昨天突然想折腾下网络隐私保护,听说dnscrypt能加密DNS查询,立马撸起袖子开干。结果踩坑踩到怀疑人生,现在把血泪史摊开给你们看。
第一步:安装就给我个下马威
直接apt install dnscrypt-proxy敲下去,系统居然说找不到包!急得我满世界搜教程,原来得先加第三方源。连滚带爬折腾完,装完还差点以为没成功——这玩意儿装完连个提示音都没有。
第二步:配配置像拆炸弹
摸着黑找到/etc/dnscrypt-proxy文件夹,打开直接傻眼。满屏幕英文参数跟蚂蚁爬似的,关键的server_names项藏得比地雷还深。随便填了个"cloudflare"试试水,保存时手都在抖。
- 巨坑一:改完发现DNS失效了!原来默认配置里监听端口是53,跟系统自带的dnsmasq干架了。赶紧改成5353才消停
- 巨坑二:教程说改/etc/*,我咔咔改成127.0.0.1。重启后直接断网!后来才知道这文件现在都是systemd-resolved管的,改完秒被覆盖
第三步:硬刚系统守护进程
咬着牙把systemd-resolved停了,结果系统弹警告跟放鞭炮似的。一不做二不休,直接屏蔽它:
- systemctl stop systemd-resolved(手抖着敲回车)
- systemctl disable systemd-resolved(心想大不了重装系统)
- 把*强行拽回来指向127.0.0.1
重启电脑那会儿闭着眼不敢看屏幕,睁开眼居然能上网了,差点哭出来。
第四步:偷懒工具真香
后来发现个神器dnscrypt-proxy -service install,这命令直接注册成系统服务。早看见这命令我能少秃两小时!顺手启动systemctl enable dnscrypt-proxy,开机自启才踏实。
第五步:验证翻车现场
兴冲冲打开测试网站看效果,居然提示未检测到加密!血压瞬间飙升。翻日志发现是IPv6在捣鬼——这玩意儿默认开着,系统偷偷走了IPv6通道。冲回配置文件把block_ipv6改成true,世界终于清净了。
千万记住:搞完一定要用在线工具测试,眼睛会骗人!我反复测了三次才敢确定那行"已加密DNS"不是幻觉。
查资料才懂,这玩意儿的缓存机制默认只存256条,我直接改成4096。重启完感觉网页加载都快了——也不知道是不是心理作用,反正现在看油管1080p都不卡顿了。折腾完瘫在椅子上心想:下次手贱前先备份系统...