{"id":1479,"date":"2022-01-15T20:20:27","date_gmt":"2022-01-15T19:20:27","guid":{"rendered":"https:\/\/www.main.tk\/?page_id=1479"},"modified":"2022-05-14T10:16:34","modified_gmt":"2022-05-14T08:16:34","slug":"pi-hole-i-dns-over-https","status":"publish","type":"page","link":"http:\/\/www.main.tk\/?page_id=1479","title":{"rendered":"Pi-Hole i DNS-Over HTTPS"},"content":{"rendered":"\n

Po co to?<\/mark><\/h2>\n\n\n\n

Pi-Hole, jego zapytania, s\u0105 standardowo jak i w innych systemach przesy\u0142ane w postaci zwyk\u0142ego tekstu. To umo\u017cliwia nie tylko pods\u0142uchanie tego jak\u0105 komunikacj\u0119 prowadzimy z Internecie czy jakie strony odwiedzamy, ale tak\u017ce pozwala na manipulacj\u0119 naszymi zapytaniami. Mog\u0105 by\u0107 nam po prostu podsuwane fa\u0142szywe strony, wygl\u0105daj\u0105ce jak oryginalne lecz s\u0142u\u017c\u0105ce do wykradania danych, tak\u017ce naszych danych osobowych czy naszych pieni\u0119dzy. Aby temu zapobiec mo\u017cna skorzysta\u0107 z szyfrowania zapyta\u0144 DNS za pomoc\u0105 protoko\u0142u HTTPS.<\/p>\n\n\n\n

W tym opisie opiera\u0142em si\u0119 na sprawdzonej przez siebie osobi\u015bcie instalacji i uruchomieniu protoko\u0142u HTTPS do serwer\u00f3w DNS firmy Cloudflare. Wyb\u00f3r tego dostawcy jest podyktowany jego polityk\u0105 obs\u0142ugi wyszukiwa\u0144 DNS. Cloudflare przechowuje nasze wyszukiwania tylko 24 h, nigdy ich nie odsprzedaje i nie umo\u017cliwia ani sam nie targetuje reklam pod nasze wyszukiwania. Jest to pewne minimum prywatno\u015bci w wirtualnym \u015bwiecie.<\/p>\n\n\n\n

Konfiguracja DNS-over-HTTPS<\/mark><\/h2>\n\n\n\n

Poniewa\u017c wcze\u015bniej opisywa\u0142em i u siebie tak\u017ce wdro\u017cy\u0142em instalacj\u0119 Pi-Hole na Ubuntu Server LTS, teraz te\u017c w tym opisie b\u0119d\u0119 si\u0119 odwo\u0142ywa\u0142 do tego rozwi\u0105zania.<\/p>\n\n\n\n

Instalacja cloudflared<\/mark><\/h2>\n\n\n\n

Dla 64-bitowego Ubuntu Server instalacja tego demona polega na uruchomienia z terminala kilku polece\u0144:<\/p>\n\n\n\n

wget https:\/\/github.com\/cloudflare\/cloudflared\/releases\/latest\/download\/cloudflared-linux-arm64<\/span><\/code><\/p>\n\n\n\n

nast\u0119pnie po pobraniu tego pakietu z GitHuba:<\/p>\n\n\n\n

sudo cp .\/cloudflared-linux-arm64 \/usr\/local\/bin\/cloudflared<\/span><\/code><\/p>\n\n\n\n

kopiujemy ca\u0142o\u015b\u0107 wskazan\u0105 \u015bcie\u017ck\u0105 i w nast\u0119pnym poleceniu zmieniamy jego atrybut na wykonywalny:<\/p>\n\n\n\n

sudo chmod +x \/usr\/local\/bin\/cloudflared<\/mark><\/code><\/p>\n\n\n\n

Konfigurowanie i uruchomienie demona cloudflared<\/mark><\/h2>\n\n\n\n

Przede wszystkim musimy stworzy\u0107 nowego u\u017cytkownika, to on b\u0119dzie on uruchamia\u0142 clouflared, a nie root – dla bezpiecze\u0144stwa.<\/p>\n\n\n\n

sudo useradd -s \/usr\/sbin\/nologin -r -M cloudflared<\/span><\/code><\/p>\n\n\n\n

Kolejno tworzymy plik konfiguracyjny dla uruchomienia cloudflared:<\/p>\n\n\n\n

sudo nano \/etc\/default\/cloudflared<\/span><\/code><\/p>\n\n\n\n

W tre\u015bci pliku musi si\u0119 znale\u017a\u0107:<\/p>\n\n\n\n

# Args for cloudflared, using Cloudflare DNS\nCLOUDFLARED_OPTS=--port 5053 --upstream https:\/\/1.1.1.1\/dns-query --upstream https:\/\/1.0.0.1\/dns-query<\/mark><\/pre>\n\n\n\n
Prosz\u0119 zwr\u00f3ci\u0107 uwag\u0119 na wybrany port dla demona. Nie mo\u017ce \u00f3w port podlega\u0107 w naszej sieci jak i routerze jakim\u015b restrykcjom.<\/span><\/em><\/p>\n\n\n\n
Po utworzeniu pliku konfiguracyjnego i binarnego nale\u017cy zmieni\u0107 uprawnienie do tych plik\u00f3w, aby u\u017cytkownik cloudflared<\/span> mia\u0142 do nich dost\u0119p.<\/p>\n\n\n\n
sudo chown cloudflared:cloudflared \/etc\/default\/cloudflared
sudo chown cloudflared:cloudflared \/usr\/local\/bin\/cloudflared<\/span><\/code><\/p>\n\n\n\n
Jeszcze utworzymy odpowiedni skrypt kontroluj\u0105cy demona i umo\u017cliwiaj\u0105cy jego start w trakcie uruchamiania systemu.<\/p>\n\n\n\n
sudo nano \/etc\/systemd\/system\/cloudflared.service<\/span><\/code><\/p>\n\n\n\n
Skrypt powinien wygl\u0105da\u0107 jak poni\u017cej:<\/p>\n\n\n\n
[Unit]\nDescription=cloudflared DNS over HTTPS proxy\nAfter=syslog.target network-online.target\n\n[Service]\nType=simple\nUser=cloudflared\nEnvironmentFile=\/etc\/default\/cloudflared\nExecStart=\/usr\/local\/bin\/cloudflared proxy-dns $CLOUDFLARED_OPTS\nRestart=on-failure\nRestartSec=10\nKillMode=process\n\n[Install]\nWantedBy=multi-user.target<\/mark><\/pre>\n\n\n\n
Teraz w\u0142\u0105czamy systemd<\/span> demona i jego uruchamianie podczas startu:<\/p>\n\n\n\n
sudo systemctl enable cloudflared<\/span><\/code>
sudo systemctl start cloudflared
sudo systemctl status cloudflared<\/span><\/code><\/p>\n\n\n\n
Sprawdzenie dzia\u0142ania<\/mark><\/h2>\n\n\n\n
Za pomoc\u0105 polecenia dig<\/span> mo\u017cemy sprawdzi\u0107 dzia\u0142anie:<\/p>\n\n\n\n
pi@raspberrypi:~ $ dig @127.0.0.1 -p 5053 main.tk<\/span><\/code><\/p>\n\n\n\n
Wynik powinien wygl\u0105da\u0107 jak ten poni\u017cej:<\/p>\n\n\n\n
; <<>> DiG 9.16.1-Ubuntu <<>> @127.0.0.1 -p 5053 main.tk\n; (1 server found)\n;; global options: +cmd\n;; Got answer:\n;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15217\n;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1\n\n;; OPT PSEUDOSECTION:\n; EDNS: version: 0, flags:; udp: 4096\n;; QUESTION SECTION:\n;main.tk.                       IN      A\n\n;; ANSWER SECTION:\nmain.tk.                300     IN      A       104.21.42.177\nmain.tk.                300     IN      A       172.67.207.14\n\n;; Query time: 39 msec\n;; SERVER: 127.0.0.1#5053(127.0.0.1)\n;; WHEN: nie sty 16 18:07:27 UTC 2022\n;; MSG SIZE  rcvd: 82<\/mark><\/pre>\n\n\n\n
Ustawienia w interfejsie Pi-Hole<\/mark><\/h2>\n\n\n\n
Musimy jeszcze zmieni\u0107 odpytywanie zewn\u0119trznego serwera DNS na Cloudflare po porcie 5053.<\/p>\n\n\n\n
\"\"
Zmieniamy poprzednio wybrany zewn\u0119trzny DNS na 127.0.0.1#5053 czyli DNS-over-HTTPS<\/em><\/mark><\/figcaption><\/figure>\n\n\n\n
To ju\u017c wszystko, zapraszam do sprawdzenia innych wpis\u00f3w poradnika.<\/p>\n","protected":false},"excerpt":{"rendered":"
Po co to? Pi-Hole, jego zapytania, s\u0105 standardowo jak i w innych systemach przesy\u0142ane w postaci zwyk\u0142ego tekstu. To umo\u017cliwia nie tylko pods\u0142uchanie tego jak\u0105 komunikacj\u0119 prowadzimy z Internecie czy jakie strony odwiedzamy, ale tak\u017ce pozwala na manipulacj\u0119 naszymi zapytaniami. Mog\u0105 by\u0107 nam po prostu podsuwane fa\u0142szywe strony, wygl\u0105daj\u0105ce jak oryginalne lecz s\u0142u\u017c\u0105ce do wykradania danych, tak\u017ce naszych danych osobowych czy naszych pieni\u0119dzy. Aby temu […]<\/p>\n","protected":false},"author":2,"featured_media":0,"parent":1264,"menu_order":0,"comment_status":"open","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-1479","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"http:\/\/www.main.tk\/index.php?rest_route=\/wp\/v2\/pages\/1479","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/www.main.tk\/index.php?rest_route=\/wp\/v2\/pages"}],"about":[{"href":"http:\/\/www.main.tk\/index.php?rest_route=\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"http:\/\/www.main.tk\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/www.main.tk\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1479"}],"version-history":[{"count":21,"href":"http:\/\/www.main.tk\/index.php?rest_route=\/wp\/v2\/pages\/1479\/revisions"}],"predecessor-version":[{"id":1539,"href":"http:\/\/www.main.tk\/index.php?rest_route=\/wp\/v2\/pages\/1479\/revisions\/1539"}],"up":[{"embeddable":true,"href":"http:\/\/www.main.tk\/index.php?rest_route=\/wp\/v2\/pages\/1264"}],"wp:attachment":[{"href":"http:\/\/www.main.tk\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1479"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}