A „Cache Only DNS Server” telepítése és konfigurálása „Unbound” beállítással az RHEL/CentOS 7 rendszerben
A névszerverek gyorsítótárazása a „Unbound” használatával (egy érvényesítő, rekurzív és gyorsítótárazó DNS-kiszolgáló szoftver ), még az RHEL/CentOS 6.x-ben (ahol az x a verziószám), a bind-et használtuk szoftver a DNS-kiszolgálók konfigurálásához.
Ebben a cikkben „unbound” gyorsítótárazó szoftvert fogunk használni a DNS-kiszolgáló telepítéséhez és konfigurálásához RHEL/CentOS 7 rendszerekben.
A DNS-gyorsítótár-kiszolgálók az általuk kapott DNS-lekérdezések megoldására szolgálnak. Ha a szerver gyorsítótárazza a lekérdezést, és a jövőben ugyanazok a lekérdezések, amelyeket bármely kliens kér, a kérés a DNS „unbound” gyorsítótárából érkezik, ez ezredmásodpercek alatt megtehető, mint az első feloldáskor.
A gyorsítótárazás csak ügynökként működik, hogy megoldja a továbbítók bármelyikének ügyfélkérdését. A gyorsítótár-kiszolgáló használata csökkenti a weboldalak betöltési idejét azáltal, hogy a cache adatbázist kötetlen szerveren tartja.
Saját szerver és kliens beállítása
Bemutató célból két rendszert fogok használni. Az első rendszer fő (elsődleges) DNS-szerverként, a második rendszer pedig helyi DNS-kliensként fog működni..
Master DNS Server
Operating System : CentOS Linux release 7.0.1406 (Core)
IP Address : 192.168.0.50
Host-name : ns.tecmintlocal.com
Kliens gép
Operating System : CentOS 6
IP Address : 192.168.0.100
Host-name : client.tecmintlocal.com
1. lépés: Ellenőrizze a rendszer gazdagépnevét és IP-címét
1. A gyorsítótárazó DNS-kiszolgáló beállítása előtt győződjön meg arról, hogy a megfelelő gazdagépnevet és statikus IP-címet adta meg a rendszerhez, ha nem állította be a rendszer statikus IP-címét.
2. A megfelelő gazdagépnév és statikus IP-cím beállítása után a következő parancsok segítségével ellenőrizheti őket.
hostnamectl
ip addr show | grep inet
2. lépés: Telepítés és konfigurálás Kötetlen
3. Az „Unbound” csomag telepítése előtt frissítenünk kell rendszerünket a legújabb verzióra, ezt követően telepíthetjük a kötetlen csomagot.
yum update -y
yum install unbound -y
4. A csomag telepítése után készítsen másolatot a kötetlen konfigurációs fájlról, mielőtt bármilyen módosítást végezne az eredeti fájlon.
cp /etc/unbound/unbound.conf /etc/unbound/unbound.conf.original
5. Ezután bármelyik kedvenc szövegszerkesztővel nyissa meg és szerkessze az „unbound.conf” konfigurációs fájlt.
vim /etc/unbound/unbound.conf
Miután megnyitotta a fájlt szerkesztésre, hajtsa végre a következő módosításokat:
Interfészek
Keresse meg az Interfész kifejezést, és engedélyezze a használni kívánt felületet, vagy ha a szerverünknek több interfésze van, engedélyeznünk kell a interfész 0.0.0.0-t.
Itt Szerverünk IP-címe 192.168.0.50 volt, tehát ezen a felületen kötetlent fogok használni.
Interface 192.168.0.50
IPv4 és protokolltámogatás engedélyezése
Keresse meg a következő karakterláncot, és írja be az „Igen” értéket.
do-ip4: yes
do-udp: yes
do-tcp: yes
Engedélyezze a naplózást
A napló engedélyezéséhez adja hozzá a változót az alábbiak szerint, ez minden kötetlen tevékenységet naplóz.
logfile: /var/log/unbound
Az azonosító és a verzió elrejtése
Engedélyezze a következő paramétert az id.server és a hostname.bind lekérdezések elrejtéséhez.
hide-identity: yes
Engedélyezze a következő paramétert a version.server és version.bind lekérdezések elrejtéséhez.
hide-version: yes
Hozzáférés-szabályozás
Ezután keresse meg az access-control kifejezést az engedélyezéshez. Ez lehetővé teszi, hogy mely ügyfelek kérdezzenek le erről a kötetlen szerverről.
Itt 0.0.0.0-t használtam, ami azt jelenti, hogy bárki küldjön lekérdezést erre a szerverre. Ha meg kell utasítanunk a lekérdezést a hálózat bizonyos tartományaiban, akkor meghatározhatjuk, hogy melyik hálózatot kell visszautasítani a kötetlen lekérdezésektől.
access-control: 0.0.0.0/0 allow
Megjegyzés: Az engedélyezés helyett lecserélhetjük az allow_snoop-ra, ami lehetővé tesz néhány további paramétert, például a dig és támogatja mind a rekurzív, mind a nem rekurzív.
A domain nem biztonságos
Ezután keressen a domain-insecure kifejezésre. Ha tartományunk DNS sec-kulcsokkal működik, meg kell határoznunk, hogy a szerverünk elérhető legyen a domain-insecure számára. Itt a domainünket nem biztonságosként kezeljük.
domain-insecure: "tecmintlocal.com
Előre zónák
Ezután módosítsa a kért lekérdezés továbbítóit, amelyeket ez a szerver nem teljesített, a rendszer a gyökértartományba (. ) továbbítja, és megoldja a lekérdezést.
forward-zone:
name: "."
forward-addr: 8.8.8.8
forward-addr: 8.8.4.4
Végül mentse el, és lépjen ki a konfigurációs fájlból a wq! segítségével.
6. A fenti konfiguráció elvégzése után a következő paranccsal ellenőrizze, hogy az unbound.conf fájl nem tartalmaz-e hibákat.
unbound-checkconf /etc/unbound/unbound.conf
7. A fájlok hibamentes ellenőrzése után biztonságosan újraindíthatja a „kötetlen” szolgáltatást, és engedélyezheti a rendszer indításakor.
systemctl start unbound.service
sudo systemctl enable unbound.service
3. lépés: Tesztelje a DNS-gyorsítótárat helyileg
8. Most itt az ideje, hogy ellenőrizze DNS-gyorsítótárunkat egy „india.com” domain „fúrásával” (lekérdezésével). Először a 'drill' parancs eredménye az 'india.com' domainhez néhány ezredmásodpercet vesz igénybe, majd végezzen egy második gyakorlatot, és legyen megjegyzés a lekérdezési időről mindkét gyakorlathoz szükséges.
drill india.com @192.168.0.50
Láttad a fenti kimenetben, hogy az első lekérdezés feloldása csaknem 262 msec alatt, a második lekérdezésnél pedig 0 msec idő szükséges a domain feloldásához (india.com b>).
Ez azt jelenti, hogy az első lekérdezés a DNS-gyorsítótárunkban kerül gyorsítótárba, így amikor másodszor futtatjuk a „drill”-t, amikor a lekérdezést a helyi DNS-gyorsítótárból szolgáljuk ki, így javíthatjuk a webhelyek betöltési sebességét.
4. lépés: Öblítse ki az Iptables alkalmazást, és adja hozzá a tűzfalszabályokat
9. Nem használhatjuk egyszerre az iptablet és a firewall-t ugyanazon a gépen, ha mindkettő ütközik egymással, így az ipables szabályok eltávolítása jó ötlet lesz. Az iptables eltávolításához vagy kiürítéséhez használja a következő parancsot.
iptables -F
10. Az iptables szabályok végleges eltávolítása után most véglegesen adja hozzá a DNS-szolgáltatást a tűzfal listához.
firewall-cmd --add-service=dns
firewall-cmd --add-service=dns --permanent
11. A DNS-szolgáltatási szabályok hozzáadása után sorolja fel a szabályokat, és erősítse meg.
firewall-cmd --list-all
5. lépés: Kezelés és hibaelhárítás Kötelezettség nélkül
12. A szerver aktuális állapotának megtekintéséhez használja a következő parancsot.
unbound-control status
DNS-gyorsítótár kiíratása
13. Ha azt szeretné, hogy a DNS-gyorsítótár információi kiírathatók legyenek egy szöveges fájlban, az alábbi paranccsal átirányíthatja azt valamelyik fájlba a későbbi használatra.
# unbound-control dump_cache > /tmp/DNS_cache.txt
14. A gyorsítótár visszaállításához vagy importálásához a kiírt fájlból a következő parancsot használhatja.
unbound-control dump_cache < /tmp/DNS_cache.txt
DNS-rekordok öblítése
15. Az alábbi paranccsal ellenőrizheti, hogy a továbbítóink megoldották-e az adott címet a kötetlen gyorsítótár-kiszolgálón.
unbound-control lookup google.com
16. Néha, ha DNS-gyorsítótár-szerverünk nem válaszol a lekérdezésünkre, időközben a gyorsítótár kiürítésével eltávolíthatjuk az olyan információkat, mint az A, AAA , NS, SO, CNAME, MX, PTR stb. .. rekordok a DNS-gyorsítótárból. Az összes információt eltávolíthatjuk a flush_zone használatával, ezzel eltávolítunk minden információt.
unbound-control flush linux-console.net
unbound-control flush_zone tecmintlocal.com
17. Annak ellenőrzése, hogy jelenleg mely továbbítások vannak a megoldáshoz használt.
unbound-control list_forwards
6. lépés: Kliensoldali DNS-konfiguráció
18. Itt egy CentOS 6 szervert használtam kliensgépként, ennek a gépnek az IP-címe 192.168.0.100 és megyek a kötetlen DNS-kiszolgáló IP-címének (azaz Elsődleges DNS-nek) használatához az interfész konfigurációjában.
Jelentkezzen be az ügyfélgépre, és állítsa be az Elsődleges DNS-kiszolgáló IP-címét a kötetlen szerverünk IP-címére.
Futtassa a setup parancsot, és válassza ki a hálózati konfigurációt a TUI hálózatkezelőből.
Ezután válassza a DNS konfigurációt, és adja meg a nem kötött DNS-kiszolgáló IP-címét Elsődleges DNSként, de itt az Elsődleges és a Másodlagos< beállítást is használtam., mert nincs más DNS-kiszolgálóm.
Primary DNS : 192.168.0.50
Secondary DNS : 192.168.0.50
Kattintson az OK –> Mentés&Kilépés –> Kilépés lehetőségre.
19. Az elsődleges és másodlagos DNS IP-címek hozzáadása után itt az ideje újraindítani a hálózatot a következő paranccsal.
/etc/init.d/network restart
20. Itt az ideje, hogy elérje bármelyik webhelyet az ügyfélgépről, és ellenőrizze a gyorsítótárat a kötetlen DNS-kiszolgálón.
elinks aol.com
dig aol.com
Következtetés
Korábban a DNS-gyorsítótár-kiszolgáló beállításához használtunk bind csomagot RHEL és CentOS rendszerekben. Most már láttuk, hogyan kell beállítani egy DNS-gyorsítótár-kiszolgálót kötetlen csomag használatával. Remélhetőleg ez gyorsabban megoldja a lekérdezési kérelmét, mint a kötési csomag.