unbound配置cache服务器

已于 2023-08-15 15:07:19 修改
阅读量1.3k 收藏
点赞数
分类专栏: DNS 文章标签: DNS unbound DNSSEC
于 2023-06-14 17:43:56 首次发布
《署名-非商业性使用-禁止演绎 4.0 国际》许可协议 https://creativecommons.org/licenses/by-nc-nd/4.0/
本文链接:https://blog.csdn.net/omaidb/article/details/131212385
版权

unbound

安装unbound

以下是将DNS over TLS(DoT)配置到RHEL 8中的步骤:

# 安装unbound 
yum install unbound -y

# 备份配置
cp /etc/unbound/unbound.conf{,.bak}

# cd到unbound配置目录
cd /etc/unbound/

# 过滤所有的注释和空行
grep -Ev "#|^$" /etc/unbound/unbound.conf

image.png


配置unbound

完整版配置参数参考
https://wiki.archlinuxcn.org/wiki/Unbound

下方链接是以配置好的精简优化配置

# 下载配置
## -P 指定保存目录
wget -P /etc/unbound/ https://raw.githubusercontent.com/omaidb/qiaofei_notes/main/config_bak/unbound/unbound.conf

# 下载named.cache根缓存文件
wget -P /etc/unbound/ https://www.internic.net/domain/named.cache

# 修改配置文件属主和数组
chown unbound:unbound /etc/unbound/unbound.conf

# 修改根缓存文件属主和数组
chown unbound:unbound /etc/unbound/named.cache

生成DOT证书

# 创建keys目录
mkdir -p /etc/unbound/keys

# 生成DOT证书
## req: 使用req命令来生成证书请求和自签名证书。
## -new: 创建新的证书请求和新的私钥。
## -newkey rsa:2048: 使用RSA算法生成2048位的私钥。
## -days 365: 设置证书的有效期为365天。
## -nodes: 不加密私钥,这将允许您在使用私钥时不需要输入密码
## -x509: 生成自签名的X.509证书。
## -subj "/CN=NFSC": 设置证书主题
## -keyout : 将生成的私钥写入名为“dot.key”的文件中
## -out : 将生成的证书写入名为“dot.pem”的文件中
openssl req -new -newkey rsa:2048 -days 365 -nodes -x509 \
-subj "/CN=NFSC" \
-keyout /etc/unbound/keys/dot.key \
-out /etc/unbound/keys/dot.pem

# 配置DOT证书属主和属组
chown -R root:unbound /etc/unbound/keys

配置日志

# 创建日志文件
touch /var/log/unbound.log

# 修改文件属主属组
chown unbound:unbound /var/log/unbound.log

监听哪个IP

如果要监听0.0.0.0interface-automatic(自动选择网路接口)这个值要设置为yes
image.png


允许哪些客户端查询

unbound拒绝递归查询,除了localhost
allow允许查询的网段
refuse拒绝查询的网段
deny不响应
image.png


配置转发

name: "." 表示匹配所有,都进行转发
image.png

# 将hk域转发到指定DNS解析
# 转发cn域名
forward-zone:
	name: "hk."
	forward-addr: 114.114.114.114
	forward-addr: 223.5.5.5

DNSSEC

DNSSEC(Domain Name System Security Extensions)是一种用于增强 DNS 安全性的扩展协议。它通过数字签名的方式对 DNS 数据进行验证,从而防止 DNS 缓存污染和 DNS 欺骗攻击等安全问题。

DNSSEC 通过向 DNS 记录中添加数字签名来实现验证。数字签名包含了 DNS 记录的完整性信息,如果 DNS 记录被篡改,数字签名就会失效,从而使得 DNS 查询结果无效。


测试DNSSEC

为了测试DNSSEC是否工作,在启动unbound.service之后:

unbound-host -C /etc/unbound/unbound.conf -v sigok.verteiltesysteme.net

得到的回应应该是附带(secure)字样的ip地址。
在这里插入图片描述

unbound-host -C /etc/unbound/unbound.conf -v sigfail.verteiltesysteme.net

这次的回应应该包含(BOGUS (security failure))字样。

另外你也可以使用“drill”命令来测试:

drill sigok.verteiltesysteme.net

应该返回NOERRORrcode

drill sigfail.verteiltesysteme.net

应该返回SERVFAILrcode


开启domain-insecure

如果某网站没有使用DNSSEC,那么客户端将不能收到解析的IP地址,而造成无法访问。
那就需要domain-insecure为该域名创建安全例外规则

# 为baidu.com创建DNSSEC例外规则
domain-insecure: baidu.com

image.png


生成密钥

生成.key

# 生成.key
unbound-control-setup

image.png


检查配置

# 检查配置文件是否有误
unbound-checkconf

image.png


查看缓存

前提条件: control-enableyes
image.png

# 先使用客户端ping一下google
ping google.com

# 然后从缓存中过滤google
unbound-control dump_cache |grep google.com

启动Unbound服务:

# 开机自启
systemctl enable --now unbound

# 修改完配置后重新加载配置文件
systemctl reload unbound

请注意,一些防火墙或网络配置可能会阻止DoT解析器端口(通常为853)上的出站流量,因此您可能需要配置防火墙或网络设置以允许此流量。


结果验证

使用带有+dnssec+short选项的dig命令验证Unbound解析,例如:

# +dnssec: 启用 DNSSEC 功能,表示查询结果需要进行数字签名验证
# +short: 显示查询结果中的简洁信息,只显示域名和 IP 地址
dig +dnssec +short google.com

如果输出显示来自DoT解析器的响应,则Unbound成功地使用了DoT解析器。


方法1:

使用dig验证DNSSEC

# 检查本地DNS是否支持DNSSEC
dig SOA com. @127.0.0.1

如果flags带有ad,就是支持DNSSEC
image.png


方法2:

在线访问 http://dnssec-or-not.com/ ,用来在线检查是否支持DNSSEC
image.png


排错方法

# 查看错误日志
tail -f /var/log/unbound.log

在这里插入图片描述

在这里插入图片描述

识途老码
关注
专栏目录
使用 Unbound 创建DNS服务器
奋斗中拥有
09-03 2万+
  1 Installing Unbound下载、安装unbound;wget http://www.unbound.net/downloads/unbound-latest.tar.gztar xvfz unbound-latest.tar.gzcd unbound-1.0.2/./configure --prefix=/usr/local make     ma
搭建unbound转发服务器分流国内外及内网域名
冷藏库干面的博客
09-08 2417
基本思路是:1.使用dnsmasq-china-list获取国内外地址列表。2.生成unbound转发配置文件。3.启动unbound服务 1.dnsmasq-china-list国内外地址列表 #dnsmasq-china-list获取脚本 #!/bin/bash set -o errexit set -o pipefail url='https://raw.github.com/felixonmars/dnsmasq-china-list/master/accelerated-domains.
DNS:使用 Unbound 配置 DNS 缓存服务器
山河已无恙
07-15 1444
分享一些 DNS 缓存服务器搭建的笔记理解不足小伙伴帮忙指正看过的书很少,《生命中不能承受之轻》 是之一,年少时第一次读,是书中情欲的片段吸引了我,那时读到萨宾娜,想到了《月亮与六便士的》中的布兰奇,奇怪那种生理吸引到底是什么?后来陆续看了其他的章节,记忆犹新,扉页上那一句 ‘人们一思索,上帝就发笑 —犹太谚语’,开篇讲的’永劫轮回观’特别适合之后自己,大概是叔本华看多了。特别喜欢书中一句,记得不清楚,大概是 ‘世人的博爱是以媚俗作态作为基础’DNS 缓存服务器DNS查询结果。
unbound-reversecache:具有Python模块的未绑定Docker容器,用于存储反向DNS查找信息
03-06
pythonunbound 注意:我刚刚开始,所以还没有开发出来。 这基于NLnetLabs / pythonunbound。 一个简单的Dockerfile构建了Unbound --with-pythonmodule支持,并包括一个python模块,该模块将用户查找存储在redis的反向缓存中。 鱿鱼外部acl将使用它来确定客户端请求中与目标IP关联的主机名。 这是为了解决squid的dstdomain功能的问题,当透明地代理客户端应用程序时,该功能通常会尝试(非常不可靠)反向DNS查找。 这样的想法是,如果客户端和鱿鱼使用的是同一个DNS服务器,则DNS服务器应该能够告诉squid哪些主机名与对客户端请求的DNS回复相关联。 这样,鱿鱼可以更好地处理作用于域的ACL。 你好,世界 $ docker run -it nlnetlabs/pythonunbound root@nnn:
unbound:安装与配置
热门推荐
kanguolaikanguolaik的专栏
09-04 1万+
unbound是一个开源local dns,支持edns-client-subnet。
RedHat 7.3 DNS-unbound配置方法
qq_55707182的博客
04-21 1751
1、配置DNS服务端IP地址 重启网卡,查看IP 2、配置本地yum源 挂载 3、安装unbound 4、编辑主配置文件 1)第一处要修改的地方在此文件的第38行,侦听接口改为本设备的IP地址,并去掉注释符 2)第二处要修改的地方在此文件的第60行,DNS端口号为53,只需去掉注释符,无需修改, 3)此处为第三个要修改的地方,只需要将这三个注释符去掉即可 4)第四处要修改的地方,此处表示哪些主机可以访问本服务器,0.0.0.0/0 a...
unbound部署DNS
qq_50247813的博客
02-21 931
yum -y install unbound bind-utils #unbound dns软件,bind-utils,nslookup测试工具。vim /etc/unbound/unbound.conf #修改dns默认配置文件。cd /etc/unbound/local.d/ #配置解析文件所在目录。systemctl enable --now unbound #启动自启。cd /etc/httpd/conf #httpd默认配置文件目录。
linux的unbond服务无法启动,用unbound搭建简单的DNS服务器
weixin_29801567的博客
05-04 1279
unbound是一款相对简单的DNS服务软件,相对于bind9的复杂配置,更适合新手搭建DNS服务器使用。话不多说,下面介绍一下unbound配置。截止笔者写这篇文章时,unbound已经更新到1.6.1版本。本例所用环境如下:linux服务器为:Ubuntu 14.04;unbound软件版本为:1.6.0。以下为具体安装过程:1.安装依赖包:#CentOS系统:sudoyum-yins...
ansible-unbound
03-17
安装和配置 要求和依存关系 操作系统 经过测试 Debian 9/10 CentOS的8 OracleLinux 8 角色变量 unbound_user: unbound unbound_group: unbound unbound_conf_dir: /etc/unbound 服务器 unbound_config: server: {...
通过Docker、Alpine Linux和Unbound实现DNS服务器托管
xinxinyunli的博客
05-17 2263
如何通过Docker、Alpine Linux和Unbound实现DNS服务器托管
配置本地DNS解析:在Linux上配置本地DNS服务器,实现域名解析
# 1. 介绍 ...当用户在浏览器中输入一个域名时,操作系统会首先查询本地DNS解析器,如果本地DNS没有缓存该域名对应的IP地址,就会向上级DNS服务器发起查询,一直递归查询直到找到对应的IP地址。 ##
DNS 服务 Unbound 部署最佳实践
爱死亡机器人
03-25 1774
通常会导致名称的 NXDOMAIN(在静态区域中),但如果名称已变为空的非终结符(已删除名称下方的域名中仍有数据),则 NOERROR 无数据答案是该名称的结果。条目在该命令的实现中被设置为过期(因此,启用服务过期后,它将提供该信息但安排预取新信息)。用旧的或错误的数据加载缓存可能会导致将旧的或错误的数据返回给客户端。local_zones, local_zones_remove, local_datas, local_datas_remove 这些跟上面的相同,只是批量添加,从标准输入中读取 每行一条。
linux卸载unbound,linux下的unbound DNS服务器设置详解
weixin_42510757的博客
05-06 1404
在CentOS7.x下安装unbound 1.7.x:# yum install -y epel-release#yum localinstall openssl-1.0.2k-8.el7.x86_64.rpm openssl-libs-1.0.2k-8.el7.x86_64.rpm# yum install unbound配置:# vi /etc/unbound/unbound.confser...
RH358管理DNSDNS服务器--使用Unbound配置缓存名称服务器
IT民工金鱼哥,专注运维技术。
12-21 2363
第三章 管理DNSDNS服务器--使用Unbound配置缓存名称服务器
DNS开发之Unbound二次开发(1) 安装调试
RenZuoym的博客
12-10 446
1、unbound介绍下载安装 打开网址https://nlnetlabs.nl/projects/unbound/download/ 下载想下载的版本,这里我下载的是unbound-1.10.0。 解压unbound-1.10.0.tar.gz ./configure --prefix=/usr/local/unbound --with-pthre...
UNbound DNS -UNbound域名解析
Alkaid__3的博客
03-17 7049
UNbound DNS服务器简介: RHEL7.x自带了Bind和Unbound两种DNS服务包,Unbound是红帽公司推荐使用的DNS服务器。目前,虽然Bind在全球拥有最多的用户,但这个老牌产品是针对简单网络设计的,随着网络的迅速发展,Bind系统已经越来越不适应在如今复杂的大规模网络环境下提供DNS服务了。Unbound是FreeBSD(类Unix)操作系统下的默认DNS服务器软件,它是...
《Linux7配置Unbound实现简单的DNS域名解析》
weixin_47118413的博客
02-04 4408
一:什么是UnboundUnbound是红帽公司(RedHat)默认使用的的DNS服务包,其中现在使用的Centos7系列的DNS服务包默认自带Bind与Unbound这两个,其中Unbound是FreeBSD操作系统下的默认DNS服务器软件,Unbound是一个安全性高、功能强大、能够跨平台使用的服务其中功能远远大于Bind功能。另一个是Bind服务拥有全球大量的用户使用,但是Bind产品只能适用简单网络结构,如今网络的飞快发展与进步,Bind服务已经越来越不能适应在如今复杂的大规模网络环境下提供DN
unbound学习笔记
huangzx3的博客
11-22 1635
一、下载安装 (1)下载 wget https://nlnetlabs.nl/downloads/unbound/unbound-1.12.0.tar.gz (2)安装 tar -xvf unbound-1.12.0.tar.gz cd unbound-1.12.0 ./configure --enable-subnet && make && make install 备注unbound默认情况下使用unbound的用户进行启动,所以需要添加该用户,如下 groupadd..
推荐项目:Unbound - 高性能的DNS解析器
最新发布
gitblog_00012的博客
05-12 438
推荐项目:Unbound - 高性能的DNS解析器 unbound Unbound is a validating, recursive, and caching DNS resolver. 项目地址: https://gitcode.com/gh_mirrors...
unbound error
07-27
可以使用命令sudo vim /etc/unbound/conf.d/my.conf来创建新的配置文件。最后,引用\[3\]中提到添加完自定义的解析后需要reload一下生效,可以使用命令sudo unbound-control reload来重新加载配置。启动unbound服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

识途老码

赞赏是第一生产力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值