Настройка Bind в паре с Redsocks?

Question

[SysUtils]

Всем доброй ночи. Возникла проблема, в настройке программы Redsocks, а точнее его модуля 'dnstc', который позволяет сделать своеобразный 'хак', по подмене ip DNS сервера. Вот офф.сайт этого чуда. Инструкции нету, есть лишь общие описания, по поводу настройки. Я связался с создателем, и он вкратце объяснил мне что и как, однако настроить у меня его не получилось (ввиду отсутствия знаний по Linux системам). Цитирую

требуется, чтоб клиентская библиотека в
операционной системе, которая отправляет DNS-запрос в сеть, строго
соответствовала RFC в части обработки truncated запросов. Для
популярных linux-дистрибутивов это какое-то время назад было совсем не
так, но можно поднять локальный кэширующий bind, чтоб он ходил за DNS
наружу по TCP, получал ответы и отдавал их библиотеке операционки.

После этого я спросил, достаточно ли чтобы DNS сервер отвечал по TCP вместо UDP? На что последовал ответ

Не _отвечал_ по TCP, а _ходил в интернет за ответом_ по TCP. Я не знаю,
можно ли явно в forwarders указать требование ходит по TCP к
вышестоящему DNS-серверу, но раньше можно было исходящие UDP запросы от
bind направить в dnstc и после этого он повторял попытку по TCP.

Я поблагодарил его за помощь, и на несколько недель отлучился(ввиду непредвиденных обстоятельств), но когда начал приступать к настройке, и вновь обратился за помощью к нему, он куда-то пропал. И сколько это продлится неизвестно. Поэтому обращаюсь к вам за помощью в решении данной проблемы. Что было сделано? - поднят локальный кеширующий Bind9, в строке forwarders указан адрес вышестоящего DNS сервера, затем прописаны правила iptables: iptables -t nat -A OUTPUT -p udp --sport 53 -j REDIRECT --to-ports 5300 и iptables -t nat -A OUTPUT -s 127.0.0.1/32 -p udp -m udp --sport 53 -j REDIRECT --to-ports 5300. На 5300 порту висит 'dnstc', 53 - Bind соответственно.(если нужно, я пришлю файл named.conf или любые другие настройки). И в итоге ничего не поменялось. Мой ip остался прежнем, а ответ колебался в пределах нормы, хотя должна была быть небольшая задержка в ответах от DNS серверов. По поводу фильтрации TCP трафика, все в порядке, redsocks фильтрует, претензий нет, поэтому данную тему я решил опустить. Подскажите, что я сделал не так? Где я допустил ошибку? Может быть кто-то сталкивался с подобной ситуацией?

Comments

[krosh]

Что Вы хотите в итоге реализовать?
Если нужно запретить любой трафик из локальной сети, то смотрите dnsmasq.
Хотите подменить "на лету" адрес ДНС-сервера? Тогда либо dnschef, либо пробовать DNAT iptables.
Хотите подменять определенные ответы от ДНС-сервера?

Вы все это делаете на одном хосте локально или есть шлюз с редсокс и есть клиент, которому надо подменить адрес ДНС?

[SysUtils]

krosh:
>Что Вы хотите в итоге реализовать?
Конечная цель, это полностью фильтрация трафика через Socks. После того как сервер повторит попытку по TCP, эти запросы будут перенаправлены на Socks сервер, т.к я настроил Redsocks на фильтрацию всего TCP трафика, кроме локального(с помощью правил iptables).
>Вы все это делаете на одном хосте локально
Для начала настроить все на локальном хосте, только для меня, затем подключить внешний адаптер и раздать все это для него(но тут, как я понимаю сложностей возникнуть не должно, это можно реализовать с помощью 'route add'). Вообще если говорить, о цели в самом начале, простым языком, то мне нужно было получить ip адрес dns socks сервера, то есть отфильтровать UDP трафик через Socks, но не все Socks поддерживают это, поэтому и был найден данный проект, который может отфильтровать DNS UDP трафик через TCP Socks. Я надеюсь, что правильно и понятно объяснил Вам, что я хотел сделать.

[krosh]

SysUtils:
> Конечная цель, это полностью фильтрация трафика через Socks.
Что Вы понимаете под "фильтрация"? SOСKS - это протокол проксирования, или речь может идти о SOCKS proxy-сервере. Т.е. Вы хотите весь внешний трафик отправлять на socks-сервер, чтобы он его уже дальше пускал в сеть от своего имени/адреса. Так?

Какой смысл отправлять на SOCKS-сервер dns-запросы? Почему не хотите пользоваться публичными днс-серверами?

С днс-запросами я вижу два варианта: 1. запретить локальным процессам выходить в сеть напрямую; 2. параноидальный режим, пробрасывать весь трафик до SOCKS-сервера. В вар. 1 нужен только кешируюший ДНС-сервер, который сам будет ходить в сеть, а не локальные процессы или хосты (dnsmasq, bind9). Вар. 2 надо чтобы днс-запросы ходили не по udp-протоколу, а по tcp.

Учтите, что днс-запросы идут по сети в открытом виде, только если канал до socks-сервера у Вас не шифруется, только тогда есть какой-то смысл в таких действиях.

Автор правильно пишет, нужно чтобы исходящие запросы в сеть были по tcp-протоколу. Настраивали так bind9? Если он реально ходит за разрешением имен по tcp, то и дополнительных настроек не нужно будет, если Вы пишите, что остальной трафик проксируется правильно. ДНС-сервер с запросами по tcp, ничем не отличается от браузера на сетевом уровне.

Проверяйте настройки bind9, удалите лишние правила iptables, что Вы писали в первом сообщении и все должно работать. Проверить отправку запросов по tcp можно так: tcpdump -i eth0 port 53.

Зачем Вам редирект если есть кеширующий bind? Кажется там нужно не sport ставить, а --dport, для правильного редиректа. Просто не знаю, как и зачем работает dnstc. Но предполагаю, что Вы пытаетесь перенаправить исходящие по upd днс-запросы.

Еще поглядите:
DNS SOCKS Proxy, https://github.com/jtripper/dns-tcp-socks-proxy

[SysUtils]

krosh:
>Вы хотите весь внешний трафик отправлять на socks-сервер, чтобы он его уже дальше пускал в сеть от своего имени/адреса. Так?
Да, именно так я и хочу.

>Почему не хотите пользоваться публичными днс-серверами?
Не доверяю им, это раз, а второе, мне нужно чтобы ничего не вызывало подозрений, что я пользуюсь Socks, поэтому решил заморочится с DNS сервером.

>С днс-запросами я вижу два варианта
Если я правильно понимаю, эти два варианта я и использую, для реализации своей задумки. Сначала поднимаю локальный кеширующий Bind, затем стараюсь сделать так, что он ходил в сеть по TCP, вместо UDP.

>Автор правильно пишет, нужно чтобы исходящие запросы в сеть были по tcp-протоколу. Настраивали так bind9?
Вот это не совсем понял. Чтобы сервер ходил в сеть по TCP протоколу, нужно исходящие запросы, как вы правильно подметили направить в 'dnstc', и со слов автора он отвечает на них как 'truncated', исходя из этого там получается 'хитрая' схема связанная с RFC, и dns сервер повторяет попытку по TCP, а трафик TCP то у меня идет через Socks...

>Кажется там нужно не sport ставить, а --dport, для правильного редиректа
Я попробую переписать правила iptables. Кстати по поводу правил, вот правила для фильтрации TCP трафика через Redsocks:
"iptables -t nat -N REDSOCKS
iptables -t nat -A REDSOCKS -d 0.0.0.0/8 -j RETURN
iptables -t nat -A REDSOCKS -d 10.0.0.0/8 -j RETURN
iptables -t nat -A REDSOCKS -d 127.0.0.0/8 -j RETURN
iptables -t nat -A REDSOCKS -d 169.254.0.0/16 -j RETURN
iptables -t nat -A REDSOCKS -d 172.16.0.0/12 -j RETURN
iptables -t nat -A REDSOCKS -d 192.168.0.0/16 -j RETURN
iptables -t nat -A REDSOCKS -d 224.0.0.0/4 -j RETURN
iptables -t nat -A REDSOCKS -d 240.0.0.0/4 -j RETURN
iptables -t nat -A REDSOCKS -p tcp -j REDIRECT --to-ports 6666
iptables -t nat -A OUTPUT -p tcp -m owner --uid-owner %username% -j REDSOCKS"
На 127.0.0.1:6666 висит сервис Redsocks, который и перенаправляет весь трафик входящий в него на Socks(сам адрес Socks-a прописывается в настройках). На 127.0.0.1:5300 висит 'dnstc', который отвечает 'truncated', и на который нужно перенаправить исходящие udp пакеты, чтобы DNS сервер повторил попытку по TCP. Со слов автора(как я понял), в этом и заключается настройка. Получается у меня неправильные правила перенаправления исходящих UDP пакетов? Кроме правил которые я привел выше, для 'dnstc' и 'redsocks', больше ничего не прописано.

[krosh]

SysUtils: Вы посмотрели DNS SOCKS Proxy или DNSChef (у него даже специальная опция есть, чтобы сразу делать запросы по tcp: DNSChef implements a TCP mode which can be activated with the --tcp flag)? Чем они не устраивают, и без костылей для Редсокса.

[SysUtils]

krosh: Ну глянул мельком. По какому принципу они работают, как кеширующие с перенаправлением запросов? Какой лучше подойдет в моей ситуации?

[krosh]

SysUtils:
Cудя по описанию, DNS SOCKS Proxy отлично подходит для Вашей задачи. Он делает ровно тоже самое, что и Редсокс, только для днс-запросов, а не всего трафика. Он слушает порт на интерфейсе и все входящие запросы проксирует (перенаправляет) через сокс-сервер и дальше. Только обратите внимание, что DNS SOCKS Proxy только проксирует запросы _через_ прокси-сервер, он не направляет запросы к определенному ДНС-серверу, эти Вы должны отдельно настроить.

Ну и что-бы трафик не шел наружу, просто заблокируйте все исходящие соединения (но это только после отладки работы проксирования):
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -d SOCKSIP -j ACCEPT
iptables -P OUTPUT DROP

[SysUtils]

krosh: Я только что попробовал переписать правила на такие же, только вместо --sport, --dport. Увы ничего не вышло. Мне кажется они не правильные, так как получается, что я перенаправляю, еще не пришедший трафик к 53 порт на 5300. А с --sport, я уже вышедшие пакеты с 53(то есть с Bind) направляю на 'dnstc'. Вроде как по инструкции. Ладно, видать моих мозгов не хватит, чтобы заставить его работать. По поводу DNS Socks Proxy. Получается, нужно в настройках Bind указать, в forwarders адрес этого DNS Socks proxy, при этом прописать правила, для UDP, чтобы сначала весь ВХОДЯЩИЙ трафик шел на Bind, а ИСХОДЯЩИЙ с Bind на DNS Socks proxy, ну а оттуда он идет на сам носок=профит. Я правильно понимаю?

[krosh]

SysUtils:
Все все путаете и смешиваете, поэтому ничего не получается. Может и сервис не поднят, Вы проверяли?

Bind используется и взамен, и вместе с dnstc, DNS Socks Proxy вместо Bind. Используете одно, выключите все остальное.

Про Bind. Если Вы запретите исходящий upd трафик (хотя-бы для dport=53/udp), то вероятно он начнет использовать 53/tcp для отправки запросов. А уже этот трафик будет проксироваться Redsocks как и весь остальной трафик, тут дополнительных правил не нужно. Только заставить работать Bind по TCP, либо настройками либо ломом.

Про dnstc + Bind. Можно обрывать оправку запросов от bind'a и dnstc. Навероное достаточно такого правила:
iptables -t nat -A OUTPUT -p udp --dport 53 -j REDIRECT --to-ports 5300

Про DNS Socks Proxy. Выключаете Bind и редирект, запускаете утилиту, она слушает локальный 53/udp и проксирует на socks сервер принятые запросы и только. Сразу и без обрыва udp.

В любом случае днс-запросы должны идти на 127.0.0.1:53, а не куда-либо еще, что бы локальные процессы за разрешением имен шли к DNS Socks Proxy, а не внешний ДНС-сервер. Понимаете? Проверяйте nslookup yandex.ru 127.0.0.1

[SysUtils]

krosh:
>Может и сервис не поднят, Вы проверяли?
Сейчас даже обидно стало. Конечно я проверял.

>Если Вы запретите исходящий upd трафик (хотя-бы для dport=53/udp), то >вероятно он начнет использовать 53/tcp для отправки запросов
Прописал правило 'iptables -t filter -A OUTPUT -p udp --dport 53 -j DROP' И интернет пропал. Ни Bind ни вышестоящий сервер, не может подключиться ни к чему(тестировал с помощью dig). С помощью лома не получилось) А что нужно указать в настройках, чтобы он ходил по TCP, я не знаю.

>Про dnstc + Bind. Можно обрывать оправку запросов от bind'a и dnstc. >Навероное достаточно такого правила:
>iptables -t nat -A OUTPUT -p udp --dport 53 -j REDIRECT --to-ports 5300
Тоже самое что и в прошлом примере, прописал 'iptables -t nat -A OUTPUT -p udp --dport 53 -j REDIRECT --to-ports 5300', Bind и Redsocks активны. Даю команду 'dig 127.0.0.1 yandex.ru' Получаю в ответ 'connection timed out; no servers could be reached', не 'але' короче.

>Про DNS Socks Proxy
Сейчас нет подходящего Socks, чтобы проверить, но чисто в теории, это как раз то, что мне нужно, и настройка не столь 'замудрена', как с redsocks. Если успею, вечером попробую, если не успею, завтра. В любом случае отпишусь по результату.

[krosh]

SysUtils:
Не знаю, почему bind не переключается на запросы по tcp, если заблокированы udp, наверное надо задать конкретный вопрос на профильном форуме.

Проверил с dnsmasq. Заблокировал исходящие 53/udp и работал он только, если явно отправлять запросы по tcp:
iptables -A OUTPUT -o eth0 -p udp -m udp --dport 53 -j REJECT
dig 127.0.0.1 ya.ru +tcp

Получается, что вышеперечисленные правила редиректа или блокировки верны и они свое дело делают, но почему bind или клиент не переключаются при этом на tcp-запросы - это для меня загадка.

[SysUtils]

krosh: Спасибо вам огромное))) За всю ту помощь оказанную в содействии)) Без вас, я бы не справился) Настроил DNS Socks Proxy на скорую руку и увидел ПОЛОЖИТЕЛЬНЫЙ результат. IP DNS стал таким, какой я хотел, то есть Socks-а. Конечно, нужно еще чуток повозиться с iptables и настроить route add, но это мелочи))) Раз 'пошла такая пьянка', я задам вам вопрос немного не по теме. Вы не знаете, можно ли как-то подменить ip адрес в WebRTC, на Ip Socks. Знаю, что есть плагины для браузера, чтобы просто напросто запретить WebRTC, но это не мой случай, мне нужна подмена. Знаю, что есть инструкция по поводу виртуальной машины, там говорилось про добавление виртуального адаптера и замыкание его на себя+правила Firewall-а, но на Windows. Можно ли реализовать такое же на Linux? При том на localhost, а не на виртуальной машине, и раздать при этом с этого компьютера интернет на внешнюю сетевую карту со всеми настойками?

[krosh]

SysUtils: Пожалуйста! Вынес итоговый ответ из комментариев, возможно кому-то еще пригодится, что-бы не читать наше с Вами обсуждение.

С WebRTC не работал, но думаю это обычный прикладной протокол, возможно поверх HTTP/S, и транспорт там точно TCP, поэтому соксификация трафика не должна отличаться от той. что Вы пытаетесь сделать с Redsocks. Если нужны какие-то дополнения, то лучше вынести это в отдельный конкретный вопрос (возможно несколько) с подробным описанием задачи.

[SysUtils]

krosh: Я вас услышал. Спасибо еще раз)

Answer 1

[krosh]

DNS SOCKS Proxy, https://github.com/jtripper/dns-tcp-socks-proxy

Comments

[Matt Nakov]

Как у Вас получилось?
Я пробовал redsocks с dnsmasq, работает. но DNS гугловский, а не SSH.
Я поставил DNS SOCKS Proxy, тоже самое гугловский DNS. Мне надо, чтобы DNS от SSH.
Какие правила iptables Вы прописали?
У Вас в файле resolv.conf серверы, которые прописал DNS SOCKS Proxy?

[krosh]

Matt Nakov, что за SSH DNS? Получилось вполне обычно: dnsmasq был dns-сервером, который прописан на клиентах локальной сети, а проходящий трафик просто блокировался.

В resolv.conf сервера, которые я прописал. Там что хотите может быть прописано, у меня там наверное адрес моего роутера был указан для простоты работы.

[SysUtils]

Matt Nakov, Нет, ничего не получилось. DNS как был провайдера так и есть. Никто ничего не знает. Для Windows есть платные соксификаторы с определенным режимом работы, которые как-то заставляют выдаваться нужный Ip DNS сервера провайдера, для Linux таких не нашел

Answer 2

[Alex]

server 127.0.0.1 {
    tcp-only yes;
};