HostuxDNS

dnscrypt-proxy avec HostuxDNS

Vue d'ensemble

dnscrypt-proxy est un proxy DNS local capable de chiffrer les requêtes avant qu'elles ne quittent votre machine ou votre réseau. Il est utile sur Linux, macOS, Raspberry Pi ou derrière un outil comme Pi-hole quand vous voulez un DNS chiffré sans dépendre des réglages d'un navigateur.

HostuxDNS expose des résolveurs chiffrés compatibles avec dnscrypt-proxy via des DNS stamps. Les exemples ci-dessous utilisent DoQ et déclarent les serveurs de manière statique pour ne pas dépendre de la liste publique des résolveurs.

Déclarer les serveurs statiques HostuxDNS

Ouvrez dnscrypt-proxy.toml et ajoutez le bloc suivant dans la section [static] : 

[static.'hostuxdns-front1-v4']
stamp = 'sdns://BAcAAAAAAAAAEjQ2LjIyNi4xMDguMTczOjg1MwAOZG5zLmhvc3R1eC5uZXQ'

[static.'hostuxdns-front1-v6']
stamp = 'sdns://BAcAAAAAAAAAKVsyMDAxOjRiOTg6ZGMyOjQxOjIxNjozZWZmOmZlMTY6MTA4MF06ODUzAA5kbnMuaG9zdHV4Lm5ldA'

[static.'hostuxdns-front2-v4']
stamp = 'sdns://BAcAAAAAAAAAETQ2LjIyNi4xMDkuODI6ODUzAA5kbnMuaG9zdHV4Lm5ldA'

[static.'hostuxdns-front2-v6']
stamp = 'sdns://BAcAAAAAAAAAKVsyMDAxOjRiOTg6ZGMyOjQxOjIxNjozZWZmOmZlY2U6M2U1NV06ODUzAA5kbnMuaG9zdHV4Lm5ldA'

Ces quatre entrées couvrent les deux fronts HostuxDNS en IPv4 et IPv6.

Activer les serveurs dans la configuration principale

Dans la section principale du même fichier, définissez :

server_names = ['hostuxdns-front1-v4', 'hostuxdns-front1-v6', 'hostuxdns-front2-v4', 'hostuxdns-front2-v6']

Si dnscrypt-proxy sert de résolveur local pour un autre service, conservez l'écoute locale par défaut ou définissez-la explicitement, par exemple : 

listen_addresses = ['127.0.0.1:5053']

Des outils comme Pi-hole peuvent alors transférer les requêtes vers 127.0.0.1:5053.

Redémarrer et vérifier

Redémarrez le service après avoir enregistré le fichier :

systemctl restart dnscrypt-proxy

Puis testez la résolution locale :

dig @127.0.0.1 -p 5053 example.com

Vous pouvez aussi tester directement le serveur avec Knot DNS :

kdig @dns.hostux.net example.com +quic

Si la requête locale fonctionne, vos applications peuvent utiliser dnscrypt-proxy comme résolveur local tandis que HostuxDNS prend en charge le transport DNS chiffré.

Notes

Liste publique des résolveurs
Les stamps statiques sont la solution la plus fiable si vous voulez viser un serveur précis sans dépendre de la liste publique.
Blocage pub
Le point d'entrée filtrant /ads de HostuxDNS est un chemin DoH et n'est pas exposé via les stamps DoQ utilisés ici.
Documentation officielle
Documentation dnscrypt-proxy

Voir aussi

HostuxDNS avec AdGuard Home HostuxDNS sur OpenWrt DoH vs DoT