Настройки DNS-сервера Unbound

Skip to end of metadata
Go to start of metadata

Когда нужна эта инструкция

Эта инструкция будет полезной если вы решили сменить DNS-сервер с Bind/Named на Unbound или разворачиваете его с нуля.

Здесь описано как настроить DNS-сервер Unbound для работы в качестве рекурсивного DNS-сервера в связке с Carbon Reductor DPI X.

Для корректной работы связки серверу необходимо около 2 Гб оперативной памяти, при блокировке 185 000 доменов (1 Гб на сам сервер, 1 Гб на выполнение утилиты unbound-checkconf).

Конфигурация

Основной файл конфигурации:

/etc/unbound/unbound.conf

remote-control

Опция должна быть включена для использования утилиты unbound-control.

Эта утилита позволяет управлять сервером, перечитывать конфигурацию и частично её менять без полного перезапуска.

По умолчанию управление сервером доступно только с самого сервера

control-interface: 127.0.0.1

В конфиге опции должны выглядеть следующим образом.

remote-control:
	control-enable: yes
	server-key-file: "/etc/unbound/unbound_server.key"
	server-cert-file: "/etc/unbound/unbound_server.pem"
	control-key-file: "/etc/unbound/unbound_control.key"
	control-cert-file: "/etc/unbound/unbound_control.pem"

access-control

Для работы интеграции с DNS-сервером, он должен поддерживать рекурсивные запросы.

В секции server должны быть перечислены IP адреса сетей с пометкой allow, которым разрешено присылать такие запросы.

В общем случае указание 0.0.0.0 для приёма в секции server.

Если вы беспокоитесь за безопасность - укажите все известные сети абонентов.

Пример:

server:
	access-control: 0.0.0.0/0 allow

interface

По умолчанию DNS-сервер принимает запросы только от самого себя.

Нужно указать в секции server опцию interface, в которой будет указан IP адрес DNS-сервера, на котором он будет доступен абонентам.

Этот IP адрес должен принадлежать одному из сетевых интерфейсов DNS-сервера. Можно указать 0.0.0.0.

server:
	interface: 0.0.0.0

Как тестировать

Пусть IP адрес DNS-сервера - 10.20.30.40.

Отправить с собственной машины запрос к DNS-серверу одной из команд:

dig ya.ru A @10.20.30.40
nslookup ya.ru 10.20.30.40
host ya.ru 10.20.30.40
Введите метки, чтобы добавить к этой странице:
Please wait 
Ищите метку? просто начните печатать.