这是一个创建于 2644 天前的主题,其中的信息可能已经有所发展或是发生改变。
介绍在 https://www.rubyfish.cn 。昨天上线了第二个弹性 IP 的节点,有了一定的抗单点故障能力,这就算进入 alpha 公测阶段了吧。整套服务现在一共七台 VPS:正式服务一个阿里云杭州,一个腾讯云上海;上连美国,东亚各 2 一共 4 个 upstream 节点供不同出口需求选择;加上专门用于门户信息发布和监控的节点;希望这些准备工作让 Rubyfish DNS 不至于太山寨。
这个项目,原本来源于一次自己搭建路由器的经历,思索要是国内有一个靠谱的 DNS provider 就简单不少;后来看到今年 DNS 安全的一系列新进展,包括 TLS 1.3 也正式完工,感觉这应该是一个趋势,于是就动手了。。。它的价值?我觉得是节省一点大家的时间,解析可靠、运行稳定、访问快速的 SLA 保障是我努力去做的。指望从这个服务获得什么回报?一方面是我自己的其它项目可能也是依赖一个公共 DNS 的,这个就当基础服务的成本;另一方面也许会直接提供基于 DNS 的其它的 to Developer/SysAdmin 的服务???我是 DNS 领域的新人,需要再摸索摸索。
这个项目,原本来源于一次自己搭建路由器的经历,思索要是国内有一个靠谱的 DNS provider 就简单不少;后来看到今年 DNS 安全的一系列新进展,包括 TLS 1.3 也正式完工,感觉这应该是一个趋势,于是就动手了。。。它的价值?我觉得是节省一点大家的时间,解析可靠、运行稳定、访问快速的 SLA 保障是我努力去做的。指望从这个服务获得什么回报?一方面是我自己的其它项目可能也是依赖一个公共 DNS 的,这个就当基础服务的成本;另一方面也许会直接提供基于 DNS 的其它的 to Developer/SysAdmin 的服务???我是 DNS 领域的新人,需要再摸索摸索。
第 1 条附言 2018-09-21 23:05:44 +08:00
计划中秋节期间某天深夜会把两台服务节点重启一下服务,希望每台重启在 30 秒内完成。变更包括给上海节点增加 TLS 1.3、EDNS Keepalive 两个特性,以及一些域名配置变化
第 2 条附言 2019-03-13 08:13:39 +08:00
紧急通知:东亚区服务的 IP 115.159.154.226 下线,如果依赖该 IP 直连红鱼 DNS 的,请更改为 118.89.110.78
第 3 条附言 2019-03-15 20:15:04 +08:00
红鱼计划一个月后进入 beta,详情看新帖
 | 1 dot2017 2018-09-20 09:46:54 +08:00 大家来猜猜这个 dns 多久以后会被盯上? |
 | 2 artandlol 2018-09-20 09:49:25 +08:00  4 鱼雷:检测到一个 dns 服务 加农:昨天已经污染 |
 | 3 defunct9 2018-09-20 09:51:24 +08:00 1 坐而言不如起而行,点赞。 |
 | 4 love4taylor PRO 卧槽 国内终于有人提供 DoT 了... |
 | 5 Daming 2018-09-20 11:35:34 +08:00 via Android 要被查水表 |
 | 6 LanFomalhaut 2018-09-20 11:36:03 +08:00 注意安全 |
 | 8 alwayshere 2018-09-20 12:10:50 +08:00 谁能解释一下“ DoT & DoH ”是什么意思吗 |
 | 9 AstroProfundis 2018-09-20 12:21:15 +08:00 @alwayshere DNS over TLS / DNS over HTTPS |
 | 10 antileech 2018-09-20 12:22:49 +08:00 via iPhone @alwayshere DNS over TLS/HTTPS |
 | 11 ecoart 2018-09-20 12:39:52 +08:00 via Android 速度似乎有点问题 |
 | 12 gclove 2018-09-20 12:48:33 +08:00 赞 ! |
 | 13 fiht 2018-09-20 12:48:56 +08:00 打听一下,这样的 DNS 一般用什么做的,有开源的解决方案吗? |
| 14 artandlol 2018-09-20 13:09:14 +08:00 |
| 15 artandlol 2018-09-20 13:12:01 +08:00 速度还不错 [root@master ~]# curl -s 'https://dns.rubyfish.cn/dns-query?ct=application/dns-json&name=google.com&type=A'|python -m json.tool { "AD": false, "Answer": [ { "Expires": "Thu, 20 Sep 2018 05:11:53 UTC", "TTL": 25, "data": "172.217.5.110", "name": "google.com.", "type": 1 } ], "CD": false, "Question": [ { "name": "google.com.", "type": 1 } ], "RA": true, "RD": true, "Status": 0, "TC": false } |
 | 16 zuoshoufantexi 2018-09-20 13:22:47 +08:00 这个是用来干嘛的?能给 VPS 加速吗? |
 | 17 q9OxQg 2018-09-20 13:24:38 +08:00 1 Android P,添加 Private DNS 后,Private DNS 状态为 Couldn't connect |
 | 2 这样真的可行吗? openssl s_client -connect dns.rubyfish.cn:853 -tls1_2 返回的证书解码后包含“ X509v3 扩展密钥用法” X509v3 extensions: X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication X509v3 Basic Constraints: critical CA:FALSE 可以看出此证书仅被允许用于 TLS Web Server Authentication, ( TLS Web 服务器认证) TLS Web Client Authentication ( TLS Web 客户端认证) 但是 DNS over TLS 并不是 Web 服务,所以可能会有与某些客户端未知的兼容问题。lz 应该在创建证书请求时带着相应的扩展密钥用法 |
 | 19 fany 2018-09-20 13:41:35 +08:00 via Android 好像不能爬 q,没什么用 |
 | 20 NFC 2018-09-20 13:54:35 +08:00 1  试了几个被污染的域名 不准嘛 我这用 1.0.0.1 服务是可以解析出正确的 IP. |
 | 21 imfannet 2018-09-20 13:57:16 +08:00 dalao 还专门开了个公司。。。厉害了。。。 |
 | 22 yejinmo 2018-09-20 14:05:01 +08:00 所以。。Windows + Chrome 怎么用 |
 | 23 lycc 2018-09-20 14:05:35 +08:00 via Android 好奇提供这样的服务,服务器流量会有多大呢? |
 | 24 meteor957 2018-09-20 14:14:08 +08:00 fq 的吗,好像没啥用啊,没 ss 好使 |
 | 25 dalieba 2018-09-20 14:16:48 +08:00 via Android |
 | 27 Loyalsoldier 2018-09-20 15:43:28 +08:00 1 |
 | 29 Maskeney 2018-09-20 16:39:07 +08:00 希望活得久一点吧 |
 | 30 qyb OP @NFC 确实,现在并不是所有的海外域名都走 upstream 解析,依赖于别的 list ;被墙的域名需要不断手工添加维护。。。正在想这部分能不能自动解决。感谢这个反馈,稍晚会加入列表 |
| 31 Maskeney 2018-09-20 16:45:52 +08:00 有个疑问,既然 Android 9 可以直接使用你们的 DNS,那么标题说的 DoT/H 从何谈起? |
| 33 qyb OP @Maskeney 安卓 9 的 private dns 就是 DoT,但它首次连接到这个服务器的解析还是依赖于运营商的 DNS |
 | 34 rootit 2018-09-20 16:49:03 +08:00 可以看下 gfwlist 然后做一遍过滤? --来自小白的新奇想法 |
| 35 Maskeney 2018-09-20 16:52:12 +08:00 > Windows & macOS & Linux > 当前桌面系统上并没有简便的让*所有*互联网应用都使用红鱼 DNS 的方法,我们推荐您使用 Firefox 进行安全的互联网冲浪。 我记得又 dnscrypt 可以做到,要是红鱼 DNS 可以兼容的话直接上这个列表 https://dnscrypt.info/public-servers/ 使用 dnscrypt-proxy 应该也是可以做到“让*所有*互联网应用都使用红鱼 DNS ”的吧? |
 | 37 kslr 2018-09-20 17:13:58 +08:00 via Android 反向加国内白名单 |
 | 38 azh7138m 2018-09-20 17:22:48 +08:00 via Android 楼上说的白名单是可以的,只维护常见的大陆域名,其他的尝试下 edns 是不是支持的,日常完全可以 |
| 39 love4taylor PRO 1 @q9OxQg 开了 vpn? 关掉就好了 |
| 40 iwtbauh 2018-09-20 17:39:57 +08:00 via Android 1 @qyb 非常抱歉,刚才看了一下,这个可能是我说错了 x509 规范中提到,如果证书包含扩展密钥用法,则证书必须仅用于指示的目的之一。但是问题是没有有关于 dot 服务的扩展密钥用法,x509 只是简单的说明关键用法必须根据 IANA 或者 x660 建议进行分配。并且给出了几个预定义的用法:web 服务器认证,web 客户端认证,电子邮件保护,hash 与时间绑定,代码签名和 ocsp 签名。 如果其他某个协议需要用到 x509 证书,则那个协议可能为其分配扩展密钥用法。如 sip 协议试图分配一个扩展用法。 这个字段似乎没有得到广泛采用,我检查了 1.1.1.1 和 9.9.9.9 的证书,发现也是只有这两个 非常抱歉给你带来麻烦 |
| 41 Maskeney 2018-09-20 17:55:22 +08:00 https://www.rubyfish.cn/config-dnscrypt-proxy 看起来有支持 dnscrypt,这个方案可以放到 Windows 用户上啊,就是部署上可能对小白不太友好 |
| 42 q9OxQg 2018-09-20 18:10:38 +08:00 @Love4Taylor 谢谢你。当时是断了绳子后设置的 Private DNS。看见你的建议,刚刚试了一下,挂了美元,再次设置成为 Private DNS = dns.rubyfish.cn ,保存后,还是显示 Couldn't connect。Pixel 2,联通。 |
 | 43 bclerdx 2018-09-21 00:13:24 +08:00 看着很不错,收藏了。 |
 | 44 lzvezr 2018-09-21 08:07:56 +08:00 via iPhone 1 对于分流,可不可以这样 统一使用 TCP 查询,被污染的域名会被阻断导致查询失败,此类域名再由外部转发一下 昨天试了一下,大部分情况下还可以,只是有一些 ns 服务器只支持 UDP,会有误判的情况,应该还可以优化 |
| 45 qyb OP @q9OxQg @Love4Taylor 确认这个问题了,和系统判断当时的网络状态有关,就是那个月经话题网络信号图标上的 x。我重试确认了,把这个 x 干掉就能连。adb shell "settings put global captive_portal_mode 0",参考 t/387818 t/303889 |
 | 46 love4taylor PRO 1 @qyb #45 话说好奇开了 VPN 后 DoT 会怎么走 |
 | 47 lilydjwg 2018-09-21 12:39:20 +08:00 1 |
| 48 qyb OP @lilydjwg 是啊,原本计划是每周做一次污染的判断,现在看起来也许这个频率需要调整。另外实践中发现有些域名的污染是到了非 facebook 的地址段,比如 twitter 的,很苦恼。。关于你说的失败率高的问题,请问是在什么日志里输出的呢?? |
| 50 qyb OP 1 @Love4Taylor 你提了一个特别好的问题。我第一时间反应是 VPN 是一个新的网络设备,肯定走 VPN 服务器配置的 DNS,实际测试推翻了这个直觉。自建了一个 IPSec Xauth PSK 类型的 VPN,发现尽管连接成功之后在私人 DNS 那里展示的是"无法连接",但是依然解析是走 TLS 的 |
| 51 love4taylor PRO 1 @qyb #50 绕过 VPN 配置全部走 DoT 的话 那么这就有一个问题了 服务器得保证永远零污染, 并且这样一来 CDN 就不友好了, DoT 对用户的解析要么全是国外友好要么全是国内友好, 是个坑... 所以我在开 VPN 的时候还得先关掉 DoT.... |
| 52 qyb OP 1 @Love4Taylor 补充一下,DNS Server 这样看到的客户端 IP 仍然是原来运营商的 IP,而不是 VPN 的新 IP。如果 IPSecVPN 创建的时候类似 SS 那样有一个分流路由表,这个事看起来仍然是可行的。我自己觉得模式应该是 DoT 给路由器用,DoH 提供 SDK 给 Client App 用比如 SS ;毕竟 DNS 只是资源调度的一环,上网还需要网络层配合。零污染这个话题,我还得想想资源投入在哪个环节... 全都是坑 |
 | 53 smarthing 2018-09-29 21:32:35 +08:00 via Android 挺喜欢这个东西的,我在洛杉矶的机器上 kdig 了一下,明显比 1.1.1.1 慢,不清楚是不是因为 server 在国内的原因。 另外一点就是公司一大把域名,部分子域名或主域名只能用公司内网的 DNS server 解析,用这个不好办。 |
| 54 qyb OP @smarthing 太平洋就 130 毫秒了。。。如果是为了办公应用就需要自己特别明白,或者看 IT 是否有意愿部署这个。话说也给这个话题下的网友更新一下状态吧: |
| 55 qyb OP 1. 多了两个域名,ea-dns.rubyfish.cn 和 uw-dns.rubyfish.cn ,分别代表所使用的 upstream 区域,East-Asia/US-West ;方便 DoH 的用户 2. Chromium Gerrit 上发现有个叫 Katharine Daly 的开发人员(邮箱为 @google.com )整个 9 月都在为 DoH 而努力,也许今年能在 Chrome 金丝雀上看到 DoH 吧... |
 | 56 jamiroquai 2018-09-30 14:00:40 +08:00 这个能支撑多大的访问量啊? |
| 57 qyb OP @jamiroquai 当前情况支撑几千人不是问题吧 |
 | 58 citydog 2018-10-06 22:51:28 +08:00 1 网站挂了 |
| 59 qyb OP @citydog 汗。。。前两天跑一个 getdns-python-binding 的脚本,启动后自己就出门了。。结果这个模块有挺严重的内存泄露,好在没有影响主服务,只是 www 挂了。我自己试着把 binding module 部分修了修,objgraph 已经不再报 python 的 object 增长了,但还是在泄露内存,再琢磨难道问题出在 libunbound?? 还没有确切答案,但已经不敢那么随便跑 python 脚本了... |
| 60 lilydjwg 2018-10-09 15:48:35 +08:00 1 @qyb #59 这又不是 Python 的问题。非要说是 Python 的问题,也是它太容易写出看上去能够工作的程序了,换作 C 估计一堆段错误根本跑不起来了。实际上各种语言写的程序都可能泄漏内存啊,比如我见过两个版本的 tmux 都泄漏过。 ulimit 设置一下内存限制吧。不过占用内存太多应该会被内核干掉,不会太影响别的服务呀。 |
 | 61 testcaoy7 2018-10-09 20:01:49 +08:00 1 求大佬给个 DNSCrypt 的 sdns stamp 链接 |
| 62 qyb OP @testcaoy7 [static.'ea-dns.rubyfish.cn'] stamp = 'sdns://AgQAAAAAAAAADzExNS4xNTkuMTU0LjIyNgAPZG5zLnJ1YnlmaXNoLmNuCi9kbnMtcXVlcnk' [static.'uw-dns.rubyfish.cn'] stamp = 'sdns://AgQAAAAAAAAADDQ3Ljk5LjE2NS4zMQAPZG5zLnJ1YnlmaXNoLmNuCi9kbnMtcXVlcnk' |
| 63 qyb OP @lilydjwg 实在忍不住澄清一下,我没有想表达这是 Python 的问题。。。我现在大概还能算是一个很严肃的程序员,所以这两天空闲时间忍不住去找 https://github.com/getdnsapi/getdns-python-bindings 的 bug,就我使用的功能部分,现在还差最后一个内存泄露没想好怎么修但满足眼下的脚本需求是没问题了。。。而且我能断言这个代码的作者即不懂 C 也不懂 Python 甚至不了解 libgetdns 的实现。。。话说 getdnsapi 不是 verisign 和 nllabs 搞出来的东西么,但它家的 python binding 也就是一个实习生的水平 |
| 64 lilydjwg 2018-10-11 00:47:53 +08:00 1 @qyb #63 其实我并不是很关心你是不是觉得 Python 有问题,我更关心的是你这么表达,会让不了解的读者误以为 Python 本身有问题。圈子里很多娱乐自黑的梗,最终会传到外边给人造成负面印象,甚至进而造成伤害的。 有些公司,至少它们的某些软件是很实习生的,比如深信服那个 VPN 的 Ubuntu 版,权限乱来,日志文件乱写,我在限制权限之后没能把它跑起来,听说有跑起来了的用户报告运行之后他的网络出问题了。 |
| 66 qyb OP 对,可以的。我前两天在 OpenWrt 上配了一个 stubby.yml ,测试没问题。回头再补个文档 |
 | 68 etnperlong 2018-10-15 00:59:04 +08:00 1 非常感谢!即将部署到家里路由去! |
| 70 qyb OP |
 | 71 CalZ 2018-10-18 13:13:02 +08:00 2 出来的结果都是污染的。感觉没啥用。 |
 | 74 benedict00 2018-11-09 11:39:54 +08:00 via Android 1 @qyb Windows 上也可以用 stubby 使用 rubydns,改改配置文件就行了,讨厌的是没有 gui,必须一直开着 stubby.bat 。 |
| 75 qyb OP @benedict00 多谢提醒,我还一直以为 stubby 没有 windows 版本;我回头把 windows 下如何配置 stubby or dnscrypt 都加入到网站文档上去吧 |
| 76 benedict00 2018-11-09 15:08:09 +08:00 via iPad @qyb 感谢,还有 macOS 和 Linux 的客户端,虽然我没用过 |
| 78 qyb OP @testcaoy7 https://github.com/m13253/dns-over-https https://github.com/curl/curl/wiki/DNS-over-HTTPS 这个页面上基本上各个 DoH 运营者都介绍了一下自己是怎么搭起来的 |
 | 80 JonyOang 2018-11-12 10:20:01 +08:00 问下使用 DoT/H 可以避免 DNS 请求内容被记录吗? 公司网络环境下。 |
| 81 qyb OP @JonyOang 您的 DNS 请求不会被你们公司的 IT 看到。当然红鱼的服务器会有记录,我们的隐私政策可参考 https://www.rubyfish.cn/privacy |
 | 82 sxfscool 2018-11-13 19:26:56 +08:00 1 开启了 private dns 后 bilibili 免流失效了,请问有办法解决么 |
| 83 qyb OP @sxfscool 请问您是联通和 B 站合作的免流卡吗?我研究一下。您可以给我发一封邮件 [email protected] ,我有结论后单独回复 |
| 85 benedict00 2018-11-16 17:35:53 +08:00 via Android 1 @qyb 求更新文档 |
| 86 qyb OP @benedict00 我自己用了一下 stubby for win, 然后碰到一个 bug, 就是 reset DNS 回之前缺省 DHCP 传播的 DNS 之后,又莫名其妙的变成了 127.0.0.1... 我相信对于 V2EX 各君这都不是问题,但对普通用户来说,可能还是不够好。需要再等等 |
 | 87 hstv 2018-11-21 12:43:34 +08:00 1 @qyb 关于污染判定我可以给个建议。被污染域名没办法查询的 NS 记录。如果能在国外查到 NS 记录基本可以判定域名被污染。 |
| 88 benedict00 2018-11-22 19:33:19 +08:00 via Android 1 @qyb 我刚试了一下 Windows 可以用 Simple DNSCrypt 图形客户端用 Rubyfish 的 DoH,stubby 是 DoT。你可以试试 |
| 90 benedict00 2018-11-24 10:37:45 +08:00 via Android 1 请求启用 DNSSEC |
| 91 qyb OP @benedict00 Simple DNSCrypt 的使用方式已经加上,DNSSEC 正在测试中... 大概就这两天进行部署吧 |
| 92 benedict00 2018-11-26 07:52:34 +08:00 via Android @qyb 这些工具必须监听 127.0.0.1,可能开了 stubby 自动就改成监听本地地址了。Stubby 暂时没有 cache 功能,需要配合 Unbound,两者可以比较好的配合。还有 macOS 有 Stubby 的 GUI 客户端,但暂时没有很好的选择 DNS 服务器的方式,需要手动 edit。需要 DoT 方式解析的可以考虑使用 Stubby+Unbound。 |
| 93 benedict00 2018-11-26 07:52:49 +08:00 via Android @qyb 期待 |
| 94 qyb OP 1 @benedict00 DNSSEC 已经部署,过几天确认稳定了再去更改 DNSCrypt stamp |
 | 95 lucifer0114 2018-12-02 09:29:21 +08:00 via Android 1 反馈一下:在路由器上按教程设置鱼 DNS 后,凤凰新闻 iOS 客户端的导览界面有大片内容无法加载,微信中部分冷门公众号的图片内容亦无法加载 |
| 96 qyb OP @lucifer0114 好的,我检查一下 |
 | 97 imliuruiqi 2018-12-02 22:48:00 +08:00 via Android 1 Android 9,似乎开启后无法正常加载 Google play,关闭后可以正常加载。pixel2xl 原生系统,WiFi 网络,路由器已设置 ss 代理。 |
| 98 qyb OP @imliuruiqi 您可以 ea-dns.rubyfish.cn 和 uw-dns.rubyfish.cn 分别都试一下。我初步的怀疑是 Play 帐号的所在区域,和 ss 的出口区域,以及 dns 解析出来的地址区域不一致导致的毛病。能问一下您的 ss 出口是在哪个国家吗? |
| 99 benedict00 2018-12-03 17:27:08 +08:00 via iPad @qyb DNSCloak 上看到已支持 DNSSEC 了! |
| 100 qyb OP @benedict00 嗯,昨晚提的 issue,很快就修改了 |
Select Language