这是一个创建于 2254 天前的主题,其中的信息可能已经有所发展或是发生改变。
介绍在 https://www.rubyfish.cn 。昨天上线了第二个弹性 IP 的节点,有了一定的抗单点故障能力,这就算进入 alpha 公测阶段了吧。整套服务现在一共七台 VPS:正式服务一个阿里云杭州,一个腾讯云上海;上连美国,东亚各 2 一共 4 个 upstream 节点供不同出口需求选择;加上专门用于门户信息发布和监控的节点;希望这些准备工作让 Rubyfish DNS 不至于太山寨。
这个项目,原本来源于一次自己搭建路由器的经历,思索要是国内有一个靠谱的 DNS provider 就简单不少;后来看到今年 DNS 安全的一系列新进展,包括 TLS 1.3 也正式完工,感觉这应该是一个趋势,于是就动手了。。。它的价值?我觉得是节省一点大家的时间,解析可靠、运行稳定、访问快速的 SLA 保障是我努力去做的。指望从这个服务获得什么回报?一方面是我自己的其它项目可能也是依赖一个公共 DNS 的,这个就当基础服务的成本;另一方面也许会直接提供基于 DNS 的其它的 to Developer/SysAdmin 的服务???我是 DNS 领域的新人,需要再摸索摸索。
这个项目,原本来源于一次自己搭建路由器的经历,思索要是国内有一个靠谱的 DNS provider 就简单不少;后来看到今年 DNS 安全的一系列新进展,包括 TLS 1.3 也正式完工,感觉这应该是一个趋势,于是就动手了。。。它的价值?我觉得是节省一点大家的时间,解析可靠、运行稳定、访问快速的 SLA 保障是我努力去做的。指望从这个服务获得什么回报?一方面是我自己的其它项目可能也是依赖一个公共 DNS 的,这个就当基础服务的成本;另一方面也许会直接提供基于 DNS 的其它的 to Developer/SysAdmin 的服务???我是 DNS 领域的新人,需要再摸索摸索。
第 1 条附言 · 2018-09-21 23:05:44 +08:00
计划中秋节期间某天深夜会把两台服务节点重启一下服务,希望每台重启在 30 秒内完成。变更包括给上海节点增加 TLS 1.3、EDNS Keepalive 两个特性,以及一些域名配置变化
第 2 条附言 · 2019-03-13 08:13:39 +08:00
紧急通知:东亚区服务的 IP 115.159.154.226 下线,如果依赖该 IP 直连红鱼 DNS 的,请更改为 118.89.110.78
第 3 条附言 · 2019-03-15 20:15:04 +08:00
红鱼计划一个月后进入 beta,详情看新帖
 |
1
dot2017 2018-09-20 09:46:54 +08:00
大家来猜猜这个 dns 多久以后会被盯上?😊
|
 |
2
artandlol 2018-09-20 09:49:25 +08:00  4
鱼雷:检测到一个 dns 服务
加农:昨天已经污染 |
 |
3
defunct9 2018-09-20 09:51:24 +08:00 1
坐而言不如起而行,点赞。
|
 |
4
Love4Taylor 2018-09-20 11:30:38 +08:00 via Android
卧槽 国内终于有人提供 DoT 了...
|
 |
5
Daming 2018-09-20 11:35:34 +08:00 via Android
要被查水表
|
 |
6
LanFomalhaut 2018-09-20 11:36:03 +08:00
注意安全
|
 |
8
alwayshere 2018-09-20 12:10:50 +08:00
谁能解释一下“ DoT & DoH ”是什么意思吗
|
 |
9
AstroProfundis 2018-09-20 12:21:15 +08:00
@alwayshere DNS over TLS / DNS over HTTPS
|
 |
10
antileech 2018-09-20 12:22:49 +08:00 via iPhone
@alwayshere DNS over TLS/HTTPS
|
 |
11
ecoart 2018-09-20 12:39:52 +08:00 via Android
速度似乎有点问题
|
 |
12
gclove 2018-09-20 12:48:33 +08:00
赞 !
|
 |
13
fiht 2018-09-20 12:48:56 +08:00
打听一下,这样的 DNS 一般用什么做的,有开源的解决方案吗?
|
|
14
artandlol 2018-09-20 13:09:14 +08:00
|
|
15
artandlol 2018-09-20 13:12:01 +08:00
速度还不错
[root@master ~]# curl -s 'https://dns.rubyfish.cn/dns-query?ct=application/dns-json&name=google.com&type=A'|python -m json.tool { "AD": false, "Answer": [ { "Expires": "Thu, 20 Sep 2018 05:11:53 UTC", "TTL": 25, "data": "172.217.5.110", "name": "google.com.", "type": 1 } ], "CD": false, "Question": [ { "name": "google.com.", "type": 1 } ], "RA": true, "RD": true, "Status": 0, "TC": false } |
 |
16
zuoshoufantexi 2018-09-20 13:22:47 +08:00
这个是用来干嘛的?能给 VPS 加速吗?
|
 |
17
q9OxQg 2018-09-20 13:24:38 +08:00 1
Android P,添加 Private DNS 后,Private DNS 状态为 Couldn't connect
|
 |
18
iwtbauh 2018-09-20 13:40:32 +08:00 2
这样真的可行吗?
openssl s_client -connect dns.rubyfish.cn:853 -tls1_2 返回的证书解码后包含“ X509v3 扩展密钥用法” X509v3 extensions: X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication X509v3 Basic Constraints: critical CA:FALSE 可以看出此证书仅被允许用于 TLS Web Server Authentication, ( TLS Web 服务器认证) TLS Web Client Authentication ( TLS Web 客户端认证) 但是 DNS over TLS 并不是 Web 服务,所以可能会有与某些客户端未知的兼容问题。lz 应该在创建证书请求时带着相应的扩展密钥用法 |
 |
19
fany 2018-09-20 13:41:35 +08:00 via Android
好像不能爬 q,没什么用
|
 |
20
NFC 2018-09-20 13:54:35 +08:00 1
 试了几个被污染的域名 不准嘛 我这用 1.0.0.1 服务是可以解析出正确的 IP. |
 |
21
imfannet 2018-09-20 13:57:16 +08:00
dalao 还专门开了个公司。。。厉害了。。。
|
 |
22
yejinmo 2018-09-20 14:05:01 +08:00
所以。。Windows + Chrome 怎么用
|
 |
23
lycc 2018-09-20 14:05:35 +08:00 via Android
好奇提供这样的服务,服务器流量会有多大呢?
|
 |
24
meteor957 2018-09-20 14:14:08 +08:00
fq 的吗,好像没啥用啊,没 ss 好使
|
 |
25
dalieba 2018-09-20 14:16:48 +08:00 via Android
|
 |
27
Loyalsoldier 2018-09-20 15:43:28 +08:00 1
|
 |
29
Maskeney 2018-09-20 16:39:07 +08:00
希望活得久一点吧
|
 |
30
qyb OP @NFC 确实,现在并不是所有的海外域名都走 upstream 解析,依赖于别的 list ;被墙的域名需要不断手工添加维护。。。正在想这部分能不能自动解决。感谢这个反馈,稍晚会加入列表
|
|
31
Maskeney 2018-09-20 16:45:52 +08:00
有个疑问,既然 Android 9 可以直接使用你们的 DNS,那么标题说的 DoT/H 从何谈起?
|
|
33
qyb OP @Maskeney 安卓 9 的 private dns 就是 DoT,但它首次连接到这个服务器的解析还是依赖于运营商的 DNS
|
 |
34
rootit 2018-09-20 16:49:03 +08:00
可以看下 gfwlist 然后做一遍过滤? --来自小白的新奇想法
|
|
35
Maskeney 2018-09-20 16:52:12 +08:00
> Windows & macOS & Linux
> 当前桌面系统上并没有简便的让*所有*互联网应用都使用红鱼 DNS 的方法,我们推荐您使用 Firefox 进行安全的互联网冲浪。 我记得又 dnscrypt 可以做到,要是红鱼 DNS 可以兼容的话直接上这个列表 https://dnscrypt.info/public-servers/ 使用 dnscrypt-proxy 应该也是可以做到“让*所有*互联网应用都使用红鱼 DNS ”的吧? |
 |
37
kslr 2018-09-20 17:13:58 +08:00 via Android
反向加国内白名单
|
 |
38
azh7138m 2018-09-20 17:22:48 +08:00 via Android
楼上说的白名单是可以的,只维护常见的大陆域名,其他的尝试下 edns 是不是支持的,日常完全可以
|
|
39
Love4Taylor 2018-09-20 17:30:32 +08:00 via Android 1
@q9OxQg 开了 vpn? 关掉就好了
|
|
40
iwtbauh 2018-09-20 17:39:57 +08:00 via Android 1
@qyb 非常抱歉,刚才看了一下,这个可能是我说错了
x509 规范中提到,如果证书包含扩展密钥用法,则证书必须仅用于指示的目的之一。但是问题是没有有关于 dot 服务的扩展密钥用法,x509 只是简单的说明关键用法必须根据 IANA 或者 x660 建议进行分配。并且给出了几个预定义的用法:web 服务器认证,web 客户端认证,电子邮件保护,hash 与时间绑定,代码签名和 ocsp 签名。 如果其他某个协议需要用到 x509 证书,则那个协议可能为其分配扩展密钥用法。如 sip 协议试图分配一个扩展用法。 这个字段似乎没有得到广泛采用,我检查了 1.1.1.1 和 9.9.9.9 的证书,发现也是只有这两个 非常抱歉给你带来麻烦 |
|
41
Maskeney 2018-09-20 17:55:22 +08:00
https://www.rubyfish.cn/config-dnscrypt-proxy 看起来有支持 dnscrypt,这个方案可以放到 Windows 用户上啊,就是部署上可能对小白不太友好
|
|
42
q9OxQg 2018-09-20 18:10:38 +08:00
@Love4Taylor 谢谢你。当时是断了绳子后设置的 Private DNS。看见你的建议,刚刚试了一下,挂了美元,再次设置成为 Private DNS = dns.rubyfish.cn ,保存后,还是显示 Couldn't connect。Pixel 2,联通。
|
 |
43
bclerdx 2018-09-21 00:13:24 +08:00
看着很不错,收藏了。
|
 |
44
lzvezr 2018-09-21 08:07:56 +08:00 via iPhone 1
对于分流,可不可以这样
统一使用 TCP 查询,被污染的域名会被阻断导致查询失败,此类域名再由外部转发一下 昨天试了一下,大部分情况下还可以,只是有一些 ns 服务器只支持 UDP,会有误判的情况,应该还可以优化 |
|
45
qyb OP @q9OxQg @Love4Taylor 确认这个问题了,和系统判断当时的网络状态有关,就是那个月经话题网络信号图标上的 x。我重试确认了,把这个 x 干掉就能连。adb shell "settings put global captive_portal_mode 0",参考 https://www.v2ex.com/t/387818 https://www.v2ex.com/t/303889
|
|
46
Love4Taylor 2018-09-21 11:08:47 +08:00 1
@qyb #45 话说好奇开了 VPN 后 DoT 会怎么走
|
 |
47
lilydjwg 2018-09-21 12:39:20 +08:00 1
|
|
48
qyb OP @lilydjwg 是啊,原本计划是每周做一次污染的判断,现在看起来也许这个频率需要调整。另外实践中发现有些域名的污染是到了非 facebook 的地址段,比如 twitter 的,很苦恼。。关于你说的失败率高的问题,请问是在什么日志里输出的呢??
|
|
50
qyb OP 1
@Love4Taylor 你提了一个特别好的问题。我第一时间反应是 VPN 是一个新的网络设备,肯定走 VPN 服务器配置的 DNS,实际测试推翻了这个直觉。自建了一个 IPSec Xauth PSK 类型的 VPN,发现尽管连接成功之后在私人 DNS 那里展示的是"无法连接",但是依然解析是走 TLS 的
|
|
51
Love4Taylor 2018-09-21 22:30:59 +08:00 1
@qyb #50 绕过 VPN 配置全部走 DoT 的话 那么这就有一个问题了 服务器得保证永远零污染, 并且这样一来 CDN 就不友好了, DoT 对用户的解析要么全是国外友好要么全是国内友好, 是个坑... 所以我在开 VPN 的时候还得先关掉 DoT....
|
|
52
qyb OP 1
@Love4Taylor 补充一下,DNS Server 这样看到的客户端 IP 仍然是原来运营商的 IP,而不是 VPN 的新 IP。如果 IPSecVPN 创建的时候类似 SS 那样有一个分流路由表,这个事看起来仍然是可行的。我自己觉得模式应该是 DoT 给路由器用,DoH 提供 SDK 给 Client App 用比如 SS ;毕竟 DNS 只是资源调度的一环,上网还需要网络层配合。零污染这个话题,我还得想想资源投入在哪个环节... 全都是坑
|
 |
53
smarthing 2018-09-29 21:32:35 +08:00 via Android
挺喜欢这个东西的,我在洛杉矶的机器上 kdig 了一下,明显比 1.1.1.1 慢,不清楚是不是因为 server 在国内的原因。
另外一点就是公司一大把域名,部分子域名或主域名只能用公司内网的 DNS server 解析,用这个不好办。 |
|
54
qyb OP @smarthing 太平洋就 130 毫秒了。。。如果是为了办公应用就需要自己特别明白,或者看 IT 是否有意愿部署这个。话说也给这个话题下的网友更新一下状态吧:
|
|
55
qyb OP 1. 多了两个域名,ea-dns.rubyfish.cn 和 uw-dns.rubyfish.cn ,分别代表所使用的 upstream 区域,East-Asia/US-West ;方便 DoH 的用户
2. Chromium Gerrit 上发现有个叫 Katharine Daly 的开发人员(邮箱为 @google.com )整个 9 月都在为 DoH 而努力,也许今年能在 Chrome 金丝雀上看到 DoH 吧... |
 |
56
jamiroquai 2018-09-30 14:00:40 +08:00
这个能支撑多大的访问量啊?
|
|
57
qyb OP @jamiroquai 当前情况支撑几千人不是问题吧
|
 |
58
citydog 2018-10-06 22:51:28 +08:00 1
网站挂了
|
|
59
qyb OP @citydog 汗。。。前两天跑一个 getdns-python-binding 的脚本,启动后自己就出门了。。结果这个模块有挺严重的内存泄露,好在没有影响主服务,只是 www 挂了。我自己试着把 binding module 部分修了修,objgraph 已经不再报 python 的 object 增长了,但还是在泄露内存,再琢磨难道问题出在 libunbound?? 还没有确切答案,但已经不敢那么随便跑 python 脚本了...
|
|
60
lilydjwg 2018-10-09 15:48:35 +08:00 1
@qyb #59 这又不是 Python 的问题。非要说是 Python 的问题,也是它太容易写出看上去能够工作的程序了,换作 C 估计一堆段错误根本跑不起来了。实际上各种语言写的程序都可能泄漏内存啊,比如我见过两个版本的 tmux 都泄漏过。
ulimit 设置一下内存限制吧。不过占用内存太多应该会被内核干掉,不会太影响别的服务呀。 |
 |
61
testcaoy7 2018-10-09 20:01:49 +08:00 1
求大佬给个 DNSCrypt 的 sdns stamp 链接
|
|
62
qyb OP @testcaoy7 [static.'ea-dns.rubyfish.cn']
stamp = 'sdns://AgQAAAAAAAAADzExNS4xNTkuMTU0LjIyNgAPZG5zLnJ1YnlmaXNoLmNuCi9kbnMtcXVlcnk' [static.'uw-dns.rubyfish.cn'] stamp = 'sdns://AgQAAAAAAAAADDQ3Ljk5LjE2NS4zMQAPZG5zLnJ1YnlmaXNoLmNuCi9kbnMtcXVlcnk' |
|
63
qyb OP @lilydjwg 实在忍不住澄清一下,我没有想表达这是 Python 的问题。。。我现在大概还能算是一个很严肃的程序员,所以这两天空闲时间忍不住去找 https://github.com/getdnsapi/getdns-python-bindings 的 bug,就我使用的功能部分,现在还差最后一个内存泄露没想好怎么修——但满足眼下的脚本需求是没问题了。。。而且我能断言这个代码的作者即不懂 C 也不懂 Python 甚至不了解 libgetdns 的实现。。。话说 getdnsapi 不是 verisign 和 nllabs 搞出来的东西么,但它家的 python binding 也就是一个实习生的水平
|
|
64
lilydjwg 2018-10-11 00:47:53 +08:00 1
@qyb #63 其实我并不是很关心你是不是觉得 Python 有问题,我更关心的是你这么表达,会让不了解的读者误以为 Python 本身有问题。圈子里很多娱乐自黑的梗,最终会传到外边给人造成负面印象,甚至进而造成伤害的。
有些公司,至少它们的某些软件是很实习生的,比如深信服那个 VPN 的 Ubuntu 版,权限乱来,日志文件乱写,我在限制权限之后没能把它跑起来,听说有跑起来了的用户报告运行之后他的网络出问题了。 |
|
66
qyb OP 对,可以的。我前两天在 OpenWrt 上配了一个 stubby.yml ,测试没问题。回头再补个文档
|
 |
68
etnperlong 2018-10-15 00:59:04 +08:00 1
非常感谢!即将部署到家里路由去!
|
|
70
qyb OP |
 |
71
CalZ 2018-10-18 13:13:02 +08:00 2
出来的结果都是污染的。感觉没啥用。
|
 |
74
benedict00 2018-11-09 11:39:54 +08:00 via Android 1
@qyb Windows 上也可以用 stubby 使用 rubydns,改改配置文件就行了,讨厌的是没有 gui,必须一直开着 stubby.bat 。
|
|
75
qyb OP @benedict00 多谢提醒,我还一直以为 stubby 没有 windows 版本;我回头把 windows 下如何配置 stubby or dnscrypt 都加入到网站文档上去吧
|
|
76
benedict00 2018-11-09 15:08:09 +08:00 via iPad
@qyb 感谢,还有 macOS 和 Linux 的客户端,虽然我没用过
|
|
78
qyb OP @testcaoy7 https://github.com/m13253/dns-over-https https://github.com/curl/curl/wiki/DNS-over-HTTPS 这个页面上基本上各个 DoH 运营者都介绍了一下自己是怎么搭起来的
|
 |
80
JonyOang 2018-11-12 10:20:01 +08:00
问下使用 DoT/H 可以避免 DNS 请求内容被记录吗? 公司网络环境下。
|
|
81
qyb OP @JonyOang 您的 DNS 请求不会被你们公司的 IT 看到。当然红鱼的服务器会有记录,我们的隐私政策可参考 https://www.rubyfish.cn/privacy
|
 |
82
sxfscool 2018-11-13 19:26:56 +08:00 1
开启了 private dns 后 bilibili 免流失效了,请问有办法解决么
|
|
83
qyb OP @sxfscool 请问您是联通和 B 站合作的免流卡吗?我研究一下。您可以给我发一封邮件 [email protected] ,我有结论后单独回复
|
|
85
benedict00 2018-11-16 17:35:53 +08:00 via Android 1
@qyb 求更新文档
|
|
86
qyb OP @benedict00 我自己用了一下 stubby for win, 然后碰到一个 bug, 就是 reset DNS 回之前缺省 DHCP 传播的 DNS 之后,又莫名其妙的变成了 127.0.0.1... 我相信对于 V2EX 各君这都不是问题,但对普通用户来说,可能还是不够好。需要再等等
|
 |
87
hstv 2018-11-21 12:43:34 +08:00 1
@qyb 关于污染判定我可以给个建议。被污染域名没办法查询的 NS 记录。如果能在国外查到 NS 记录基本可以判定域名被污染。
|
|
88
benedict00 2018-11-22 19:33:19 +08:00 via Android 1
@qyb 我刚试了一下 Windows 可以用 Simple DNSCrypt 图形客户端用 Rubyfish 的 DoH,stubby 是 DoT。你可以试试
|
|
90
benedict00 2018-11-24 10:37:45 +08:00 via Android 1
请求启用 DNSSEC
|
|
91
qyb OP @benedict00 Simple DNSCrypt 的使用方式已经加上,DNSSEC 正在测试中... 大概就这两天进行部署吧
|
|
92
benedict00 2018-11-26 07:52:34 +08:00 via Android
@qyb 这些工具必须监听 127.0.0.1,可能开了 stubby 自动就改成监听本地地址了。Stubby 暂时没有 cache 功能,需要配合 Unbound,两者可以比较好的配合。还有 macOS 有 Stubby 的 GUI 客户端,但暂时没有很好的选择 DNS 服务器的方式,需要手动 edit。需要 DoT 方式解析的可以考虑使用 Stubby+Unbound。
|
|
93
benedict00 2018-11-26 07:52:49 +08:00 via Android
@qyb 期待
|
|
94
qyb OP 1
@benedict00 DNSSEC 已经部署,过几天确认稳定了再去更改 DNSCrypt stamp
|
 |
95
lucifer0114 2018-12-02 09:29:21 +08:00 via Android 1
反馈一下:在路由器上按教程设置紅鱼 DNS 后,凤凰新闻 iOS 客户端的导览界面有大片内容无法加载,微信中部分冷门公众号的图片内容亦无法加载
|
|
96
qyb OP @lucifer0114 好的,我检查一下
|
 |
97
imliuruiqi 2018-12-02 22:48:00 +08:00 via Android 1
Android 9,似乎开启后无法正常加载 Google play,关闭后可以正常加载。pixel2xl 原生系统,WiFi 网络,路由器已设置 ss 代理。
|
|
98
qyb OP @imliuruiqi 您可以 ea-dns.rubyfish.cn 和 uw-dns.rubyfish.cn 分别都试一下。我初步的怀疑是 Play 帐号的所在区域,和 ss 的出口区域,以及 dns 解析出来的地址区域不一致导致的毛病。能问一下您的 ss 出口是在哪个国家吗?
|
|
99
benedict00 2018-12-03 17:27:08 +08:00 via iPad
@qyb DNSCloak 上看到已支持 DNSSEC 了!
|
|
100
qyb OP @benedict00 嗯,昨晚提的 issue,很快就修改了
|
Select Language