如何在Linksys OpenWRT路由器上保護你的DNS。
你可能知道也可能不知道,當你的路由器解析一個DNS位址時,它實際上是在把DNS請求發送給外部DNS解析器,而這個通常預設是你的ISP。 這個請求是明文發佈的,意味著它沒有加密,這意味著別人很容易看到你訪問的網站。 雖然不能保證你的ISP會記錄你去過的每個地方,但很有可能。
但你猜怎麼著?
事情不必如此。
VPN是隱藏DNS查詢的一種方式,但你也可以利用不同的DNS解析方式來加密請求,同時將查詢數據從ISP那裡轉移開。 更棒的是,設置起來其實非常簡單。
如需深入瞭解安全發送DNS請求的兩種主要方法,請點擊此處訪問Cloudflare的文章:
就我們的目的而言,我們將設置DNS-over-HTTPS(DoH)。 為什麼? 由於DNS請求會和443埠的其他數據流混雜在一起,所以更難區分。 這是件好事!
如遇任何問題或需要進一步説明,請參考OpenWRT 論壇 或OpenVPN 文檔。
1. DNS 劫持
這幾乎是從OpenWRT關於此主題的文件中直接摘錄的。
這一步我們要做的是確保所有發出的DNS請求都被路由器捕獲,這樣它們可以通過另一個包加密,並通過DoH發送到我們選擇的解析器(不是你的ISP)。
首先,從你的Linksys OpenWRT路由器主功能表中進入Network->Firewall。
到達后,點擊“Port Forwards”標籤。 然後點擊「Add」來創建新的埠轉發規則。
最後,把設置改成和截圖一樣,點“Save”,然後“Save & Apply”。
這個就說到這裡。
2. HTTPS-DNS-PROXY
注意:這些說明假設你沒有把預設的dnsmasq(dnsmas守護進程)替換成Unbound或類似程式。
首先,我們需要去 System->Software 找到並添加正確的軟體包。
一旦你進入該頁面,請篩選出“Luci-app-http-dns-proxy”。 雖然我的截圖顯示為「已安裝」 因為我已經添加了它,但你應該會看到一個「安裝」 按鈕。 點擊它即可。
*有關軟體安裝的基本步驟,請點擊這裡。
完成後,訪問Services->DNS HTTPS Proxy。
你應該看看這個。 請注意,你可以從解決器清單中選擇,也可以添加自己的解決器。
建議:使用包中提供的鏈接瞭解更多關於不同解析器的知識。 Quad9通常被評為最私密和安全的設備之一。
注意強制路由器DNS的選項。 這是一個很好的選擇,因為它防止其他使用者在瀏覽器中設置自定義DNS以繞過你可能設置的遮罩(例如廣告遮罩)。
3. 確保它正常工作
既然我們費了心思設置這個,應該確認它是否正常工作。 最簡單的方法是去DNS泄露測試。 點擊“標準測試”並等待。 結果應該顯示你清單中某個解析器的伺服器。
既然谷歌還在我的清單裡,我知道它有效。
僅此而已。 你的DNS請求現在和其他SSL流量一起加密,更難被監視。 太棒了!
