Forum Debian Users Gang

Ja mam na routerze ustawiony CF DoH dla wszystkich urządzeń, które u mnie w sieci działają i pobierają serwery DNS via konfiguracja DHCP. U siebie na kompie mam dnscrypt, bo za bardzo nie ufam swojemu routerowi, by mój osobisty komp korzystał z dynamicznie przydzielonych serwerów DNS. xD  Do tego mam na iptables na routerze wymuszone przekierowanie portów 53/tcp i 53/udp dla połączeń pochodzących z sieci lokalnej, tak by router je przechwycił i skierował do dnsmasq, bo może ktoś przez przypadek ręcznie ustawił sobie w systemie nameserver 8.8.8.8 i tak by jego zapytania szły otwartym tekstem, a tak to zostaną przekierowane do routera i zaszyfrowane i dopiero posłane w świat.  Na kompie mam jeszcze atrybut odporności na pliku /etc/resolv.conf , tak by coś przez przypadek mi nie podmieniło wpisów w tym pliku, czyli nie zmieniło adresu resolvera. A nawet jak już by mu się udało to jeszcze mam obostrzenie w nftables, by zapytania DNS mogły być realizowane tylko przez dnscrypt, i żadne przypadkowe wysłanie zapytań na porty 53tcp lub 53/udp nie zostanie dopuszczone i wysłane w świat. Także wielowarstwowe zabezpieczenia są lepsze niż tylko jednowarstwowe. xD