От спуфинга себя страхуя, купил доху... Короче, завел dnscrypt в связке со старым добрым bind'ом. Завелось все на ура, но стал замечать какую-то странную активность на 53 порту (dnscrypt работает на 443, если кто не в курсе). Включил лог в ipfw на 53 порт и обнаружил, что некоторые пакеты до сих пор идут на NS провайдера и рутовые, несмотря на:
Код: Выделить всё
/etc/namedb/named.conf:
listen-on {192.168.0.1;};
forwarders {127.0.0.1 port 5353;};
/etc/resolv.conf:
nameserver 192.168.0.1
options edns 0
Что было сделано:
Код: Выделить всё
# chflags schg /etc/resolv.conf
# rndc flush
# service netif restart
И все равно откуда-то вылезают провайдерские NS. Пока юзаю костыль из
Код: Выделить всё
${fwcmd} add deny log udp from me to any 53 out xmit ${ext_if}
${fwcmd} add deny log udp from any to not me 53 in recv ${int_if}
. DNS работает, запрещенные пакеты иправно дропятся и попадают в лог. Мистика?