Configuración de servidor DNS solo para caché no unido en RHEL 7 Linux

Configuración de servidor DNS solo para caché no unido en RHEL 7 Linux

Introducción

Unbound es un servidor DNS de validación, recursivo y almacenado en caché. Dicho esto, el servidor DNS no unido no se puede utilizar como un servidor DNS autorizado, lo que significa que no se puede usar para alojar registros de nombres de dominio personalizados. Como resultado, si su objetivo es construir un servidor DNS de solo caché o reenviar, Unbound puede ser su opción preferida, ya que hace exactamente eso y lo hace bien.

Objetivo

El objetivo es proporcionar una guía de instalación y configuración rápida y fácil de seguir para el servidor DNS de solo caché no unido en Redhat 7 Linux. Al final de esta guía, podrá utilizar el servidor DNS Unbound de todos los clientes en la red de su área local.

Requisitos

Acceso privilegiado a su servidor Redhat 7 Linux con repositorios estándar de redhat estándar configurados.

Dificultad

MEDIO

Convenciones

  • # - requiere que los comandos de Linux dados se ejecuten con privilegios raíz directamente como un usuario raíz o mediante el uso de sudo dominio
  • ps - Requiere que los comandos de Linux dados se ejecuten como un usuario regular no privilegiado

Instrucciones

Instalación de herramientas de DNS y DNS

En el primer paso, vamos a instalar el servidor DNS no unido real, así como las herramientas DNS que eventualmente se utilizarán para probar la configuración de su servidor solo para caché DNS. Dado que tiene configurado su repositorio RedHat correctamente, puede instalar tanto ejecutando el siguiente comando Linux:

# yum instala los usos de enlace no unidos 


Configuración básica no unida

Ahora, vamos a realizar una configuración básica del servidor solo en caché de DNS Unbound DNS. Esto se hará editando el archivo de configuración de Uncound /etc/no uno.confusión ya sea usando el editor de texto o usando un siguiente sed comandos. Primero, use su editor de texto preferido para localizar la línea # Interfaz: 0.0.0.0 y desenchufarlo eliminando el líder # firmar. Alternativamente, use el siguiente sed dominio:

# sed -i '/interfaz: 0.0.0.0 $/s/#// '/etc/unbound/unbound.confusión 

La configuración anterior instruirá al servidor DNS Unbound que escuche en todas las interfaces de red locales. A continuación, permita que sus clientes LAN consulten el caché de Unbound. Localice la línea relevante Cambiar la dirección IP de bucle de bucle predeterminada 127.0.0.0/8 a la dirección de Netowork de su LAN, por ejemplo,. 10.0.0.24/04:

Desde: Control de acceso: 127.0.0.0/8 Permitir el control de acceso: 10.0.0.0/24 Permitir 

Lo anterior también se puede hacer por sed dominio:

# Sed -i 'S/127.0.0.0 \/8 Permitir/10.0.0.0 \/24 Permitir/'/etc/Unbound/Unbound.confusión 

Configuración de soporte DNSSEC

A continuación, instruimos que el servidor DNS Unbound genere claves RSA para proporcionar soporte DNSSEC:

# Configuración de control de control unbound en directorio /etc /Unbound Generating Unbound_Server.Clave de generación de la tecla privada RSA, módulo de 1536 bits largo ... +++++ ... +++++ E IS 65537 (0x10001) Generación de unrand_control.Clave de generación de la tecla privada RSA, módulo de 1536 bits largo ... +++++ ... +++++ E IS 65537 (0x10001) Crear Unbound_Server.PEM (certificado autoestimado) Crear unbound_control.PEM (Certificado de cliente firmado) Firma OK Sujeto =/CN = Control Uncontrol Obtención CA Clave privada Clave éxito. Certificados creados. Habilitar en Unbound.Archivo confirmación para usar 

Todo lo que queda es verificar la configuración de Unbound:

# Unbound-CheckConf Unbound-CheckConf: no hay errores en/etc/no unidos.confusión 


Habilitar e iniciar un servidor no unido

En esta etapa, habilitaremos el servidor DNS Unkono que comience en el horario de arranque:

# SystemCTL Habilitar un enlace simbólico creado por Unbound de/etc/systemd/system/múltiple user.objetivo.deseos/desaconsejados.servicio a/usr/lib/systemd/system/unbound.servicio. 

e iniciar el servicio real:

# Servicio Unbound comienza a redirigir a /bin /systemctl start Unbound.servicio 

Asegúrese de que el servidor DNS no unido se esté ejecutando verificando su estado:

[root@localhost unbound]# Servicio Redirección de estado no unido a /bin /systemctl status unbound.Servicio ● Unbound.Servicio - servidor de nombres de dominio recursivo no unido cargado: cargado (/usr/lib/systemd/system/unbound.servicio; activado; Vendor Preset: Discapaced) Activo: Activo (Running) desde el miércoles 2016-12-07 10:32:58 AEDT; Proceso de hace 6s: 2355 ExecStartPre =/usr/sbin/Unbound -anchor -a/var/lib/unbound/root.clave -c/etc/unbound/icannbundle.PEM (CODE = EXITADO, STATUS = 0/Success) Proceso: 2353 ExecstartPre =/usr/sbin/no unbound-checkconf (código = exitado, status = 0/éxito) PID principal: 2357 (Unbound) CGroup:/System.rebanar.Servicio └─2357/usr/sbin/unbound -d -d 07 10:32:57 Localhost.Localdomain Systemd [1]: Iniciar servidor de nombres de dominio recursivo no unido ... Dic 07 10:32:57 Localhost.Localdomain Unbound-CheckConf [2353]: Unbound-CheckConf: no hay errores en/etc/unbound/unbound.Conf 07 10:32:58 Localhost.Localdomain Systemd [1]: Servidor de nombres de dominio recursivo no unido no unido. Dic 07 10:32:58 Localhost.Localdomain Unbound [2357]: diciembre 07 10:32:58 Unbound [2357: 0] ADVERTENCIA: Límite aumentado (archivos abiertos) de 1024 a 8266 Dic 07 10:32:58 Localhost.Localdomain Unbound [2357]: [2357: 0] Aviso: Módulo de inicio 0: Validador 07 10:32:58 Localhost.Localdomain Unbound [2357]: [2357: 0] Aviso: Módulo de inicio 1: iterador 07 10:32:58 Localhost.Localdomain Unbound [2357]: [2357: 0] Información: Inicio del servicio (Unbound 1.4.20). 

Puerto de firewall DNS abierto

Para permitir que sus clientes LAN locales se conecten a su nuevo servidor DNS de caché no unido, deberá abrir un puerto DNS:

# firewall-cmd --Permanent --Add-Service DNS Success # Firewall-CMD-Re-Reload Success 

Todo hecho, ahora estamos listos para probar.



Pruebas

Finalmente, hemos llegado a un punto en el que podemos realizar algunas pruebas básicas de nuestro nuevo servidor de caché DNS unbound DNS. Para esto usamos excavar comando que una parte de la instalación previamente utils Paquete para realizar algunas consultas DNS. Primero, ejecute la consulta DNS en el servidor DNS real:

# Dig @Localhost Ejemplo.com; <> Cavar 9.9.4-REDHAT-9.9.4-37.EL7 <> @localhost Ejemplo.com; (2 servidores encontrados) ;; Opciones globales: +cmd ;; Tengo respuesta: ;; ->> encabezado<<- opcode: QUERY, status: NOERROR, id: 53485 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;example.com. IN A ;; ANSWER SECTION: example.com. 86400 IN A 93.184.216.34 ;; Query time: 817 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Wed Dec 07 10:40:46 AEDT 2016 ;; MSG SIZE rcvd: 56 

Tenga en cuenta que el tiempo de consulta es más que 817 ms. Dado que hemos configurado el servidor DNS solo para caché, esta consulta ahora se almacena en caché, por lo que cualquier resolución de resolución de consulta de DNS posterior de ese mismo nombre de dominio somos más bien instantáneos:

# Dig @LocalHost Ejemplo.com; <> Cavar 9.9.4-REDHAT-9.9.4-37.EL7 <> @localhost Ejemplo.com; (2 servidores encontrados) ;; Opciones globales: +cmd ;; Tengo respuesta: ;; ->> encabezado<<- opcode: QUERY, status: NOERROR, id: 34443 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;example.com. IN A ;; ANSWER SECTION: example.com. 86272 IN A 93.184.216.34 ;; Query time: 0 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Wed Dec 07 10:42:54 AEDT 2016 ;; MSG SIZE rcvd: 56 

Por último, ahora puede probar la configuración de Ubound DNS Server de sus clientes LAN locales señalándoles a la dirección IP de Unbound, por ejemplo,. 10.1.1.45:

$ Dig @10.1.1.45 Ejemplo.com; <> Cavar 9.9.5-9+DEB8U6-DEBIAN <> @10.1.1.45 Ejemplo.com; (1 servidor encontrado) ;; Opciones globales: +cmd ;; Tengo respuesta: ;; ->> encabezado<<- opcode: QUERY, status: REFUSED, id: 50494 ;; flags: qr rd ad; QUERY: 0, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; Query time: 0 msec ;; SERVER: 10.1.1.45#53(10.1.1.45) ;; WHEN: Wed Dec 07 10:45:43 AEDT 2016 ;; MSG SIZE rcvd: 12 

Tutoriales de Linux relacionados:

  • Cosas para instalar en Ubuntu 20.04
  • Una introducción a la automatización, herramientas y técnicas de Linux
  • Cosas que hacer después de instalar Ubuntu 20.04 fossa focal Linux
  • Mint 20: Mejor que Ubuntu y Microsoft Windows?
  • Mastering Bash Script Loops
  • Archivos de configuración de Linux: los 30 principales más importantes
  • Descarga de Linux
  • Cómo configurar un servidor OpenVPN en Ubuntu 20.04
  • Manejo de la entrada del usuario en scripts bash
  • Cómo arrancar dual Kali Linux y Windows 10