使用CoreDNS搭建无污染DNS

CoreDNS 其实就是一个 DNS 服务，而 DNS 作为一种常见的服务发现手段，所以很多开源项目以及工程师都会使用 CoreDNS 为集群提供服务发现的功能，Kubernetes 就在集群中使用 CoreDNS 解决服务发现的问题。

CoreDNS的作者是最好的开源DNS package的作者，CoreDNS底层也使用了这个package，大名鼎鼎的k8s使用CoreDNS进行服务发现。

CoreDNS基本沿用了Caddy的插件架构，所以CoreDNS的配置文件的语法跟Caddy的配置文件语法相同。

CoreDNS的优势：

• 无污染
• 国内CDN友好
• 跨平台，支持多种CPU、操作系统

一个最简单的配置文件可以是这样：

1. .:53{
2. forward . 8.8.8.8
3. log
4. health
5. }

将配置保存为文件Corefile，运行命令sudo coredns -conf Corefile，即可在本地同时监听TCP和UDP 53端口，将所有UDP查询请求转发到8.8.8.8再返回，可以通过dig @::1 -p 53 twitter.com进行测试。

但是这个配置文件在国内几乎是没啥用的，原因自然是8.8.8.8乃老大哥重点关注对象，直接访问得到的结果都是二手信息。一个好一点的方案是使用非标准端口，比如：

1. .:53{
2. forward . 208.67.222.222:443
3. log
4. health
5. }

forward插件支持多个上游服务器以实现简单的负载均衡：

1. .:53{
2. forward . 208.67.222.222:443 208.67.222.222:5353 208.67.220.220:443 208.67.220.220:5353
3. log
4. health
5. }

大陆的网络环境非常复杂，UDP非标准端口也只在某些地区某些运营商有用，现在比较好的一个选择是DoT，即DNS over TLS，知名的支持DoT的公共DNS服务有Quad9的9.9.9.9，Google的8.8.8.8以及Cloudflare的1.1.1.1，可以这么使用：

1. .:53{
2. forward . 127.0.0.1:5301 127.0.0.1:5302 127.0.0.1:5303
3. log
4. health
5. }
6. .:5301 {
7. forward . tls://9.9.9.9 {
8. tls_servername dns.quad9.net
9. }
10. cache
11. }
12. .:5302 {
13. forward . tls://1.1.1.1 tls://1.0.0.1 {
14. tls_servername 1dot1dot1dot1.cloudflare-dns.com
15. }
16. cache
17. }
18. .:5303 {
19. forward . tls://8.8.8.8 tls://8.8.4.4 {
20. tls_servername dns.google
21. }
22. cache
23. }

这样除了老大哥把连接reset，基本可以得到正确的DNS解析结果。

另一个问题是国内CDN友好，我一直以来的做法是使用FelixOnMars的大陆区域名列表过滤。这个列表是给dnsmasq用的，经过转换可以给CoreDNS用，这利用了CoreDNS的两个插件来实现，分别是forward和proxy，这两个插件的功能非常相似，都是将DNS解析请求发给上游DNS server，再将结果取回返回给客户端。

为了实现分流解析，可以将所有请求都通过forward转发到无污染上游解析，将大陆区域名列表加到异常列表，再把剩下的所有请求（其实就是异常列表中的域名）通过proxy转发到国内（最好是当前ISP的）DNS server，比如：

1. .:53{
2. forward . 127.0.0.1:5301 127.0.0.1:5302 127.0.0.1:5303 {
3. except www.taobao.com
4. }
5. proxy . 116.228.111.118 180.168.255.18
6. log
7. health
8. }
9. .:5301 {
10. forward . tls://9.9.9.9 {
11. tls_servername dns.quad9.net
12. }
13. cache
14. }
15. .:5302 {
16. forward . tls://1.1.1.1 tls://1.0.0.1 {
17. tls_servername 1dot1dot1dot1.cloudflare-dns.com
18. }
19. cache
20. }
21. .:5303 {
22. forward . tls://8.8.8.8 tls://8.8.4.4 {
23. tls_servername dns.google
24. }
25. cache
26. }

这里except www.taobao.com表示www.taobao.com这个域名不要通过forward解析，后面可以跟多个域名，于是这些域名会掉到下面的proxy插件进行解析，而116.228.111.118和180.168.255.18则是我的ISP提供的DNS服务器，可以得到最好的CDN友好的结果。

这时就可以用上FelixOnMars的大陆区域名列表了，用以下命令可以得到所有域名连接而成的长字符串，放在except标识符后面:

1. china=`curl https://cdn.jsdelivr.net/gh/felixonmars/dnsmasq-china-list/accelerated-domains.china.conf -s | while read line; do awk -F '/' '{print $2}' | grep -v '#' ; done | paste -sd " " -`
2. echo " except $china " >> Corefile

FelixOnMars同时还提供了Google和Apple的域名列表，这在某些地区某些ISP可以得到国内镜像的IP，所以最后可以写一个这样的shell脚本用于生成Corefile：

1. #!/bin/bash
2. china=`curl -sSL https://github.com/felixonmars/dnsmasq-china-list/raw/master/accelerated-domains.china.conf | while read line; do awk -F '/' '{print $2}' | grep -v '#' ; done | paste -sd " " -`
3. apple=`curl -sSL https://github.com/felixonmars/dnsmasq-china-list/raw/master/apple.china.conf | while read line; do awk -F '/' '{print $2}' | grep -v '#' ; done | paste -sd " " -`
4. google=`curl -sSL https://github.com/felixonmars/dnsmasq-china-list/raw/master/google.china.conf | while read line; do awk -F '/' '{print $2}' | grep -v '#' ; done | paste -sd " " -`
5. bogus=`curl -sSL https://github.com/felixonmars/dnsmasq-china-list/raw/master/bogus-nxdomain.china.conf | grep "=" | while read line; do awk -F '=' '{print $2}' | grep -v '#' ; done | paste -sd " " -`
6. cat>Corefile<<EOF
7. . {
8. ads {
9. default-lists
10. blacklist https://raw.githubusercontent.com/privacy-protection-tools/anti-AD/master/anti-ad-domains.txt
11. whitelist https://files.krnl.eu/whitelist.txt
12. log
13. auto-update-interval 24h
14. list-store ads-cache
15. }
16. hosts {
17. fallthrough
18. }
19. forward . 208.67.222.222:443 208.67.222.222:5353 208.67.220.220:443 208.67.220.220:5353 127.0.0.1:5301 127.0.0.1:5302 127.0.0.1:5303 {
20. except $china $apple $google cdn.jsdelivr.net
21. }
22. proxy . 192.168.1.1
23. bogus $bogus
24. log
25. cache
26. redisc {
27. endpoint 127.0.0.1:6379
28. }
29. health
30. reload
31. }
32. .:5301 {
33. bind 127.0.0.1
34. forward . tls://9.9.9.9 tls://9.9.9.10 {
35. tls_servername dns.quad9.net
36. }
37. cache
38. }
39. .:5302 {
40. bind 127.0.0.1
41. forward . tls://1.1.1.1 tls://1.0.0.1 {
42. tls_servername cloudflare-dns.com
43. }
44. cache
45. }
46. .:5303 {
47. bind 127.0.0.1
48. forward . tls://8.8.8.8 tls://8.8.4.4 {
49. tls_servername dns.google
50. }
51. cache
52. }
53. EOF

我把这个脚本放在gist上，并做了个短网址，于是可以这样生成Corefile：

1. curl -s -L git.io/corefile | bash

到此为止，就已经得到国内CDN友好的无污染DNS解析服务了。

我还想得到更多，比如去广告！github上有非常多的列表，包括广告和有害软件等等，CoreDNS官方尚未提供一个block插件，好在已经有一些非官方的实现，比如block，可以用如下的方式使用：

1. .:53{
2. block https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
3. block https://mirror1.malwaredomains.com/files/justdomains
4. block https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt
5. forward . 127.0.0.1:5301 127.0.0.1:5302 127.0.0.1:5303 {
6. except www.taobao.com
7. }
8. proxy . 116.228.111.118 180.168.255.18
9. log
10. health
11. }

非常浅显易懂。如果遇到的请求域名是在列表中，则会返回NXDOMAIN。

最后一个问题，由于proxy插件和block插件都不是官方内置插件，从CoreDNS官方下载页下载的可执行程序并不包括这两个插件，所以需要自己编译CoreDNS。

编译CoreDNS并不复杂：

1. git clone https://github.com/coredns/coredns.git
2. cd coredns
3. make

CoreDNS使用了go modules机制，所以在make过程中会自动下载依赖的package。其中一些package是放在诸如golang.org/x/的路径下的，所以需要自备梯子，可以全局翻，也可以通过HTTP_PROXY环境变量指定，或者使用国内的一些镜像（如果你信得过的话）通过GOPROXY环境变量指定。

如果要加入以上两个插件，则在make前，要修改plugin.cfg文件，加入以下两行：

1. block:github.com/missdeer/block
2. proxy:github.com/coredns/proxy

再make，就会把这两个插件编译进去。如果发现没有编译进去，可以先执行一下go generate coredns.go再make。

如果要给其他平台交叉编译CoreDNS，需要先以当前平台为参数make一次，再以目标平台为参数进行make，因为第一次make时会调用go generate跑两个程序，如果不是当前平台的可执行文件是跑不起来的。

本文转自类库大魔王，github