Fork me on GitHub

使用Relay+TLS加密转发TCP或UDP数据

字数统计: 431字   |   阅读时长≈ 1分

Relay+TLS转发UDP端口数据(实际上是TLS-DNS)

环境

国外有一台无污染DNS服务器,想在大陆局域网使用它进行直接无污染解析,为了安全考虑,计划使用TLS对Relay数据包进行加密

1.服务端:
1
2
#运行Relay+TLS隧道--使用默认SSL证书
gost -L relay+tls://:12345

1
2
#运行Relay+TLS隧道--使用指定SSL证书
gost -L="relay+tls://:12345?cert=/opt/gost/fullchain.crt&key=/opt/gost/server.key"

注:Iptables开放12345端口


2. 客户端:
1
2
#对于客户端,SSL证书校验默认关闭
gost -L udp://192.168.1.8:53/127.0.0.1:53 -F relay+tls://136.2.111.178:12345

1
2
#启用SSL证书校验[一般针对使用域名而申请的证书应该开启证书校验]
gost -L="udp://192.168.1.8:53/127.0.0.1:53" -F="relay+tls://136.2.111.178:12345?secure=true"

1
2
# 客户端可通过ca参数指定CA证书进行证书锁定(Certificate Pinning)[推荐]--可以有效防止中间人攻击
gost -L="udp://192.168.1.8:53/127.0.0.1:53" -F="relay+tls://136.2.111.178:12345?ca=/opt/gost/cacert.pem"

说明:把远程127.0.0.1:53[DNS无污染服务]端口,通过Relay+TLS隧道转发到本地机器的192.168.1.8:53端口


3. 测试是否正常工作

  • 方式1:dig

    1
    2
    3
    dig youtube.com @192.168.1.8

    #比对地址是否为无污染IP

  • 方式2-本机网卡DNS修改为192.168.1.8

    浏览器访问: https://dnssec.vs.uni-due.de/ 进行DNSSEC检查,由于服务端unbound上游配置的均为TLS DNS地址,所以测试结果都是支持DNSSEC的,出现下面的图说明服务正常。

    DNSSEC

    参考:Relay

扫一扫,分享到微信

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true


不论我写了什么...
其实都是错的......