unbound
- 安装unbound
- 配置unbound
- 生成DOT证书
- 配置日志
- 监听哪个IP
- 允许哪些客户端查询
- 配置转发
- DNSSEC
- 开启domain-insecure
- 生成密钥
- 检查配置
- 查看缓存
- 启动Unbound服务:
- 结果验证
- 方法1:
- 方法2:
- 排错方法
安装unbound
以下是将DNS over TLS(DoT)配置到RHEL 8中的步骤:
# 安装unbound
yum install unbound -y
# 备份配置
cp /etc/unbound/unbound.conf{,.bak}
# cd到unbound配置目录
cd /etc/unbound/
# 过滤所有的注释和空行
grep -Ev "#|^$" /etc/unbound/unbound.conf
配置unbound
下方链接是以配置好的精简优化配置
# 下载配置
## -P 指定保存目录
wget -P /etc/unbound/ https://raw.githubusercontent.com/omaidb/qiaofei_notes/main/config_bak/unbound/unbound.conf
# 下载named.cache根缓存文件
wget -P /etc/unbound/ https://www.internic.net/domain/named.cache
# 修改配置文件属主和数组
chown unbound:unbound /etc/unbound/unbound.conf
# 修改根缓存文件属主和数组
chown unbound:unbound /etc/unbound/named.cache
生成DOT证书
# 生成DOT证书
openssl req -new -newkey rsa:2048 -days 365 -nodes -x509 \
-subj "/CN=NFSC" \
-keyout /etc/unbound/dot.key \
-out /etc/unbound/dot.pem
# 配置DOT证书属主和属组
chown -R root:unbound /etc/unbound/dot.*
配置日志
# 创建日志文件
touch /var/log/unbound.log
# 修改文件属主属组
chown unbound:unbound /var/log/unbound.log
监听哪个IP
如果要监听0.0.0.0,interface-automatic(自动选择网路接口)这个值要设置为yes 
允许哪些客户端查询
unbound拒绝递归查询,除了localhostallow是允许查询的网段refuse是拒绝查询的网段deny是不响应
配置转发
name: "." 表示匹配所有,都进行转发
# 将hk域转发到指定DNS解析
# 转发cn域名
forward-zone:
name: "hk."
forward-addr: 114.114.114.114
forward-addr: 223.5.5.5
DNSSEC
DNSSEC(Domain Name System Security Extensions)是一种用于增强 DNS 安全性的扩展协议。它通过数字签名的方式对 DNS 数据进行验证,从而防止 DNS 缓存污染和 DNS 欺骗攻击等安全问题。
DNSSEC 通过向 DNS 记录中添加数字签名来实现验证。数字签名包含了 DNS 记录的完整性信息,如果 DNS 记录被篡改,数字签名就会失效,从而使得 DNS 查询结果无效。
开启domain-insecure
如果某网站没有使用DNSSEC,那么客户端将不能收到解析的IP地址,而造成无法访问。
那就需要domain-insecure为该域名创建安全例外规则
# 为baidu.com创建DNSSEC例外规则
domain-insecure: baidu.com
生成密钥
生成.key
# 生成.key
unbound-control-setup
检查配置
# 检查配置文件是否有误
unbound-checkconf
查看缓存
# 先使用客户端ping一下google
ping google.com
# 然后从缓存中过滤google
unbound-control dump_cache |grep google.com
启动Unbound服务:
# 开机自启
systemctl enable --now unbound
# 修改完配置后重新加载配置文件
systemctl reload unbound
请注意,一些防火墙或网络配置可能会阻止DoT解析器端口(通常为853)上的出站流量,因此您可能需要配置防火墙或网络设置以允许此流量。
结果验证
使用带有+dnssec和+short选项的dig命令验证Unbound解析,例如:
# +dnssec: 启用 DNSSEC 功能,表示查询结果需要进行数字签名验证
# +short: 显示查询结果中的简洁信息,只显示域名和 IP 地址
dig +dnssec +short google.com
如果输出显示来自DoT解析器的响应,则Unbound成功地使用了DoT解析器。
方法1:
使用dig验证DNSSEC
# 检查本地DNS是否支持DNSSEC
dig SOA com. @127.0.0.1
如果flags带有ad,就是支持DNSSEC
方法2:
在线访问 http://dnssec-or-not.com/ ,用来在线检查是否支持DNSSEC
排错方法
# 查看错误日志
tail -f /var/log/unbound.log
