unbound配置cache服务器

news2024/12/28 19:25:45

unbound

  • 安装unbound
  • 配置unbound
    • 生成DOT证书
    • 配置日志
    • 监听哪个IP
    • 允许哪些客户端查询
    • 配置转发
    • DNSSEC
      • 开启domain-insecure
      • 生成密钥
    • 检查配置
    • 查看缓存
    • 启动Unbound服务:
  • 结果验证
    • 方法1:
    • 方法2:
  • 排错方法

安装unbound

以下是将DNS over TLS(DoT)配置到RHEL 8中的步骤:

# 安装unbound 
yum install unbound -y

# 备份配置
cp /etc/unbound/unbound.conf{,.bak}

# cd到unbound配置目录
cd /etc/unbound/

# 过滤所有的注释和空行
grep -Ev "#|^$" /etc/unbound/unbound.conf

image.png


配置unbound

下方链接是以配置好的精简优化配置

# 下载配置
## -P 指定保存目录
wget -P /etc/unbound/ https://raw.githubusercontent.com/omaidb/qiaofei_notes/main/config_bak/unbound/unbound.conf

# 下载named.cache根缓存文件
wget -P /etc/unbound/ https://www.internic.net/domain/named.cache

# 修改配置文件属主和数组
chown unbound:unbound /etc/unbound/unbound.conf

# 修改根缓存文件属主和数组
chown unbound:unbound /etc/unbound/named.cache

生成DOT证书

# 生成DOT证书
openssl req -new -newkey rsa:2048 -days 365 -nodes -x509 \
-subj "/CN=NFSC" \
-keyout /etc/unbound/dot.key \
-out /etc/unbound/dot.pem

# 配置DOT证书属主和属组
chown -R root:unbound /etc/unbound/dot.*

配置日志

# 创建日志文件
touch /var/log/unbound.log

# 修改文件属主属组
chown unbound:unbound /var/log/unbound.log

监听哪个IP

如果要监听0.0.0.0interface-automatic(自动选择网路接口)这个值要设置为yes
image.png


允许哪些客户端查询

unbound拒绝递归查询,除了localhost
allow允许查询的网段
refuse拒绝查询的网段
deny不响应
image.png


配置转发

name: "." 表示匹配所有,都进行转发
image.png

# 将hk域转发到指定DNS解析
# 转发cn域名
forward-zone:
	name: "hk."
	forward-addr: 114.114.114.114
	forward-addr: 223.5.5.5

DNSSEC

DNSSEC(Domain Name System Security Extensions)是一种用于增强 DNS 安全性的扩展协议。它通过数字签名的方式对 DNS 数据进行验证,从而防止 DNS 缓存污染和 DNS 欺骗攻击等安全问题。

DNSSEC 通过向 DNS 记录中添加数字签名来实现验证。数字签名包含了 DNS 记录的完整性信息,如果 DNS 记录被篡改,数字签名就会失效,从而使得 DNS 查询结果无效。


开启domain-insecure

如果某网站没有使用DNSSEC,那么客户端将不能收到解析的IP地址,而造成无法访问。
那就需要domain-insecure为该域名创建安全例外规则

# 为baidu.com创建DNSSEC例外规则
domain-insecure: baidu.com

image.png


生成密钥

生成.key

# 生成.key
unbound-control-setup

image.png


检查配置

# 检查配置文件是否有误
unbound-checkconf

image.png


查看缓存

image.png

# 先使用客户端ping一下google
ping google.com

# 然后从缓存中过滤google
unbound-control dump_cache |grep google.com

启动Unbound服务:

# 开机自启
systemctl enable --now unbound

# 修改完配置后重新加载配置文件
systemctl reload unbound

请注意,一些防火墙或网络配置可能会阻止DoT解析器端口(通常为853)上的出站流量,因此您可能需要配置防火墙或网络设置以允许此流量。


结果验证

使用带有+dnssec+short选项的dig命令验证Unbound解析,例如:

# +dnssec: 启用 DNSSEC 功能,表示查询结果需要进行数字签名验证
# +short: 显示查询结果中的简洁信息,只显示域名和 IP 地址
dig +dnssec +short google.com 

如果输出显示来自DoT解析器的响应,则Unbound成功地使用了DoT解析器。


方法1:

使用dig验证DNSSEC

# 检查本地DNS是否支持DNSSEC
dig SOA com. @127.0.0.1

如果flags带有ad,就是支持DNSSEC
image.png


方法2:

在线访问 http://dnssec-or-not.com/ ,用来在线检查是否支持DNSSEC
image.png


排错方法

# 查看错误日志
tail -f /var/log/unbound.log

在这里插入图片描述

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/649015.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

一文吃透Spring集成MyBatis

个人主页: 几分醉意的CSDN博客_传送门 文章目录 💖集成思路✨怎么使用MyBatis✨集成的步骤✨pom加入依赖✨创建MyBatis使用代码✨创建Service类✨创建Spring配置文件和测试集成MyBatis✨使用外部属性配置文件 💖图书推荐 Java28岁了&#xff…

CRC校验(2):CRC32查表法详解、代码实现和CRC反转

对于现在的CPU来说,基本上都在硬件上实现了CRC校验。但我们还是想用软件来实现一下CRC的代码,这样可以更深入地理解里面的原理。所以这一节就来详细地解释如何使用查表法从软件上来实现CRC-32的校验。另外,CRC还有一种反转的情况,…

SpringCloud Ribbon负载均衡(十一)

前面搭建了初步例子,但是还没实现真正负载均衡,我们这里要先搞三个服务提供者集群,然后才能演示负载均衡,以及负载均衡策略; 新建项目microservice-student-provider-1002,microservice-student-provider-…

行星减速机优势有哪些?行星减速机五大优势

减速机是动力传动解决方案,通过选择高质量和高效率的变速箱,绝对可以提高整个动力传动系统的效率和性能。行星减速机有哪些优势呢? 1.保证灵活可靠的动力传动系统 减速机提供了广泛的功率和比率,使其成为许多行业的大多数应用的完…

代码随想录2刷|链表1.链表理论基础2移除链表元素3.设计链表4.翻转链表5.两两交换链表中的节点6.删除链表的倒数第N个节点7.链表相交8.环形链表lI

2移除链表元素 链接:力扣 一刷: /*** Definition for singly-linked list.* struct ListNode {* int val;* ListNode *next;* ListNode() : val(0), next(nullptr) {}* ListNode(int x) : val(x), next(nullptr) {}* ListNode(int x…

Vue中如何进行地理位置搜索与地点选择

Vue中如何进行地理位置搜索与地点选择 随着移动互联网和定位技术的普及,地理位置搜索和地点选择成为了很多应用程序中必不可少的功能。在Vue中,我们可以使用一些开源的地图API和第三方组件来实现这些功能。本文将介绍如何在Vue中进行地理位置搜索和地点…

【北邮国院大三下】Logistics and Supply Chain Management 物流与供应链管理 Week3

北邮国院大三电商在读,随课程进行整理知识点。仅整理PPT中相对重要的知识点,内容驳杂并不做期末突击复习用。个人认为相对不重要的细小的知识点不列在其中。如有错误请指出。转载请注明出处,祝您学习愉快。 如需要pdf格式的文件请私信联系或…

gradlew test 失败

前言 在idea内执行./gradlew test,发现如下报错: Could not initialize class org.codehaus.groovy.runtime.InvokerHelper 分析 google了一堆,说要用groovy,可是我没有用groovy,以前也是正常启动的。后来无意发现&a…

游戏玩家的新大陆?小红书游戏内容场景洞察

2023年,如果你问年轻人他们在哪里讨论游戏?他们可能会提到一些平台,比如Steam、TapTap、B站、微博或者论坛。但是如果你向身边的女孩子询问,她们可能会惊喜地告诉你:小红书。 小红书平台一直给人的标签是是“美妆、旅…

UWB高精度实时定位系统源码(springboot+vue)

一、系统概况 UWB(Ultra-wideband)技术是一种无线载波通讯技术,它不采用正弦载波,而是利用纳秒级的非正弦波窄脉冲传输数据,因此其所占的频谱范围很宽。自主研发,最高定位精度可达10cm,具有高精…

数据库架构是否该随着公司估值一起变化?

原文|The growing pains of database architecture 作者|Tim Liang, Software Engineer at Figma 2020 年,因为 Figma 不断加入新功能,筹备第二条产品线和用户不断增长导致数据库流量每年以 3x 速度增长,我们的基础设…

将数组中指定位置的元素替换为指定值np.put()

【小白从小学Python、C、Java】 【计算机等考500强证书考研】 【Python-数据分析】 将数组中指定位置的元素替换为指定值 np.put() 选择题 下列说法错误的是? import numpy as np a np.array([1, 2, 3]) print("【显示】a ", a) print("【执行】np.put(arr…

Spring Boot进阶(47):Spring Boot之集成Cache缓存 | 超级详细,建议收藏

1. 前言 今天,我们来聊聊缓存这个话题。身为开发者肯定都知道,程序的瓶颈绝大体现在于数据库方面,而内存读取远远快于硬盘,当并发上升到一定高度,一次又一次的重复请求数据导致大量时间耗费在数据库查询上,…

win10搭建hmailserver邮件服务器(hmailserver+phpstudy+roundcube)

环境安装:Mysqlhmailserverphpstudyroundcube 一、Mysql安装 官网下载链接:https://www.mysql.com/ zip安装包下载链接:https://dev.mysql.com/downloads/mysql/ 1、zip安装包安装 (1)下载合适版本的mysql zip包&…

LeetCode------ 相交链表

前言 &#x1f388;个人主页:&#x1f388; :✨✨✨初阶牛✨✨✨ &#x1f43b;推荐专栏: &#x1f354;&#x1f35f;&#x1f32f;C语言进阶 &#x1f511;个人信条: &#x1f335;知行合一 &#x1f349;栏目介绍:<<刷题集>>用于记录,力扣,牛客等刷题网站上的刷…

EasyExcel 批量导出

文章目录 前言一、EasyExcel 导出封装二、食用步骤1.自定义excel样式2.导出数据 三、复杂excel导出3.1. 自定义复杂表头2. 多sheet 前言 上篇写了数据导入&#xff0c;本文补充一下EasyExcel 批量导出 包括常规excel和复杂excel 一、EasyExcel 导出封装 import com.alibaba.…

手把手教你如何解开安装UKUI的黑屏故障

手把手教你如何解开安装UKUI的黑屏故障 引子 作为一个不折腾不舒服斯基的Linuxer&#xff0c;我又开始安装配置开放欧拉操作系统了。这是国产自主安全可控的Linux发行版。欧拉发行版Linux的发起者就是干正经事的华为&#xff0c;比其它拉大旗扯虎皮的国产Linux低调务实多了。…

远程控制之原理和实战

按理来说&#xff0c;本人不该发表此类专业文章&#xff0c;鄙人零星碎片化的开发经历&#xff0c;让本人斗胆向诸位网友&#xff0c;在远控方面做一点演示说明&#xff0c;谈论一点自己的认识。 程序工程代码地址&#xff1a;点击此处下载。 程序分为两个部分&#xff0c;控…

(三)Kafka 生产者

文章目录 1. Kafka 发送消息的主要步骤2.创建 Kafka 生产者3.发送消息到 Kafka&#xff08;1&#xff09;发送并忘记&#xff08;2&#xff09;同步发送&#xff08;3&#xff09;异步发送 4.生产者配置&#xff08;1&#xff09;client.id&#xff08;2&#xff09;ack&#x…

查看P端日志操作步骤

1.登录PUTTY,这里以联调环境103.160.139.82为例。 2.登录&#xff0c;查看用户名&#xff1a;hxb或zzkpt,密码&#xff1a;用户名01动态口令。 例如hxb, sunmenglei01888888 3.进入P端日志存放目录&#xff0c; cd /home/zzkpt/logs/bcip 4.比如我要查看2023年5月5日&#xf…