2023-02-19  a903680ebf6fdeccae6aff8701971eb9 99+   20 分钟   3.0 k0次访问

DNS:使用 Unbound 配置 DNS 缓存服务器

看过的书很少,《生命中不能承受之轻》 是之一,年少时第一次读,是书中情欲的片段吸引了我,那时读到萨宾娜,想到了《月亮与六便士的》中的布兰奇,奇怪那种生理吸引到底是什么?后来陆续看了其他的章节,记忆犹新,扉页上那一句 ‘人们一思索,上帝就发笑 —犹太谚语’,开篇讲的’永劫轮回观’特别适合之后自己,大概是叔本华看多了。特别喜欢书中一句,记得不清楚,大概是 ‘世人的博爱是以媚俗作态作为基础’

写在前面

  • 分享一些 DNS 缓存服务器搭建的笔记
  • 理解不足小伙伴帮忙指正

看过的书很少,《生命中不能承受之轻》 是之一,年少时第一次读,是书中情欲的片段吸引了我,那时读到萨宾娜,想到了《月亮与六便士的》中的布兰奇,奇怪那种生理吸引到底是什么?后来陆续看了其他的章节,记忆犹新,扉页上那一句 ‘人们一思索,上帝就发笑 —犹太谚语’,开篇讲的’永劫轮回观’特别适合之后自己,大概是叔本华看多了。特别喜欢书中一句,记得不清楚,大概是 ‘世人的博爱是以媚俗作态作为基础’

简单介绍

DNS 缓存服务器DNS查询结果存储在本地缓存中,并在它们的 TTL过期时从缓存中删除资源记录

本地网络中设置缓存名称服务器,它通过在本地缓存中存储最近访问的域名和 IP 地址的映射关系,减少跨InternetDNS流量,这极大地提高了DNS名称解析的效率。随着本地缓存数量增加,缓存名称服务器回答越来越多的客户端查询,DNS性能将得到改善。

当用户在浏览器中输入一个网址时,浏览器会向缓存名称服务器发送一个 DNS 查询请求,如果该请求的域名和 IP 地址映射已经存在于缓存中,则缓存名称服务器可以立即返回该映射关系,而无需再向 DNS 服务器发送请求,从而加快了网页的加载速度。

有几个软件包可用于配置缓存名称服务器,包括bind,dnsmasq(虚拟化用的多) 和 unbound。这里使用 Unbound 安装、配置和管理缓存名称服务器。

环境准备

安装 unbound

1
2
3
4
[root@servera ]# yum -y install unbound
Last metadata expiration check: 0:53:24 ago on Sun 19 Feb 2023 02:19:20 PM CST.
Installed:
  unbound-1.7.3-8.el8.x86_64

查看相关的配置文件

1
2
3
4
5
6
7
[root@servera ]# rpm -qlc unbound
/etc/sysconfig/unbound
/etc/unbound/conf.d/example.com.conf
/etc/unbound/keys.d/example.com.key
/etc/unbound/local.d/block-example.com.conf
/etc/unbound/unbound.conf
[root@servera ]#

编辑配置文件

编辑配置文件 /etc/unbound/unbound.conf

帮助文档查看

1
[root@servera ]# man unbound.conf

常见的配置信息

定义网络监听

在 server 子句中,定义网络监听,下面为不同的监听配置,监听IPV4和IPv6 

1
2
3
interface:172.25.250.10 
interface:2001:db8:1001:f0
interface-automatic:no
  • 默认 UNbound 监听 localhost 网络接口。
  • 如果设置监听 0.0.0.0或者::0,则将会监听所有接口,同时需要设置interface-automaticyes(表示 DNS 服务器将自动选择最佳的网络接口来监听 DNS 查询请求)。否则设置interface-automaticno
  • 如果此时本地还运行 libvirtd 服务,并且 Unbound 绑定到所有接口,将导致 Unbound 无法启动。因为 libvirtd会运行dnsmasq,而dnsmasq也会在本地接口上监听53端口。

网络监听配置Demo

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
interface: 0.0.0.0
# interface: ::0
# interface: 192.0.2.153
# interface: 192.0.2.154
# interface: 192.0.2.154@5003
# interface: 2001:DB8::5
#
# for dns over tls and raw dns over port 80
# interface: 0.0.0.0@443
# interface: ::0@443
# interface: 0.0.0.0@80
# interface: ::0@80
# enable this feature to copy the source address of queries to reply.
# Socket options are not supported on all platforms. experimental.
# interface-automatic: yes
#
# NOTE: Enable this option when specifying interface 0.0.0.0 or ::0
# NOTE: Disabled per Fedora policy not to listen to * on default install
# NOTE: If deploying on non-default port, eg 80/443, this needs to be disabled
interface-automatic: yes

访问控制列表

在 server 子句中,定义访问控制列表

使用access-control选项指定哪些客户端可以进行递归查询。可以指定网络或IP地址,控制类型:

  • allow,允许访问
  • refuse,阻止访问并将DNS REFUSED错误发送给客户端
  • deny,阻止访问,不发送响应

示例:

1
2
3
4
5
6
# access-control: 0.0.0.0/0 refuse
# access-control: 127.0.0.0/8 allow
# access-control: ::0/0 refuse
# access-control: ::1 allow
# access-control: ::ffff:127.0.0.1 allow
access-control: 172.25.250.0/24 allow

配置访问控制, 禁止除预期客户端之外的主机使用递归缓存名称服务器

如果允许Internet上的任何主机递归查询您的服务器,则攻击者可以使用它对第三方执行DNS放大分布式拒绝服务攻击。详情参考 https://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack/

转发请求到其他缓冲名称服务器

转发请求到其他缓冲名称服务器:

如果此名称服务器无法访问Internet,但可以访问另外一个连接InternetDNS服务器。创建一个 forward-zone 子句以指定要转发的域以及将查询转发到的DNS服务器。

将名称值设置为. 转发所有查询

1
2
3
forward-zone:
      name:"."
      forward-addr:172.25.250.254

内部域的查询直接发送到对该具有权威性名称服务器

为转发区域指定DNS服务器:

  • 使用forward-host选项通过主机名
  • 使用forward-addr选项通过IP地址。
1
2
3
4
5
6
7
8
9
# forward-zone:
#       name: "example.com"
#       forward-addr: 192.0.2.68
#       forward-addr: 192.0.2.73@5355  # forward to port 5355.
#       forward-first: no
#       forward-tls-upstream: no
# forward-zone:
#       name: "example.org"
#       forward-host: fwd.example.com

domain-insecure 用于指定不需要验证 DNSSEC 的域名。在这个选项中 example.com 表示不需要验证 example.com 域名的 DNSSEC 安全性。这意味着,当 Unbound 接收到来自 example.com 的 DNS 响应时,它不会对响应进行 DNSSEC 验证。如果 example.com 的 DNS 响应被篡改或伪造,那么 Unbound 将不会检测到这种攻击

1
domain-insecure: "example.com"

证书相关生成

unbound-control-setup/etc/unbound 目录下生成了 unbound_server.keyunbound_control.key 两个 RSA 私钥文件,并生成了 unbound_server.pemunbound_control.pem 两个证书文件

其中,unbound_server.pem 是自签名的服务器证书,unbound_control.pem 是客户端证书,由服务器证书签名。这个命令还输出了证书的签名信息和主题信息。最后,命令提示您在 unbound.conf 配置文件中启用证书以使用它们。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
[root@servera ]# unbound-control-setup
setup in directory /etc/unbound
generating unbound_server.key
Generating RSA private key, 3072 bit long modulus (2 primes)
..............................++++
......................................................++++
e is 65537 (0x010001)
generating unbound_control.key
Generating RSA private key, 3072 bit long modulus (2 primes)
............................................++++
.............................................................++++
e is 65537 (0x010001)
create unbound_server.pem (self signed certificate)
create unbound_control.pem (signed client certificate)
Signature ok
subject=CN = unbound-control
Getting CA Private Key
Setup success. Certificates created. Enable in unbound.conf file to use
[root@servera ]#

配置文件语法检查

1
2
3
[root@servera ]# unbound-checkconf
unbound-checkconf: no errors in /etc/unbound/unbound.conf
[root@servera ]#

启动DNS缓存服务器

开启防火墙

1
2
3
4
[root@servera ]# firewall-cmd --add-service=dns --permanent
success
[root@servera ]# firewall-cmd --reload
success

配置开启自启动,并启动

1
2
[root@servera ]# systemctl enable unbound --now
Created symlink /etc/systemd/system/multi-user.target.wants/unbound.service → /usr/lib/systemd/system/unbound.service.

测试

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
[root@servera ]# dig  @servera.lab.example.com workstation.lab.example.com

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el8 <<>> @servera.lab.example.com workstation.lab.example.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24427
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;workstation.lab.example.com.   IN      A

;; ANSWER SECTION:
workstation.lab.example.com. 600 IN     A       172.25.250.9

;; Query time: 2 msec
;; SERVER: 172.25.250.10#53(172.25.250.10)
;; WHEN: Sun Feb 19 19:21:49 CST 2023
;; MSG SIZE  rcvd: 72

[root@servera ]#
  • HEADER 部分包含了查询的一些基本信息,如操作码、状态码、ID 等;
  • QUESTION 部分表示查询的问题部分,包含了需要查询的主机名和记录类型(A 记录);
  • ANSWER 部分则是查询结果,其中包含了查询到的主机名和对应的 IP 地址。

查询的是 lab.example.com 域名的 NS 记录,使用的 DNS 服务器是 servera.lab.example.com

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
[root@servera ]# dig  @servera.lab.example.com NS lab.example.com

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.el8 <<>> @servera.lab.example.com NS lab.example.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51183
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;lab.example.com.               IN      NS

;; ANSWER SECTION:
lab.example.com.        86400   IN      NS      bastion.lab.example.com.

;; Query time: 2 msec
;; SERVER: 172.25.250.10#53(172.25.250.10)
;; WHEN: Sun Feb 19 19:29:04 CST 2023
;; MSG SIZE  rcvd: 66

[root@servera ]#

查询结果显示该域名的 NS 记录为 bastion.lab.example.com。在查询结果中,

  • flags 字段显示 qr rd ra,分别表示该查询为响应(response)、递归查询(recursion desired)和递归可用(recursion available)
  • Query time 字段显示查询耗时 2 毫秒
  • SERVER 字段显示使用的 DNS 服务器 IP 地址为 172.25.250.10
  • MSG SIZE rcvd 字段显示收到的 DNS 响应消息大小为 66 字节。

unbound DNS 服务器的状态输出结果

1
2
3
4
5
6
7
8
[root@servera ]# unbound-control status
version: 1.7.3
verbosity: 1
threads: 4
modules: 3 [ ipsecmod validator iterator ]
uptime: 349 seconds
options: reuseport control(ssl)
unbound (pid 28457) is running...
  • version 字段显示当前 unbound 版本为 1.7.3
  • verbosity 字段显示日志详细程度为 1
  • threads 字段显示使用了 4 个线程
  • modules 字段显示加载了 3 个模块,分别是 ipsecmod、validator 和 iterator
  • uptime 字段显示 unbound 运行时间为 349 秒
  • options 字段显示使用了 reuseport 和 control(ssl) 两个选项。
  • unbound 进程的 PID 为 28457,并且正在运行。

unbound DNS 服务器的缓存输出结果

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
[root@servera ]# unbound-control dump_cache
START_RRSET_CACHE
;rrset 504 1 0 3 3
bastion.lab.example.com.        504     IN      A       172.25.250.254
;rrset 86304 1 0 8 3
lab.example.com.        86304   IN      NS      bastion.lab.example.com.
END_RRSET_CACHE
START_MSG_CACHE
msg lab.example.com. IN NS 33152 1 504 3 1 0 1
lab.example.com. IN NS 0
bastion.lab.example.com. IN A 0
END_MSG_CACHE
EOF
[root@servera ]# unbound-control dump_cache > dns_dump
[root@servera ]#

START_RRSET_CACHE 和 END_RRSET_CACHE 之间的部分是存储在 unbound 缓存中的 RRset 记录,包括了 bastion.lab.example.com 域名的 A 记录和 lab.example.com 域名的 NS 记录。每个 RRset 记录包含了多个 RRSIG 记录,用于验证该 RRset 记录的真实性。

START_MSG_CACHE 和 END_MSG_CACHE 之间的部分则是存储在 unbound 缓存中的 DNS 消息记录,包括了查询 lab.example.com 域名的 NS 记录的 DNS 消息记录。

1
2
3
4
[root@servera ]# dig  @servera.lab.example.com servera.lab.example.com
[root@servera ]# dig  @servera.lab.example.com serverb.lab.example.com
[root@servera ]# dig  @servera.lab.example.com serverc.lab.example.com
[root@servera ]#

查看缓存信息

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
[root@servera ]# unbound-control dump_cache
START_RRSET_CACHE
;rrset 502 1 0 8 3
serverb.lab.example.com.        502     IN      A       172.25.250.11
;rrset 280 1 0 3 3
bastion.lab.example.com.        280     IN      A       172.25.250.254
;rrset 490 1 0 8 3
servera.lab.example.com.        490     IN      A       172.25.250.10
;rrset 86080 1 0 8 3
lab.example.com.        86080   IN      NS      bastion.lab.example.com.
;rrset 511 1 0 8 3
serverc.lab.example.com.        511     IN      A       172.25.250.12
END_RRSET_CACHE
START_MSG_CACHE
msg serverb.lab.example.com. IN A 33152 1 502 3 1 1 1
serverb.lab.example.com. IN A 0
lab.example.com. IN NS 0
bastion.lab.example.com. IN A 0
msg lab.example.com. IN NS 33152 1 280 3 1 0 1
lab.example.com. IN NS 0
bastion.lab.example.com. IN A 0
msg servera.lab.example.com. IN A 33152 1 490 3 1 1 1
servera.lab.example.com. IN A 0
lab.example.com. IN NS 0
bastion.lab.example.com. IN A 0
msg serverc.lab.example.com. IN A 33152 1 511 3 1 1 1
serverc.lab.example.com. IN A 0
lab.example.com. IN NS 0
bastion.lab.example.com. IN A 0
END_MSG_CACHE
EOF

清除缓存

1
2
3
4
5
6
7
8
9
[root@servera ]# unbound-control flush_zone lab.example.com.
ok removed 5 rrsets, 4 messages and 0 key entries
[root@servera ]# unbound-control dump_cache
START_RRSET_CACHE
END_RRSET_CACHE
START_MSG_CACHE
END_MSG_CACHE
EOF
[root@servera ]#

缓存导出和导入

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
[root@servera ]# unbound-control load_cache < dns_dump
ok
[root@servera ]# unbound-control dump_cache
START_RRSET_CACHE
;rrset 457 1 0 3 3
bastion.lab.example.com.        457     IN      A       172.25.250.254
;rrset 86257 1 0 8 3
lab.example.com.        86257   IN      NS      bastion.lab.example.com.
END_RRSET_CACHE
START_MSG_CACHE
msg lab.example.com. IN NS 33152 1 457 3 1 0 1
lab.example.com. IN NS 0
bastion.lab.example.com. IN A 0
END_MSG_CACHE
EOF
[root@servera ]#

博文部分内容参考

文中涉及参考链接内容版权归原作者所有,如有侵权请告知

<RH358 授课课堂笔记>

© 2018-2023 liruilonger@gmail.com, All rights reserved. 保持署名-非商用-相同方式共享(CC BY-NC-SA 4.0)

DNS:使用 Unbound 配置 DNS 缓存服务器

https://liruilongs.github.io/2023/02/19/rhca/RH385/DNS:使用 Unbound 配置 DNS 缓存服务器/

发布于

2023-02-19

更新于

2023-07-29

许可协议

# 相关文章
  1.DNS:自动化配置 主/从/缓存 DNS服务器
  2.DNS:使用 bind9 配置主从权威名称服务器
  3.DNS:DNS问题故障排查
  4.DNS:关于 DNS 基本概念的一些笔记整理
# 推荐文章
  1.《Kubernetes权威指南:从Docker到Kubernetes实践全接触》读书笔记
  2.关于 Git 重写历史的一些笔记
  3.关于Git分支变基操作的一些笔记
  4.关于Git分支基础知识的一些笔记
  5.关于Git分支工作流的一些笔记
  6.关于Git分支高级合并的一些笔记整理

喜欢这篇文章?打赏一下作者吧

评论
关注我

链接

最新评论

加载中,最新评论有1分钟缓存...

最新文章

分类

归档

标签

Kubernetes97
Linux48
Ansible25
Python15
Ceph11
Docker9
JAVA8
华为云8
Git7
Go6
OpenShift6
BPF5
DNS5
OKD5
摄影曝光5
程序人生5
selenium4
容器4
摄影构图4
网络4
查看全部>>

订阅更新

Your browser is out-of-date!

Update your browser to view this website correctly.&npsb;Update my browser now

×

×