menu Thinking Null
去Cloudflare化的第一步 自建权威DNS服务器
2021-08-11   Linux 信息安全   2 条评论   5666 次阅读

早就想停止使用云耀斑减速器了,原因如下

  1. API服务突然停止支持freenom的免费域名,并且一刀切,而不是限量限速。
  2. 免费版限制多,只能使用cloudflare的dns,不支持多级子域名。各种高级功能不让用,灰度测试时优先部署到免费节点,因此SLA很差。(虽然已经是业内较高水准了)
  3. 被MITM我就浑身难受,而Keyless SSL 又是企业用户专属。
  4. cloudflare确实没涉及什么隐私丑闻,也一直推动互联网向着安全,快速,开放发展,但它依然是互联网皇帝
  5. 傻瓜式操作,不利于计算机技术的学习。
  6. 我自己能搞定IPv6接入和dns分区域解析,大部分资源都在JSDelivr上,再用免费CDN意义不大
  7. 可不敢乱用 Cloudflare,谁用谁就是 G D
    著 名 网 络 安 全 专 家 ,复 旦 大 学 国 际 政 治 系 人 气 讲 师 沈逸 的微博也指出

    2013年开始根据FBI的国家安全传票,CF就开始给FBI提供数据了。刚才维基百科中文里面框处理的是他们2014年给港独提供在线投票专属服务的。https://weibo.com/1157864602/Kswdt9V6d

截至发稿时,该博主的与Cloudflare相关的微博已无法评论。可见Cloudflare里一定隐藏着一些惊 天 黑 幕。
可以说,去Cloudflare化势 在 必 行。


PowerDNS

安装

看了一些网站,最后发现还是PowerDNS最适合我。
由于本文只是对去Cloudflare化作出指引,并不会提供具体的安装过程,截图仅为个人记录,请谨慎参考。
https://computingforgeeks.com/install-powerdns-and-powerdns-admin-on-ubuntu-debian/

可能会遇到数据库字符集问题,将 InnoDB 与 MyISAM 互转即可解决问题。其他问题都可以通过谷歌解决,注意安全组放行53端口,PowerDNS设置里开启api控制。
本步骤无需自己编译,耗时20分钟。

PowerDNS-Admin

这是一个更新及时,界面还算好看的 PowerDNS GUI 管理界面。PHPMyAdmin 也可以直接管理PowerDNS

如果不出意外,它就会监听9191端口。
本步骤需自己编译,耗时15分钟。

设置DNS记录

域名注册商

到你的域名注册商处设置域名服务器和胶水记录Glue Record。这是一个先有鸡还是先有蛋的问题。比如我的thinkingnull.com 域名服务器 ns0.thinkingnull.com,要想知道它的ns0的ip地址,就得问thinkingnull.com的域名服务器,然后就死循环了。所以需要胶水记录,把ns0.thinkingnull.com直接与 IP地址绑定好。不幸的,由于没有足够的资金购买Azure标准SKU的IP地址,所以IP地址不固定。一旦换IP,就得更改相关记录,并且需要几个小时才生效。
如果有固定IP,或者你的域名服务器是DDNS域名,那么设置后可以一劳永逸。

PowerDNS

打开刚刚安装的PowerDNS-Admin,注册帐号后自动成为管理员。配置好api地址,就可以添加域名了。
首先是SOA记录,这个记录记载了管理这个域名的人,保持默认就好。
然后是NS记录,不是刚刚在域名注册商那里设置过了吗?没错,这里我们再设置一遍。当然ns0对应的A记录也不能少了

DNSSEC

虽然听起来很安全,但没几家DNS提供商好好实现了,在国内,该污染还是污染。虽然国内服务商不支持DNSSEC,但我们有日志记录啊,一样能 确 保 安 全(意味深)。妄图对我国网 络 空 间 安 全指手画脚?太平洋没加盖子,请滚出中国(无慈悲),,,

好吧,虽说支持不好,但该配置的总要配置。还是到域名注册商那里配置DS记录。

60891 13 2 ba57ccdeaae86d67a78a114514e28191932aabb9810

比如上面的 60891 就是 KEY Tag13是算法Algorithm2是摘要算法Digest Type。通常来说,在界面设计良好的域名注册商,你只要按顺序填入就可以了。完成之后在 https://dnsviz.net/d/thinkingnull.com/dnssec/ 检测,很快就全部通过了。

至此,PowerDNS的配置告一段落,我们的域名也和cloudflare彻底脱离了关系。

本篇文章采用 署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0) 许可协议进行许可。

转载或引用本文时请遵守许可协议,注明出处。

发表评论
已有 2 条评论
textsms
account_circle
email
link
    qq
    qq
    July 11th, 2023 at 03:16 pm

    呃,阿里和DNSPOD都支持DNSSEC的,就是现在都是SNI检测,支持也没用

    qq
    qq
    December 11th, 2022 at 09:57 pm

    综上所述,腾讯卖片