红鱼 DNS 正式发布, DoT & DoH only

2018-09-20 09:26:56 +08:00
 qyb
介绍在 https://www.rubyfish.cn 。昨天上线了第二个弹性 IP 的节点,有了一定的抗单点故障能力,这就算进入 alpha 公测阶段了吧。整套服务现在一共七台 VPS:正式服务一个阿里云杭州,一个腾讯云上海;上连美国,东亚各 2 一共 4 个 upstream 节点供不同出口需求选择;加上专门用于门户信息发布和监控的节点;希望这些准备工作让 Rubyfish DNS 不至于太山寨。

这个项目,原本来源于一次自己搭建路由器的经历,思索要是国内有一个靠谱的 DNS provider 就简单不少;后来看到今年 DNS 安全的一系列新进展,包括 TLS 1.3 也正式完工,感觉这应该是一个趋势,于是就动手了。。。它的价值?我觉得是节省一点大家的时间,解析可靠、运行稳定、访问快速的 SLA 保障是我努力去做的。指望从这个服务获得什么回报?一方面是我自己的其它项目可能也是依赖一个公共 DNS 的,这个就当基础服务的成本;另一方面也许会直接提供基于 DNS 的其它的 to Developer/SysAdmin 的服务???我是 DNS 领域的新人,需要再摸索摸索。
79808 次点击
所在节点    DNS
191 条回复
qyb
2019-06-24 09:24:23 +08:00
@loson 目前正在试着申请电信增值业务许可证,在许可证没有之前,不打算有什么新变化了。。。另外就是即使申请了许可证下来,鉴于目前这个监管的趋势,在什么范围内提供服务,以及提供到什么级别的服务,也还是要慢慢踩线探索..
qyb
2019-06-24 09:25:03 +08:00
@seyvyo 已经有用户报告影响了
leavic
2019-07-02 10:24:56 +08:00
请问你们的 DNS 服务是否有域名审查,例如部分政治网站的域名会被返回 servfail ?
qyb
2019-07-03 09:22:42 +08:00
@leavic 这个是白名单模式,只有部分域名才会走海外解析路径,不在白名单内的仍然会受到投毒的影响
leavic
2019-07-03 09:33:56 +08:00
@qyb 👌,这可能也是在不主动作恶的情况下能给出的最好方案了。
qyb
2019-07-04 11:59:32 +08:00
@leavic 感谢鼓励。但实话说,白名单也是一种自我审查,要自我判断哪些域名不能加入到白名单。覆巢之下无完卵,红尘滚滚无完人。。。Privacy DNS 这个技术对抗的是各种不靠谱的劫持者,而不是 upstream ;至于 upstream 那是国家说了算的
soys
2019-07-09 13:43:55 +08:00
大佬这个要怎么用啊,不能注册吖..._(:з)∠)_
bclerdx
2019-08-10 14:30:02 +08:00
@loson 希望增加华北节点。
Buges
2019-08-17 19:30:58 +08:00
@qyb #166 提个建议,审查没关系,完全理解任何形式的审查过滤。但希望对“非法”的请求能直接立刻拒绝解析,这样本地的 dns 客户端( dnscrypt-proxy )就可以再向其他服务器查询,尽量不要返回任何被污染的结果,感谢。
qyb
2019-08-18 17:29:28 +08:00
@Buges 我研究一下这个模式。这样会不会让 dnscrypt-proxy 给我降权呢??不过降权讲真也无所谓就是了
Buges
2019-08-20 19:27:56 +08:00
@qyb #170 我也不太清楚 dnscrypt-proxy 的路由机制,但只要把你们的服务器加列表里总会优先使用(因为延迟最低),并且因为地址在 cn 也不会被代理转发导致解析到境外 cdn。如果能这样做的相当于从你们那部署了一套非常方便的分流机制,并且直接拒绝“非法”请求从“法律法规”上讲也没太大问题...
qyb
2019-08-22 16:55:42 +08:00
@Buges 提醒一下,这么做的前提是,我们能精准判断出某个域名是否被 5 ;需要我们在运营过程中不断根据某些特征去把相关域名过滤出来;仍然会有部分域名仍然从我们这里得到错误的响应,我们无法保证。当然你提的思路是正确的——如果我已知某域名有问题,比如说草榴吧,不给任何返回结果也比返回一个假的要更正确。至少给了有能力设置多个 upstream server 的人一个得到正确结果的机会。谢谢。技术上我已经找到 unbound 可能可以利用的点,最近几天会测试一下
fetich
2019-10-07 00:28:44 +08:00
楼主,你好。我在官网上找到了两个节点 rubyfish.cndns.rubyfish.cn ,文档中说,前者推荐普通用户使用,配备了威胁网址拦截,后者不推荐普通人使用,而且上游在海外。

结合本帖之前的回复,在审查方面,是否可以认为:

1. rubyfish.cn 不具备规避投毒的能力;
2. dns.rubyfish.cn 对不在白名单的域名,查询结果仍会受投毒的影响。

这里还有一个问题,所谓「威胁网址过滤能力」是直接返回查询失败,还是劫持跳转到你们设定的特定页面?

感谢楼主费心搭建服务和回答问题。
qyb
2019-10-12 08:49:41 +08:00
@fetich 前面的理解,你是对的。威胁网址过滤,我们返回 127.0.0.1
bclerdx
2019-10-29 21:41:19 +08:00
@lilydjwg 深信服防火墙会导致网络故障么?
lilydjwg
2019-10-29 23:58:22 +08:00
@bclerdx #175 我是自己做的路由,只把需要的部分经由虚拟机连到深信服 VPN,所以不太会导致故障。另外这 VPN 并不常用的。
bclerdx
2019-10-31 00:13:19 +08:00
@lilydjwg 自己做的路由表么?
lilydjwg
2019-10-31 13:18:47 +08:00
@bclerdx #177 是啊。
blueswhisper
2019-11-03 21:51:44 +08:00
我使用移动宽带在 Mac OS 上的 Firefox 70.0.1 版本使用 dns.rubyfish.cn , 发现访问 QQ 空间时会出现 9 张图,有部分图片无法正确加载的问题,将 dns.rubyfish.cn 关闭后,则所有图片都可以正确加载。图片地址不太方便提供,如果楼主能复现的话,能否解决下?
qyb
2019-11-06 10:56:00 +08:00
@blueswhisper 目前对 QQ 的 CDN 资源确实支持不好,暂时没有想好怎么来改进这块

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/491049

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX