-
Notifications
You must be signed in to change notification settings - Fork 56
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
kvas crypt: доводки #222
Comments
Не совсем понятно, что Вы предлагаете сделать по пп. 1-4? |
Начнём последовательно. Пункт 1 у Вас не воспроизводится? Если поделать команды kvas crypt off, kvas crypt on, kvas crypt off последовательно; то команда off выходит, бесконечно не висит? 2 и 3 — неправильно заполняется kvas.dnsmasq, нужно как бы "инвертировать" режимы 4 — добавить включение и отключение этого флага по аналогии с кучей других. |
|
kvas.dnsmasqПри
Потому что весь трафик итак уже идёт через DNSCrypt. При
Трафик человека пойдёт через незашифрованный канал, но защищённый список должен всегда ходить через DNSCrypt. |
У меня off не отрабатывает и периодически (если вызвать несколько раз по циклу включение-отключение на заполненном списке) полностью очищает файл |
filter-rr=HTTPS в /opt/etc/dnsmasq.confПри
При
|
включил все выше и пересобрал 1.1.9b9 |
Обновил. Со старта было нормально, но после импортов ситуация опять "зеркальная". kvas crypt offДелаю
В файле
Хотя ожидается
Ведь DNS доменов из защищённого списка всегда должны ходить через DNSCrypt. kvas crypt onДелаю
В файле |
Попробуйте проверить состояние |
Да, давайте разделим, пока речь только о переключениях. Пункты 1 и 4 сделаны. Устанавливаю с нуля. Судя по Делаю
секции Делаю ещё цикл включения-отключения. |
Нашел в коде ошибку - забыл указать в sed параметр -i чтобы в файле происходили изменения |
Установил с нуля. Судя по |
Обновил и перезалил 9 бету в канале, так как изменений почти нет - не стал писать об этом там. |
Установил. По умолчанию со старта Если после этого почистить руками до
и отключить, то сразу задвоенные строчки. |
Установил. По умолчанию со старта Отключаю вызовом Включаю Итого: есть проблема лишь при переходе из состояния |
Я как раз описал, что импорт работает верно (что проверяете Вы). Не верным остаётся сам список после включения. Как воспроизвестиПерескачиваю последнюю версию (106519 байт)
Может после включения (а может и отключения, для упрощения кода) просто вызывать пересборку |
… dnsmasq больше не требуется
…айтов вне списка в dnscrypt
Включил, вызвал отключение
kvas crypt off
. Команда выполнялась "бесконечно", хотя и все замены в конфигах сделала.При
kvas crypt on
вdnsmasq.conf
установленоserver=127.0.0.1#9153
. Т.е. все запросы пойдут туда. Это верно. Но в файлеkvas.dnsmasq
для каждого сервера указаноОбычно server для домена указывается, когда нужно изменить от общего на частное. Но тут они равны. Не нужно повторяться. Для каждого домена при
kvas crypt on
должен быть указан лишьipset=/artifacts.elastic.co/kvas_ipset
.kvas crypt off
вdnsmasq.conf
установленоserver=9.9.9.9
. Т.е. все запросы пойдут туда. Это верно. Но в файлеkvas.dnsmasq
для каждого сервера указан лишьipset=/artifacts.elastic.co/kvas_ipset
. Т.е. запросы для списка пойдут открытым протоколом на 9.9.9.9; где их можно как банить, так и отслеживать. Запросы для списка всегда должны ходить шифрованно, в независимости от установки флагаkvas crypt
. Т.е. в этом режиме я как раз ожидал бы в файлеИменно в таком виде, в DNSCrypt; у них свой отдельный DNS, не совпадающий с общим, тут это уместно. Т.е. DNSCrypt должен всегда работать. В режиме on на все запросы, в режиме off обслуживать лишь защищённый список (на то он и защищённый).
filter-rr=HTTPS
тоже не плохо ложится наkvas crypt
. Когда off, то смело можем фильтровать защиту DNSfilter-rr=HTTPS
. Когда on, то насильное откидывание ECH — плохая идея, лучше закомментировать#filter-rr=HTTPS
.The text was updated successfully, but these errors were encountered: