红鱼 DNS 正式发布, DoT & DoH only

2018-09-20 09:26:56 +08:00
 qyb
介绍在 https://www.rubyfish.cn 。昨天上线了第二个弹性 IP 的节点,有了一定的抗单点故障能力,这就算进入 alpha 公测阶段了吧。整套服务现在一共七台 VPS:正式服务一个阿里云杭州,一个腾讯云上海;上连美国,东亚各 2 一共 4 个 upstream 节点供不同出口需求选择;加上专门用于门户信息发布和监控的节点;希望这些准备工作让 Rubyfish DNS 不至于太山寨。

这个项目,原本来源于一次自己搭建路由器的经历,思索要是国内有一个靠谱的 DNS provider 就简单不少;后来看到今年 DNS 安全的一系列新进展,包括 TLS 1.3 也正式完工,感觉这应该是一个趋势,于是就动手了。。。它的价值?我觉得是节省一点大家的时间,解析可靠、运行稳定、访问快速的 SLA 保障是我努力去做的。指望从这个服务获得什么回报?一方面是我自己的其它项目可能也是依赖一个公共 DNS 的,这个就当基础服务的成本;另一方面也许会直接提供基于 DNS 的其它的 to Developer/SysAdmin 的服务???我是 DNS 领域的新人,需要再摸索摸索。
79630 次点击
所在节点    DNS
191 条回复
Maskeney
2018-09-20 17:55:22 +08:00
https://www.rubyfish.cn/config-dnscrypt-proxy 看起来有支持 dnscrypt,这个方案可以放到 Windows 用户上啊,就是部署上可能对小白不太友好
q9OxQg
2018-09-20 18:10:38 +08:00
@Love4Taylor 谢谢你。当时是断了绳子后设置的 Private DNS。看见你的建议,刚刚试了一下,挂了美元,再次设置成为 Private DNS = dns.rubyfish.cn ,保存后,还是显示 Couldn't connect。Pixel 2,联通。
bclerdx
2018-09-21 00:13:24 +08:00
看着很不错,收藏了。
lzvezr
2018-09-21 08:07:56 +08:00
对于分流,可不可以这样
统一使用 TCP 查询,被污染的域名会被阻断导致查询失败,此类域名再由外部转发一下
昨天试了一下,大部分情况下还可以,只是有一些 ns 服务器只支持 UDP,会有误判的情况,应该还可以优化
qyb
2018-09-21 11:04:55 +08:00
@q9OxQg @Love4Taylor 确认这个问题了,和系统判断当时的网络状态有关,就是那个月经话题网络信号图标上的 x。我重试确认了,把这个 x 干掉就能连。adb shell "settings put global captive_portal_mode 0",参考 https://www.v2ex.com/t/387818 https://www.v2ex.com/t/303889
Love4Taylor
2018-09-21 11:08:47 +08:00
@qyb #45 话说好奇开了 VPN 后 DoT 会怎么走
lilydjwg
2018-09-21 12:39:20 +08:00
@qyb #30 用了这个 DNS 我访问不了 niu.moe 了 (╯‵□′)╯︵┻━┻

要不你把返回单个 Facebook IP 的域名自动判定为被污染?
另外失败率有些高啊,141 个请求,74 个失败,11 个超时。
qyb
2018-09-21 13:49:01 +08:00
@lilydjwg 是啊,原本计划是每周做一次污染的判断,现在看起来也许这个频率需要调整。另外实践中发现有些域名的污染是到了非 facebook 的地址段,比如 twitter 的,很苦恼。。关于你说的失败率高的问题,请问是在什么日志里输出的呢??
lilydjwg
2018-09-21 16:59:47 +08:00
@qyb #48 我的本地 DNS 代理给出的统计数据。
qyb
2018-09-21 22:02:05 +08:00
@Love4Taylor 你提了一个特别好的问题。我第一时间反应是 VPN 是一个新的网络设备,肯定走 VPN 服务器配置的 DNS,实际测试推翻了这个直觉。自建了一个 IPSec Xauth PSK 类型的 VPN,发现尽管连接成功之后在私人 DNS 那里展示的是"无法连接",但是依然解析是走 TLS 的
Love4Taylor
2018-09-21 22:30:59 +08:00
@qyb #50 绕过 VPN 配置全部走 DoT 的话 那么这就有一个问题了 服务器得保证永远零污染, 并且这样一来 CDN 就不友好了, DoT 对用户的解析要么全是国外友好要么全是国内友好, 是个坑... 所以我在开 VPN 的时候还得先关掉 DoT....
qyb
2018-09-21 22:56:37 +08:00
@Love4Taylor 补充一下,DNS Server 这样看到的客户端 IP 仍然是原来运营商的 IP,而不是 VPN 的新 IP。如果 IPSecVPN 创建的时候类似 SS 那样有一个分流路由表,这个事看起来仍然是可行的。我自己觉得模式应该是 DoT 给路由器用,DoH 提供 SDK 给 Client App 用比如 SS ;毕竟 DNS 只是资源调度的一环,上网还需要网络层配合。零污染这个话题,我还得想想资源投入在哪个环节... 全都是坑
smarthing
2018-09-29 21:32:35 +08:00
挺喜欢这个东西的,我在洛杉矶的机器上 kdig 了一下,明显比 1.1.1.1 慢,不清楚是不是因为 server 在国内的原因。

另外一点就是公司一大把域名,部分子域名或主域名只能用公司内网的 DNS server 解析,用这个不好办。
qyb
2018-09-30 10:59:32 +08:00
@smarthing 太平洋就 130 毫秒了。。。如果是为了办公应用就需要自己特别明白,或者看 IT 是否有意愿部署这个。话说也给这个话题下的网友更新一下状态吧:
qyb
2018-09-30 11:04:16 +08:00
1. 多了两个域名,ea-dns.rubyfish.cnuw-dns.rubyfish.cn ,分别代表所使用的 upstream 区域,East-Asia/US-West ;方便 DoH 的用户
2. Chromium Gerrit 上发现有个叫 Katharine Daly 的开发人员(邮箱为 @google.com )整个 9 月都在为 DoH 而努力,也许今年能在 Chrome 金丝雀上看到 DoH 吧...
jamiroquai
2018-09-30 14:00:40 +08:00
这个能支撑多大的访问量啊?
qyb
2018-09-30 15:23:01 +08:00
@jamiroquai 当前情况支撑几千人不是问题吧
citydog
2018-10-06 22:51:28 +08:00
网站挂了
qyb
2018-10-09 12:54:54 +08:00
@citydog 汗。。。前两天跑一个 getdns-python-binding 的脚本,启动后自己就出门了。。结果这个模块有挺严重的内存泄露,好在没有影响主服务,只是 www 挂了。我自己试着把 binding module 部分修了修,objgraph 已经不再报 python 的 object 增长了,但还是在泄露内存,再琢磨难道问题出在 libunbound?? 还没有确切答案,但已经不敢那么随便跑 python 脚本了...
lilydjwg
2018-10-09 15:48:35 +08:00
@qyb #59 这又不是 Python 的问题。非要说是 Python 的问题,也是它太容易写出看上去能够工作的程序了,换作 C 估计一堆段错误根本跑不起来了。实际上各种语言写的程序都可能泄漏内存啊,比如我见过两个版本的 tmux 都泄漏过。

ulimit 设置一下内存限制吧。不过占用内存太多应该会被内核干掉,不会太影响别的服务呀。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/491049

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX