DNS over TLS 上游服务器 Docker 镜像

镜像概述和主要用途

本镜像作为 DNS over TLS (DoT) 上游服务器，可连接至支持 IPv4 和 IPv6 的 DNS over TLS 服务器，提供安全的 DNS 解析服务。集成 DNSSEC 验证、DNS 重绑定保护、Docker 健康检查以及细粒度的 IP/主机名阻止功能，适用于需要加密 DNS 解析、内容过滤和隐私保护的场景。

注意：可尝试 :v2.0.0-beta 版本，相关文档见 此处。:latest 标签镜像在未来数天/数周内可能存在兼容性变更。

核心功能和特性

加密 DNS 转发

• 支持连接至多个 DNS over TLS 提供商，包括：
  • Cloudflare（含家庭版、安全版）
  • Google
  • Quad9（含安全版、非安全版）
  • LibreDNS
  • Quadrant
  • CleanBrowsing（含成人版、家庭版、安全版）
  • CIRA Canadian Shield（家庭版、私人版、保护版）

负载均衡与隐私保护

• 拆分视界 DNS：对每个请求随机选择指定的 DoT 提供商，实现负载均衡
• DNSSEC 验证：确保 DNS 响应完整性与真实性
• DNS 重绑定保护：默认阻止私有 IP 范围的 DNS 重绑定攻击

内容过滤

• 支持三类内容阻止：恶意软件、监控服务、广告
• 通过环境变量自定义阻止主机名和 IP 地址
• 支持自定义例外（解除阻止特定主机名）

轻量与安全

• 无 root 权限运行，提升容器安全性
• 精简镜像体积（amd64 架构未压缩 41.1MB）：
  • 基于 Alpine 3.14
  • 集成 Alpine 软件包中的 Unbound 1.13.1
  • 定期更新的阻止列表和加密文件
  • Go 静态编译入口程序
• 支持 IPv4/IPv6 双栈解析（需网络支持）

自动化维护

• 每 24 小时自动更新阻止列表和加密文件，并重启 Unbound（停机时间 < 1 秒）
• 内置 Docker 健康检查，确保服务可用性

使用场景和适用范围

家庭网络

• 路由器级部署：为所有联网设备提供加密 DNS 解析，保护家庭网络隐私
• 内容过滤：阻止恶意网站、广告和监控域名，提升上网安全性

企业环境

• 作为内部 DNS 服务器上游，确保 DNS 请求加密传输，避免中间人攻击
• 自定义阻止规则，限制员工访问非工作相关网站

开发与测试

• Docker 容器环境中提供隔离的 DNS 解析服务，避免主机 DNS 配置冲突
• 快速部署加密 DNS 测试环境，验证应用对 DNSSEC 的兼容性

部署与使用方法

快速启动（Docker Run）

docker run -d -p 53:53/udp --name dns-over-tls qmcgaw/dns

Docker Compose 配置

创建 docker-compose.yml 文件：

version: '3'
services:
  dns-over-tls:
    image: qmcgaw/dns
    container_name: dns-over-tls
    ports:
      - "53:53/udp"  # DNS 服务端口
    environment:
      - PROVIDERS=cloudflare,google  # 同时使用 Cloudflare 和 Google DNS
      - BLOCK_MALICIOUS=on          # 启用恶意内容阻止
      - BLOCK_ADS=on                # 启用广告阻止
      - IPV6=off                    # 禁用 IPv6（若网络不支持）
      - UPDATE_PERIOD=12h           # 每 12 小时更新阻止列表
    restart: unless-stopped

启动服务：

docker-compose up -d

注意事项

• 树莓派 32 位系统：需在主机执行 此操作 以兼容容器
• 旧版 Docker/Kernel：若启动失败，可尝试添加 --user="0" 以 root 权限运行（详见 issue #79）

配置参数说明

环境变量

额外配置

可通过挂载 Unbound 配置文件扩展默认配置。创建 include.conf 文件（遵循 Unbound 配置文档），并挂载至容器：

docker run -d -p 53:53/udp -v $(pwd)/include.conf:/unbound/include.conf:ro qmcgaw/dns

include.conf 将被包含在 Unbound 主配置的 server 区块中，用于自定义高级参数（如 TTL 调整、转发规则等）。

客户端连接方法

方法 1：路由器级配置（推荐）

所有连接至路由器的设备自动使用本 DNS 服务：

1. 登录路由器管理页面（通常为 [***]）
2. 进入 DNS 设置页面（通常在「网络设置」>「高级」>「DNS 服务器」）
3. 将主 DNS 服务器设为 Docker 主机的 LAN IP（如 192.168.1.100）
4. （可选）将备用 DNS 设为路由器 IP（如 192.168.1.1）以强制流量通过本服务

防火墙强化

• 阻止路由器出站 UDP 53 端口（防止设备绕过加密 DNS）
• 仅允许 Docker 主机出站 TCP 853 端口（DoT 标准端口）
• （若支持）启用深度包检测，阻止端口 443 上的 DNS over HTTPS 流量

方法 2：单客户端配置

手动为每个设备配置 DNS 服务器为 Docker 主机 IP。

Docker 容器

docker run -it --rm --dns=DOCKER_HOST_IP alpine  # 替换 DOCKER_HOST_IP 为实际 IP

docker-compose.yml 示例：

services:
  app:
    image: alpine
    dns:
      - DOCKER_HOST_IP  # 如 192.168.1.100

Windows

1. 打开「控制面板」>「网络和 Internet」>「网络连接」
2. 右键当前网络适配器 >「属性」
3. 选择「Internet 协议版本 4 (TCP/IPv4)」>「属性」
4. 勾选「使用下面的 DNS 服务器地址」， Preferred DNS 设为 Docker 主机 IP
5. （可选）Alternate DNS 留空或设为无效 IP（避免明文 DNS 泄露）

macOS/Linux/移动设备

• macOS：系统偏好设置 > 网络 > 高级 > DNS，添加 Docker 主机 IP
• Linux：修改 /etc/resolv.conf，设置 nameserver DOCKER_HOST_IP
• Android/iOS：Wi-Fi 设置中手动指定 DNS 服务器为 Docker 主机 IP

验证 DNS 连接

验证 DNS 加密与泄露

1. 访问 DNS Leak Test，执行「标准测试」或「扩展测试」，确认仅显示配置的 DoT 提供商 IP
2. 访问 Internet.nl 连接测试，验证 DNSSEC 已启用

注意：[***] 无法检测本服务（因本服务为转发 intermediary，非直接客户端）。

Docker 镜像标签

开发相关（可选）

本地开发环境

1. 安装依赖：Go 1.16+、Docker、Git
2. 拉取代码并安装 Go 依赖：

   git clone [***]
   cd dns
   go mod download
   

3. 构建与测试：

   go build cmd/main.go  # 构建二进制
   go test ./...         # 运行测试
   docker build -t qmcgaw/dns .  # 构建镜像
   

贡献指南

详见 CONTRIBUTING.md。