Server DNS DIY, come organizzarlo per bene?

Rekko

Vorrei crearmi un server DNS fai da te per poter connettermi con DoH e (forse) DoT dall'esterno, visto che ho già un dominio e un server esterno da casa mia dove hostarlo.
Siccome per il progetto pensavo di usare la VPS di Oracle Cloud, vorrei virtualizzare tutto su Docker Compose, usando rispettivamente:

Reverse Proxy
Adguard Home (mi sono sempre trovato bene con lui, non voglio passare a Pi-Hole)
DNS Ricorsivo
Watchover (per lasciare che i container siano sempre aggiornati)

Ecco, le mie domande sono:

Quale reverse proxy? NGNIX Proxy Manager? Zoraxy? Qualcosa possibilmente con GUI che mi permetta di fare redirect delle richiesta da https://dns.dominio.com/dns-query ad un altro come https://dns.dominio.com, in modo da evitare scanner di rete che con solo adguard mi sgamavano e cominciavano a fare query destra e a manca.
Quale DNS ricorsivo? Unbound su docker sembra non essere la miglior scelta, ci sarebbe Technitium ma dovrei capire bene come fare
Come imposto esattamente ADGuard per non interferire con il reverse proxy? Siccome anche lui ha un sistema simile per fare un setup veloce... ma sta il problema degli scanner
DoT può andare sotto reverse proxy? Io nel caso avrei un dominio proprio dedicato per questo tipo (ovviamente gratuito) che permette wildcard, in quel caso dovrei solo passare la richiesta da *.dominio.com a IPdellaVPS:853?

Vi ringrazio in anticipo delle risposte, so che è un idea poco convenzionale ma voglio crearmi un server DNS per proteggere a L7 alcuni client che ho senza rinunciare alla mia privacy (almeno saprei dove vanno a finire le mie richieste)

gio79

Meglio tirare su una vpn (wireguard) che si auto connette quando sei fuori casa e usi il tuo adguard che gira all'interno della tua LAN

Se invece vuoi provare con vps, non si usa Adguard ma qualcosa tipo https://github.com/DNSCrypt/doh-server.
VPS e servizio devono essere pesantemente blindati, altrimenti ti ritrovi milioni di query e una bella fattura da Oracle 😁

Rekko

gio79 Meglio tirare su una vpn (wireguard) che si auto connette quando sei fuori casa e usi il tuo adguard che gira all'interno della tua LAN

Non è la soluzione che cerco, non posso configurare un profilo wireguard per tutti i miei parenti e/o conoscenti

gio79 VPS e servizio devono essere pesantemente blindati, altrimenti ti ritrovi milioni di query e una bella fattura da Oracle

Beh quello sicuramente, tanto è la loro VPS free tier (e comunque userei GEOIP-Shell per whitelistare solo alcuni paesi)

gio79

Rekko tanto è la loro VPS free tier

le parola oracle & free nella stessa frase è quasi un ossimoro 🤣, se non ricordo male a me avevano chiesto una carta di credito per proseguire con la registrazione che copriva eventuali costi extra-soglia

Se vuoi attiva la VPS, installa unbound + doh-server e il tutto funziona.
GEO-IP magari ti blocca cina&india&brasile ... ma se pensi che solo questo ti protegga da bot sbagli. quelle subnet (di oracle,aws,google&co) sono sotto scansione h24 e basta una porta aperta che ti torvi qualche centinaio di MB di traffico, con TB di dati e poi oracle a fine mese ti manda fatturina 😂

Lorenzo1635

Rekko non posso configurare un profilo wireguard per tutti i miei parenti e/o conoscenti

Non ti conviene almeno 2 VPS su Cloud provider diversi per avere rindondanza?
Cioè immagino tu che provi roba su una VPS e uccidi DNS per tutti i parenti che insultano i loro gestori

Rekko

gio79 le parola oracle & free nella stessa frase è quasi un ossimoro 🤣, se non ricordo male a me avevano chiesto una carta di credito per proseguire con la registrazione che copriva eventuali costi extra-soglia

Effettivamente è vero, ma ho impostato nel caso i limiti a 1$ e poi di fermare tutto

gio79 basta una porta aperta che ti torvi qualche centinaio di MB di traffico, con TB di dati e poi oracle a fine mese ti manda fatturina

Beh di aperto troverebbero solo in teoria la 80 e la 443 (a meno di altre porte), la 22 si è aperta ma anche qui ci sarebbe il fail2ban sulla VPS quindi...

Lorenzo1635 Cioè immagino tu che provi roba su una VPS e uccidi DNS per tutti i parenti che insultano i loro gestori

Uso server plain DNS secondari, se muore il DoH sul router vanno di backup loro

gio79 GEO-IP magari ti blocca cina&india&brasile

Tanto farei whitelist di Italia e Spagna, in anni di questa configurazione non ho mai avuto attacchi di nessun genere

Melandir

gio79 le parola oracle & free nella stessa frase è quasi un ossimoro 🤣, se non ricordo male a me avevano chiesto una carta di credito per proseguire con la registrazione che copriva eventuali costi extra-soglia

Sembra assurdo ma è vero io ho un VPS free di Oracle, ho dovuto dare la carta di credito, ma tuttora, dopo oltre 1 anno, non hanno prelevato nemmeno un euro.
Ovviamente il server è con CPU Arm e non x86

Rekko

gio79

Rekko
installa unbound & doh-server sulla vps , il primo servizio risponde solo su localhost, il secondo sull'indirizzo pubblico (IPv6 e/o ipv4). Letsencrypt per certificato ssl .
Altrimenti solamente unbound, ma devi ri-compilare i sorgenti.
Sul tuo dominio ci aggiungi i record che puntano all'IP che Oracle ti dà e funziona.

Rekko

Riesumo la discussione sul cosa dovrei fare:
Ho scoperto che, ovviamente, andrei a rompere una RFC cercando di mettere un path diverso da /dns-query.
Per adesso credo farò così:

Technitium DNS come mio server ricorsivo principale (è quello praticamente più completo)
GeoIP-Shell per bloccare tutte le subnet di diversi paesi che non mi piacciono (pulla le liste da RIPE ed altri) in maniera inbound, outbound non me ne frega visto che le richieste di un DNS devono prima arrivare che mandarle

Tutto hostato su una VPS Oracle Free Tier e, sui router dove voglio implementarlo, in ridondanza con Cloudflare DNS via DoH per questioni di sicurezza.

Direi che è il miglior modo al momento senza andare su soluzioni come Caddy per il reverse proxy (che alla fine non sono male ma non sono esperto e, per il momento, non ho tempo di imparare).
Quando avrò perfezionato il mio stack DNS da renderlo non tracciabile da eventuali bot che potrebbero usarlo a loro piacimento o firewall che bloccano DoH farò una guida sul setup ottimale da adottare.

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile