На фоне всей этой бучи с возможной блокировкой Google-DNS серваков меня больше стало заботить, что я, работая вообще на чистом UDP обычного DNS-сервера, могу быть просто перенацелен на какие-то другие сервера и, соответственно, получать совершенно не то, что хотелось бы, вместо правильных ответов.
В связи с этим надумал вместо обычного рекурсора, каким был у меня unbound, перейти на зашифрованные соединения. Увы, централизуя свои запросы.
То есть, ниже конфиг шлет запросы к CloudFlare и Quad9 по зашифрованному соединению. В случае, если эти сервера подменят, у меня DNS сломается начисто и я запихну запросы в VPN, но подменить их целиком или фильтровать не получится.
во-первых, в секцию server: добавьте свои сертификаты (у меня это вторая строка конфига)
Код:
server:
tls-cert-bundle: /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
и в самый конец, чтобы не попортить локальные зоны и прочее, добавляем
Код:
forward-zone:
name: "."
forward-tls-upstream: yes
forward-addr: 2606:4700:4700::1111@853#cloudflare-dns.com
forward-addr: 1.1.1.1@853#cloudflare-dns.com
forward-addr: 2606:4700:4700::1001@853#cloudflare-dns.com
forward-addr: 1.0.0.1@853#cloudflare-dns.com
forward-addr: 2620:fe::fe@853#dns.quad9.net
forward-addr: 9.9.9.9@853#dns.quad9.net
forward-addr: 2620:fe::9@853#dns.quad9.net
forward-addr: 149.112.112.112@853#dns.quad9.net
перезапускаем или reload unbound и все...