{toc}
h1. Когда нужна эта инструкция
Эта инструкция будет полезной, если вы решили сменить DNS-сервер с Bind/Named на Unbound или разворачиваете его с нуля.
Здесь описано как настроить DNS-сервер Unbound для работы в качестве рекурсивного DNS-сервера в связке с Carbon Reductor DPI X.
Для корректной работы связки серверу необходимо около 2 Гб оперативной памяти, при блокировке 185 000 доменов (1 Гб на сам сервер, 1 Гб на выполнение утилиты unbound-checkconf), и на DNS-сервере должен быть установлен rsync
h1. Конфигурация
Основной файл конфигурации:
{code}
/etc/unbound/unbound.conf
{code}
h2. remote-control
Опция должна быть включена для использования утилиты unbound-control.
Эта утилита позволяет управлять сервером, перечитывать конфигурацию и частично её менять без полного перезапуска.
По умолчанию управление сервером доступно только с самого сервера
{code}
control-interface: 127.0.0.1
{code}
В конфиге опции должны выглядеть следующим образом.
{code}
remote-control:
control-enable: yes
server-key-file: "/etc/unbound/unbound_server.key"
server-cert-file: "/etc/unbound/unbound_server.pem"
control-key-file: "/etc/unbound/unbound_control.key"
control-cert-file: "/etc/unbound/unbound_control.pem"
{code}
h2. access-control
Для работы интеграции с DNS-сервером, он должен поддерживать рекурсивные запросы.
В секции server должны быть перечислены IP адреса сетей с пометкой allow, которым разрешено присылать такие запросы.
В общем случае указание 0.0.0.0 для приёма в секции server.
Если вы беспокоитесь за безопасность - укажите все известные сети абонентов.
Пример:
{code}
server:
access-control: 0.0.0.0/0 allow
{code}
h2. interface
По умолчанию DNS-сервер принимает запросы только от самого себя.
Нужно указать в секции server опцию interface, в которой будет указан IP адрес DNS-сервера, на котором он будет доступен абонентам.
Этот IP адрес должен принадлежать одному из сетевых интерфейсов DNS-сервера. Можно указать 0.0.0.0.
{code}
server:
interface: 0.0.0.0
{code}
h1. Как тестировать
Пусть IP адрес DNS-сервера - 10.20.30.40.
Отправить с собственной машины запрос к DNS-серверу одной из команд:
{code}
dig ya.ru A @10.20.30.40
nslookup ya.ru 10.20.30.40
host ya.ru 10.20.30.40
{code}
h1. Когда нужна эта инструкция
Эта инструкция будет полезной, если вы решили сменить DNS-сервер с Bind/Named на Unbound или разворачиваете его с нуля.
Здесь описано как настроить DNS-сервер Unbound для работы в качестве рекурсивного DNS-сервера в связке с Carbon Reductor DPI X.
Для корректной работы связки серверу необходимо около 2 Гб оперативной памяти, при блокировке 185 000 доменов (1 Гб на сам сервер, 1 Гб на выполнение утилиты unbound-checkconf), и на DNS-сервере должен быть установлен rsync
h1. Конфигурация
Основной файл конфигурации:
{code}
/etc/unbound/unbound.conf
{code}
h2. remote-control
Опция должна быть включена для использования утилиты unbound-control.
Эта утилита позволяет управлять сервером, перечитывать конфигурацию и частично её менять без полного перезапуска.
По умолчанию управление сервером доступно только с самого сервера
{code}
control-interface: 127.0.0.1
{code}
В конфиге опции должны выглядеть следующим образом.
{code}
remote-control:
control-enable: yes
server-key-file: "/etc/unbound/unbound_server.key"
server-cert-file: "/etc/unbound/unbound_server.pem"
control-key-file: "/etc/unbound/unbound_control.key"
control-cert-file: "/etc/unbound/unbound_control.pem"
{code}
h2. access-control
Для работы интеграции с DNS-сервером, он должен поддерживать рекурсивные запросы.
В секции server должны быть перечислены IP адреса сетей с пометкой allow, которым разрешено присылать такие запросы.
В общем случае указание 0.0.0.0 для приёма в секции server.
Если вы беспокоитесь за безопасность - укажите все известные сети абонентов.
Пример:
{code}
server:
access-control: 0.0.0.0/0 allow
{code}
h2. interface
По умолчанию DNS-сервер принимает запросы только от самого себя.
Нужно указать в секции server опцию interface, в которой будет указан IP адрес DNS-сервера, на котором он будет доступен абонентам.
Этот IP адрес должен принадлежать одному из сетевых интерфейсов DNS-сервера. Можно указать 0.0.0.0.
{code}
server:
interface: 0.0.0.0
{code}
h1. Как тестировать
Пусть IP адрес DNS-сервера - 10.20.30.40.
Отправить с собственной машины запрос к DNS-серверу одной из команд:
{code}
dig ya.ru A @10.20.30.40
nslookup ya.ru 10.20.30.40
host ya.ru 10.20.30.40
{code}