Resumen
dnscrypt-proxy es un reenviador DNS local que puede cifrar las consultas antes de que salgan de tu equipo o red. Resulta util en Linux, macOS, Raspberry Pi o detras de herramientas como Pi-hole cuando quieres un upstream cifrado sin depender de la configuracion del navegador.
HostuxDNS expone resolvers cifrados compatibles con dnscrypt-proxy mediante DNS stamps. Los ejemplos siguientes usan DoQ y servidores declarados de forma estatica para no depender de la lista publica de resolvers.
Declarar los servidores estaticos de HostuxDNS
Abre dnscrypt-proxy.toml y anade el siguiente bloque en la seccion
[static]:
[static.'hostuxdns-front1-v4']
stamp = 'sdns://BAcAAAAAAAAAEjQ2LjIyNi4xMDguMTczOjg1MwAOZG5zLmhvc3R1eC5uZXQ'
[static.'hostuxdns-front1-v6']
stamp = 'sdns://BAcAAAAAAAAAKVsyMDAxOjRiOTg6ZGMyOjQxOjIxNjozZWZmOmZlMTY6MTA4MF06ODUzAA5kbnMuaG9zdHV4Lm5ldA'
[static.'hostuxdns-front2-v4']
stamp = 'sdns://BAcAAAAAAAAAETQ2LjIyNi4xMDkuODI6ODUzAA5kbnMuaG9zdHV4Lm5ldA'
[static.'hostuxdns-front2-v6']
stamp = 'sdns://BAcAAAAAAAAAKVsyMDAxOjRiOTg6ZGMyOjQxOjIxNjozZWZmOmZlY2U6M2U1NV06ODUzAA5kbnMuaG9zdHV4Lm5ldA'Estas cuatro entradas cubren ambos frontends de HostuxDNS por IPv4 e IPv6.
Activar los servidores en la configuracion principal
En la seccion principal del mismo archivo, define:
server_names = ['hostuxdns-front1-v4', 'hostuxdns-front1-v6', 'hostuxdns-front2-v4', 'hostuxdns-front2-v6']Si usas dnscrypt-proxy como upstream local para otro servicio, manten el listener local predeterminado o configuralo explicitamente, por ejemplo:
listen_addresses = ['127.0.0.1:5053']
Herramientas como Pi-hole pueden reenviar consultas a 127.0.0.1:5053.
Reiniciar y verificar
Reinicia el servicio despues de guardar el archivo:
systemctl restart dnscrypt-proxyDespues prueba la resolucion local:
dig @127.0.0.1 -p 5053 example.comTambien puedes probar el upstream directamente con Knot DNS:
kdig @dns.hostux.net example.com +quicSi la consulta local funciona, tus aplicaciones pueden usar dnscrypt-proxy como resolver local mientras HostuxDNS se encarga del upstream cifrado.
Notas
- Lista de resolvers
- Los stamps estaticos son la opcion mas fiable cuando quieres fijar un upstream concreto sin depender de la lista publica.
- Bloqueo de anuncios
- El endpoint filtrado
/adsde HostuxDNS es una ruta DoH y no esta expuesto mediante los stamps DoQ mostrados aqui. - Documentacion oficial
- Documentacion de dnscrypt-proxy