Была поставлена задача — настроить DNS over HTTPS на рабочей машине с GNU/Linux. Ряд популярных ресурсов, в частности hackware.ru, в качестве решения предлагают установку и настройку софтины dnscrypt-proxy. Но зачем это делать, если, как мне кажется, достаточно отредактировать /etc/resolv.conf, изменив нэймсервера на те, которые поддерживают DNS over HTTPS, например Quad9, и запретить вносить изменения в данный файл? Тем самым сэкономить кучу времени, которое бы ушло на установку и настройку.
Искренне желаю разобраться в вопросе, в связи с этим хотел бы услышать мнения опытных людей.
одними неймами не обойдешься :)
"dns over https" работает, как и видно по названию, по отличающемуся от "dns" протоколу.
потому потребуется не только смена имени но и смена формат запросов.
поэтому ставится dnscrypt-proxy, который принимает запросы по протоколу "dns", после чего отсылает запрос по зашифрованному протоколу "dns over https" на сервера quad9, получает ответ и отдает его страждущему в формате "dns".
т.е. проксирование dns внутри шифротунеля dns over https
Без dnscrypt-proxy эти нэймсервера будут использоваться по обычному протоколу DNS вместо DoH, т.к. стандартные средства Linux (systemd-resolved и т.п.) не поддерживают DoH из коробки.
Недостаточно. /etc/resolv.conf содержит адрес DNS-сервера, который будет использоваться стандартным образом. То есть, запрос по порту 53 и ожидание ответа по нему, что явно не то, что ожидается :)
