qmcgaw/dns Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
qmcgaw/dnsqmcgaw
作为DNS over TLS上游服务器,连接至支持IPv4和IPv6的DNS over TLS服务器
4 次收藏下载次数: 0状态:社区镜像维护者:qmcgaw仓库类型:镜像最近更新:6 天前
DNS over TLS 上游服务器 Docker 镜像
镜像概述和主要用途
本镜像作为 DNS over TLS (DoT) 上游服务器,可连接至支持 IPv4 和 IPv6 的 DNS over TLS 服务器,提供安全的 DNS 解析服务。集成 DNSSEC 验证、DNS 重绑定保护、Docker 健康检查以及细粒度的 IP/主机名阻止功能,适用于需要加密 DNS 解析、内容过滤和隐私保护的场景。
注意:可尝试
:v2.0.0-beta版本,相关文档见 此处。:latest标签镜像在未来数天/数周内可能存在兼容性变更。
核心功能和特性
加密 DNS 转发
- 支持连接至多个 DNS over TLS 提供商,包括:
- Cloudflare(含家庭版、安全版)
- Quad9(含安全版、非安全版)
- LibreDNS
- Quadrant
- CleanBrowsing(含成人版、家庭版、安全版)
- CIRA Canadian Shield(家庭版、私人版、保护版)
负载均衡与隐私保护
- 拆分视界 DNS:对每个请求随机选择指定的 DoT 提供商,实现负载均衡
- DNSSEC 验证:确保 DNS 响应完整性与真实性
- DNS 重绑定保护:默认阻止私有 IP 范围的 DNS 重绑定***
内容过滤
- 支持三类内容阻止:***软件、监控服务、广告
- 通过环境变量自定义阻止主机名和 IP 地址
- 支持自定义例外(解除阻止特定主机名)
轻量与安全
- 无 root 权限运行,提升容器安全性
- 精简镜像体积(amd64 架构未压缩 41.1MB):
- 基于 Alpine 3.14
- 集成 Alpine 软件包中的 Unbound 1.13.1
- 定期更新的阻止列表和加密文件
- Go 静态编译入口程序
- 支持 IPv4/IPv6 双栈解析(需网络支持)
自动化维护
- 每 24 小时自动更新阻止列表和加密文件,并重启 Unbound(停机时间 < 1 秒)
- 内置 Docker 健康检查,确保服务可用性
使用场景和适用范围
家庭网络
- 路由器级部署:为所有联网设备提供加密 DNS 解析,保护家庭网络隐私
- 内容过滤:阻止***网站、广告和监控域名,提升上网安全性
企业环境
- 作为内部 DNS 服务器上游,确保 DNS 请求加密传输,避免中间人***
- 自定义阻止规则,限制员工访问非工作相关网站
开发与测试
- Docker 容器环境中提供隔离的 DNS 解析服务,避免主机 DNS 配置冲突
- 快速部署加密 DNS 测试环境,验证应用对 DNSSEC 的兼容性
部署与使用方法
快速启动(Docker Run)
bashdocker run -d -p 53:53/udp --name dns-over-tls qmcgaw/dns
Docker Compose 配置
创建 docker-compose.yml 文件:
yamlversion: '3' services: dns-over-tls: image: qmcgaw/dns container_name: dns-over-tls ports: - "53:53/udp" # DNS 服务端口 environment: - PROVIDERS=cloudflare,google # 同时使用 Cloudflare 和 Google DNS - BLOCK_MALICIOUS=on # 启用***内容阻止 - BLOCK_ADS=on # 启用广告阻止 - IPV6=off # 禁用 IPv6(若网络不支持) - UPDATE_PERIOD=12h # 每 12 小时更新阻止列表 restart: unless-stopped
启动服务:
bashdocker-compose up -d
注意事项
- 树莓派 32 位系统:需在主机执行 此操作 以兼容容器
- 旧版 Docker/Kernel:若启动失败,可尝试添加
--user="0"以 root 权限运行(详见 issue #79)
配置参数说明
环境变量
| 环境变量 | 默认值 | 描述 |
|---|---|---|
PROVIDERS | cloudflare | 逗号分隔的 DoT 提供商列表,可选值见 核心功能 |
VERBOSITY | 1 | 日志详细级别(0=无日志,5=全 debug 日志) |
VERBOSITY_DETAILS | 0 | 细节日志级别(0-4,越高细节越多) |
BLOCK_MALICIOUS | on | 是否阻止*** IP/主机名(on/off) |
BLOCK_SURVEILLANCE | off | 是否阻止监控服务 IP/主机名(on/off) |
BLOCK_ADS | off | 是否阻止广告 IP/主机名(on/off) |
BLOCK_HOSTNAMES | 自定义阻止主机名(逗号分隔,如 example.com,ads.example.org) | |
BLOCK_IPS | 自定义阻止 IP(逗号分隔,如 192.168.1.1,2001:db8::1) | |
UNBLOCK | 例外主机名(逗号分隔,即使在阻止列表中也解除阻止) | |
LISTENINGPORT | 53 | 容器内 Unbound 监听端口(需与 -p 映射一致) |
CACHING | on | 是否启用 DNS 缓存(on/off,若上层有其他 DNS 缓存可禁用) |
PRIVATE_ADDRESS | 所有 IPv4/IPv6 私有 CIDR 范围 | 私有地址范围(逗号分隔 CIDR 或单 IP,用于 DNS 重绑定保护) |
CHECK_DNS | on | 启动时检查 DNS 解析(通过 127.0.0.1:53 解析 github.com) |
IPV4 | on | 是否启用 IPv4 解析(on/off) |
IPV6 | off | 是否启用 IPv6 解析(on/off,无 IPv6 网络时请勿启用) |
UPDATE_PERIOD | 24h | 阻止列表更新周期(如 12h,设为 0 禁用自动更新) |
额外配置
可通过挂载 Unbound 配置文件扩展默认配置。创建 include.conf 文件(遵循 Unbound 配置文档),并挂载至容器:
bashdocker run -d -p 53:53/udp -v $(pwd)/include.conf:/unbound/include.conf:ro qmcgaw/dns
include.conf 将被包含在 Unbound 主配置的 server 区块中,用于自定义高级参数(如 TTL 调整、转发规则等)。
客户端连接方法
方法 1:路由器级配置(推荐)
所有连接至路由器的设备自动使用本 DNS 服务:
- 登录路由器管理页面(通常为
[***]) - 进入 DNS 设置页面(通常在「网络设置」>「高级」>「DNS 服务器」)
- 将主 DNS 服务器设为 Docker 主机的 LAN IP(如
192.168.1.100) - (可选)将备用 DNS 设为路由器 IP(如
192.168.1.1)以强制流量通过本服务
防火墙强化
- 阻止路由器出站 UDP 53 端口(防止设备绕过加密 DNS)
- 仅允许 Docker 主机出站 TCP 853 端口(DoT 标准端口)
- (若支持)启用深度包检测,阻止端口 443 上的 DNS over HTTPS 流量
方法 2:单客户端配置
手动为每个设备配置 DNS 服务器为 Docker 主机 IP。
Docker 容器
bashdocker run -it --rm --dns=DOCKER_HOST_IP alpine # 替换 DOCKER_HOST_IP 为实际 IP
docker-compose.yml 示例:
yamlservices: app: image: alpine dns: - DOCKER_HOST_IP # 如 192.168.1.100
Windows
- 打开「控制面板」>「网络和 Internet」>「网络连接」
- 右键当前网络适配器 >「属性」
- 选择「Internet 协议版本 4 (TCP/IPv4)」>「属性」
- 勾选「使用下面的 DNS 服务器地址」, Preferred DNS 设为 Docker 主机 IP
- (可选)Alternate DNS 留空或设为无效 IP(避免明文 DNS 泄露)
macOS/Linux/移动设备
- macOS:系统偏好设置 > 网络 > 高级 > DNS,添加 Docker 主机 IP
- Linux:修改
/etc/resolv.conf,设置nameserver DOCKER_HOST_IP - Android/iOS:Wi-Fi 设置中手动指定 DNS 服务器为 Docker 主机 IP
验证 DNS 连接
验证 DNS 加密与泄露
- 访问 DNS Leak Test,执行「标准测试」或「扩展测试」,确认仅显示配置的 DoT 提供商 IP
- 访问 Internet.nl 连接测试,验证 DNSSEC 已启用
注意:[***] 无法检测本服务(因本服务为转发 intermediary,非直接客户端)。
Docker 镜像标签
| Docker 镜像 | GitHub 版本 | 说明 |
|---|---|---|
qmcgaw/dns:latest | master 分支 | 最新开发版本 |
qmcgaw/dns:v1.5.1 | v1.5.1 | 稳定版本 |
qmcgaw/dns:v1.4.1 | v1.4.1 | 历史稳定版本 |
qmcgaw/cloudflare-dns-server:latest | master 分支 | qmcgaw/dns:latest 的镜像 |
开发相关(可选)
本地开发环境
- 安装依赖:Go 1.16+、Docker、Git
- 拉取代码并安装 Go 依赖:
bash
git clone [***] cd dns go mod download - 构建与测试:
bash
go build cmd/main.go # 构建二进制 go test ./... # 运行测试 docker build -t qmcgaw/dns . # 构建镜像
贡献指南
详见 CONTRIBUTING.md。
rancher/dns
rancher
暂无描述
3 次收藏1000万+ 次下载
7 年前更新
akamai/dns
akamai
Akamai DNS命令行工具,用于通过命令行管理Akamai DNS服务,支持DNS记录配置、查询与修改等操作。
1 次收藏1万+ 次下载
15 天前更新
aveshasystems/dns
aveshasystems
KubeSlice DNS是用于解析应用切片上暴露的服务名称的DNS服务器,当服务通过ServiceExport对象导出到切片时,会在切片所有集群的KubeSlice DNS服务器中创建DNS条目。
1万+ 次下载
2 个月前更新
jusaba/dns
jusaba
miniDynDns客户端Docker镜像,用于动态更新DNS服务器上主机的IP地址,支持多DNS服务器配置,通过环境变量设置主机名、刷新频率和密码,定期自动执行IP更新。
10万+ 次下载
2 个月前更新
onedata/dns
onedata
暂无描述
10万+ 次下载
1 年前更新
saltydk/dns
saltydk
暂无描述
5万+ 次下载
17 天前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"