.6.1-1pmo3~xenial_amd64.deb ...
Paket açılıyor: dnscrypt-proxy (1.6.1-1pmo3~xenial) ...
Tetikleyiciler işleniyor: libc-bin (2.23-0ubuntu3) ...
Tetikleyiciler işleniyor: systemd (229-4ubuntu6) ...
Tetikleyiciler işleniyor: ureadahead (0.100.0-19) ...
Tetikleyiciler işleniyor: man-db (2.7.5-1) ...
Ayarlanıyor: libsodium18:amd64 (1.0.8-5pmo1~xenial) ...
Ayarlanıyor: dnscrypt-proxy (1.6.1-1pmo3~xenial) ...
Tetikleyiciler işleniyor: libc-bin (2.23-0ubuntu3) ...
Tetikleyiciler işleniyor: systemd (229-4ubuntu6) ...
Tetikleyiciler işleniyor: ureadahead (0.100.0-19) ...
N: '/etc/apt/sources.list.d/' dizinindeki 'spotify.list.save' dosyası geçersiz bir dosya uzantısı olduğu için yok sayılıyor
N: '/etc/apt/sources.list.d/' dizinindeki 'megasync.list.save' dosyası geçersiz bir dosya uzantısı olduğu için yok sayılıyor
N: '/etc/apt/sources.list.d/' dizinindeki 'teejee2008-ubuntu-ppa-xenial.list.save' dosyası geçersiz bir dosya uzantısı olduğu için yok sayılıyor
N: '/etc/apt/sources.list.d/' dizinindeki 'nilarimogard-ubuntu-webupd8-xenial.list.save' dosyası geçersiz bir dosya uzantısı olduğu için yok sayılıyor
brn@laptop:~$


tüm kodlar burada

[marslı]

Bir hata yok gibi.  ama sen yine de dnscrypt'ın çalışıp çalışmadığı kontrol et.

Kod Seç Genişlet

sudo service dnscrypt-proxy status
Çalışmıyorsa

sudo service dnscrypt-proxy start

/etc/resolv.conf dosyasını açıp tüm satırları silerek

nameserver 127.0.0.2

ekleyip kaydet.
Daha sonra

Kod Seç Genişlet

sudo service network-manager restartBence bu işlemleri yapmadan önce resolv dosyasının yedeğini al. Bağlantı sağlanmazsa yedeği yüklersin.
Son komuttan sonra https://dnsleaktest.com/ sitesinden DNS sunucusuna bir bak. Ayrıca depolar da da bayaa bir sorun varmış

[Deathangel]

Kod Seç Genişlet

brn@laptop:~$ sudo service dnscrypt-proxy status
[sudo] password for brn:
● dnscrypt-proxy.service - DNSCrypt proxy
   Loaded: loaded (/lib/systemd/system/dnscrypt-proxy.service; enabled; vendor p
   Active: active (running) since Paz 2016-06-05 22:08:07 EEST; 15min ago
     Docs: man:dnscrypt-proxy(8)
Main PID: 14212 (dnscrypt-proxy)
   CGroup: /system.slice/dnscrypt-proxy.service
           └─14212 /usr/sbin/dnscrypt-proxy --resolver-name=dnscrypt.eu-nl

Haz 05 22:08:07 laptop dnscrypt-proxy[14212]: [INFO] + Provider supposedly doesn
Haz 05 22:08:07 laptop dnscrypt-proxy[14212]: [NOTICE] Starting dnscrypt-proxy 1
Haz 05 22:08:07 laptop dnscrypt-proxy[14212]: [INFO] Generating a new session ke
Haz 05 22:08:07 laptop dnscrypt-proxy[14212]: [INFO] Done
Haz 05 22:08:07 laptop dnscrypt-proxy[14212]: [INFO] Server certificate #8084644
Haz 05 22:08:07 laptop dnscrypt-proxy[14212]: [INFO] This certificate is valid
Haz 05 22:08:07 laptop dnscrypt-proxy[14212]: [INFO] Chosen certificate #8084644
Haz 05 22:08:07 laptop dnscrypt-proxy[14212]: [INFO] Server key fingerprint is E
Haz 05 22:08:07 laptop dnscrypt-proxy[14212]: [NOTICE] Proxying from 127.0.2.1:5
Haz 05 22:08:07 laptop systemd[1]: Started DNSCrypt proxy.
lines 1-18/18 (END)


calısıyor verdıgınız adresden ise baktıgımda türkiyede gözüküyorum tamam dır dogru demı hersey

[marslı]

DNS sunucusu ne gözüküyor? resolver1.dnscrypt.eu gözükmesi lazım

[Deathangel]

test i yapınca bu gözüküyor

Kod Seç Genişlet

Test complete

Query round Progress... Servers found
  1          ......              1

IP Hostname ISP Country
176.56.237.171 resolver1.dnscrypt.eu RouteLabel V.O.F. Netherlands

ancak siteye normal girdigimde locasyonumun türkiye oldugunu söylüyor

[marslı]

O sitedeki türkiye olan yer IP adresi. 
Tamamdır sorunsuz çalışıyormuş. Dns trafiğin artık şifreli. Dnscrypt zaten ip adresini falan değiştirmiyor. Sadece dns trafiğini şifreliyor. 

[Deathangel]

tamam dır abı o siteyi hiç bilmedigim için neyi gosterdigini bilmiyordum yoksa dns yi ıp i biliyorum cok saol abı aksam aksam 2 3 konuda birden benle ugrasıyorsun ya

[marslı]

Mesele değil. İş görsün yeter

[Deathangel]

abi sonradan gordum depolardada baya sorun varmıs demişsin ben su depoları hep darmaduman ediyorum bu depoları nasıl düzgün kullanabılırım

[Reverser]

@zorlar, konuyu çözüldü olarak raporlamışsın. Nasıl çözdüğünü açıklar mısın?
Ek olarak, çözülen konular için uyguladığımız işlem şu: [1] cozuldukonusu

[zorlar]

Bir kaç gün açık kaldı konu da cevap yazan olmayınca silmek istedim konuyu Ayrıca Dnscrypt + unbound kombinasyonu bu kadar basit değil. Bunların ayarları var, unbound konfigurasyon dosyasının ayarları var portların çakışmaması için ayarları var ve firewall ayarları vs. vs. gidiyor. Gerçekten bu ikisini kurup çalıştırabilmiş birisi varsa yardımcı olabilirse sevinirim.

[marslı]

@Deathangel yeni bir konu aç istersen. Burada konu dağılmasın.
@Zorlar bu iki programın aynı anda çakışmadan çalıştırabildiğine emin miyiz?

[zorlar]

Hocam skype vs. varsa pm gönder linux konusunda orta düzey bile olsa iyiysen (ben bir hafta oldu geçeli) çözersin bu işi.

[D@bbe]

test i yapınca bu gözüküyor

Kod Seç Genişlet

Test complete

Query round Progress... Servers found
  1          ......              1

IP Hostname ISP Country
176.56.237.171 resolver1.dnscrypt.eu RouteLabel V.O.F. Netherlands

ancak siteye normal girdigimde locasyonumun türkiye oldugunu söylüyor

testi nasıl yapıyorsun ki?

[Deathangel]

https://dnsleaktest.com/results.html

[D@bbe]

DNSSEC Resolver Test bunu geçebilen oldu mu?

[Elessar]

DNSSEC Resolver Test bunu geçebilen oldu mu?

[D@bbe]

tweakos ile Dnscrypt nasıl kuruluyor? buradaki yöntem işe yaramadı depo ekleme farklı çıktı...
Manjaro için nasıl kullanılıyor?