HostuxDNS

dnscrypt-proxy com HostuxDNS

Visão geral

O dnscrypt-proxy é um encaminhador DNS local que pode cifrar as consultas antes de elas saírem da sua máquina ou rede. É útil em Linux, macOS, Raspberry Pi ou por trás de ferramentas como Pi-hole quando você quer um upstream cifrado sem depender das configurações do navegador.

O HostuxDNS expõe resolvedores cifrados compatíveis com o dnscrypt-proxy via DNS stamps. Os exemplos abaixo usam DoQ e servidores declarados de forma estática para não depender da lista pública de resolvedores.

Declarar os servidores estáticos do HostuxDNS

Abra dnscrypt-proxy.toml e adicione o bloco abaixo na secção [static]: 

[static.'hostuxdns-front1-v4']
stamp = 'sdns://BAcAAAAAAAAAEjQ2LjIyNi4xMDguMTczOjg1MwAOZG5zLmhvc3R1eC5uZXQ'

[static.'hostuxdns-front1-v6']
stamp = 'sdns://BAcAAAAAAAAAKVsyMDAxOjRiOTg6ZGMyOjQxOjIxNjozZWZmOmZlMTY6MTA4MF06ODUzAA5kbnMuaG9zdHV4Lm5ldA'

[static.'hostuxdns-front2-v4']
stamp = 'sdns://BAcAAAAAAAAAETQ2LjIyNi4xMDkuODI6ODUzAA5kbnMuaG9zdHV4Lm5ldA'

[static.'hostuxdns-front2-v6']
stamp = 'sdns://BAcAAAAAAAAAKVsyMDAxOjRiOTg6ZGMyOjQxOjIxNjozZWZmOmZlY2U6M2U1NV06ODUzAA5kbnMuaG9zdHV4Lm5ldA'

Estas quatro entradas cobrem os dois frontends do HostuxDNS em IPv4 e IPv6.

Ativar os servidores na configuração principal

Na secção principal do mesmo ficheiro, defina:

server_names = ['hostuxdns-front1-v4', 'hostuxdns-front1-v6', 'hostuxdns-front2-v4', 'hostuxdns-front2-v6']

Se você usa o dnscrypt-proxy como upstream local para outro serviço, mantenha o listener local padrão ou defina-o explicitamente, por exemplo: 

listen_addresses = ['127.0.0.1:5053']

Ferramentas como Pi-hole podem encaminhar consultas para 127.0.0.1:5053.

Reiniciar e verificar

Reinicie o serviço depois de guardar o ficheiro:

systemctl restart dnscrypt-proxy

Depois teste a resolução local:

dig @127.0.0.1 -p 5053 example.com

Também pode testar o upstream diretamente com o Knot DNS:

kdig @dns.hostux.net example.com +quic

Se a consulta local funcionar, as suas aplicações podem usar o dnscrypt-proxy como resolvedor local enquanto o HostuxDNS trata do upstream cifrado.

Notas

Lista de resolvedores
Stamps estáticos são a opção mais fiável quando você quer fixar um upstream específico sem depender da lista pública.
Bloqueio de anúncios
O endpoint filtrado /ads do HostuxDNS é um caminho DoH e não é exposto pelos stamps DoQ mostrados aqui.
Documentação oficial
Documentação do dnscrypt-proxy

Ver também

HostuxDNS com AdGuard Home HostuxDNS no OpenWrt DoH vs DoT