Weboldal keresés

A „Cache Only DNS Server” telepítése és konfigurálása „Unbound” beállítással az RHEL/CentOS 7 rendszerben

A névszerverek gyorsítótárazása a „Unbound” használatával (egy érvényesítő, rekurzív és gyorsítótárazó DNS-kiszolgáló szoftver ), még az RHEL/CentOS 6.x-ben (ahol az x a verziószám), a bind-et használtuk szoftver a DNS-kiszolgálók konfigurálásához.

Ebben a cikkben „unbound” gyorsítótárazó szoftvert fogunk használni a DNS-kiszolgáló telepítéséhez és konfigurálásához RHEL/CentOS 7 rendszerekben.

A DNS-gyorsítótár-kiszolgálók az általuk kapott DNS-lekérdezések megoldására szolgálnak. Ha a szerver gyorsítótárazza a lekérdezést, és a jövőben ugyanazok a lekérdezések, amelyeket bármely kliens kér, a kérés a DNS „unbound” gyorsítótárából érkezik, ez ezredmásodpercek alatt megtehető, mint az első feloldáskor.

A gyorsítótárazás csak ügynökként működik, hogy megoldja a továbbítók bármelyikének ügyfélkérdését. A gyorsítótár-kiszolgáló használata csökkenti a weboldalak betöltési idejét azáltal, hogy a cache adatbázist kötetlen szerveren tartja.

Saját szerver és kliens beállítása

Bemutató célból két rendszert fogok használni. Az első rendszer (elsődleges) DNS-szerverként, a második rendszer pedig helyi DNS-kliensként fog működni..

Master DNS Server
Operating System   :    CentOS Linux release 7.0.1406 (Core)
IP Address	   :	192.168.0.50
Host-name	   :	ns.tecmintlocal.com
Kliens gép
Operating System   :	CentOS 6
IP Address	   :	192.168.0.100
Host-name	   :	client.tecmintlocal.com

1. lépés: Ellenőrizze a rendszer gazdagépnevét és IP-címét

1. A gyorsítótárazó DNS-kiszolgáló beállítása előtt győződjön meg arról, hogy a megfelelő gazdagépnevet és statikus IP-címet adta meg a rendszerhez, ha nem állította be a rendszer statikus IP-címét.

2. A megfelelő gazdagépnév és statikus IP-cím beállítása után a következő parancsok segítségével ellenőrizheti őket.

hostnamectl
ip addr show | grep inet

2. lépés: Telepítés és konfigurálás Kötetlen

3. Az „Unbound” csomag telepítése előtt frissítenünk kell rendszerünket a legújabb verzióra, ezt követően telepíthetjük a kötetlen csomagot.

yum update -y
yum install unbound -y

4. A csomag telepítése után készítsen másolatot a kötetlen konfigurációs fájlról, mielőtt bármilyen módosítást végezne az eredeti fájlon.

cp /etc/unbound/unbound.conf /etc/unbound/unbound.conf.original

5. Ezután bármelyik kedvenc szövegszerkesztővel nyissa meg és szerkessze az „unbound.conf” konfigurációs fájlt.

vim /etc/unbound/unbound.conf

Miután megnyitotta a fájlt szerkesztésre, hajtsa végre a következő módosításokat:

Interfészek

Keresse meg az Interfész kifejezést, és engedélyezze a használni kívánt felületet, vagy ha a szerverünknek több interfésze van, engedélyeznünk kell a interfész 0.0.0.0-t.

Itt Szerverünk IP-címe 192.168.0.50 volt, tehát ezen a felületen kötetlent fogok használni.

Interface 192.168.0.50
IPv4 és protokolltámogatás engedélyezése

Keresse meg a következő karakterláncot, és írja be az „Igen” értéket.

do-ip4: yes
do-udp: yes
do-tcp: yes
Engedélyezze a naplózást

A napló engedélyezéséhez adja hozzá a változót az alábbiak szerint, ez minden kötetlen tevékenységet naplóz.

logfile: /var/log/unbound
Az azonosító és a verzió elrejtése

Engedélyezze a következő paramétert az id.server és a hostname.bind lekérdezések elrejtéséhez.

hide-identity: yes

Engedélyezze a következő paramétert a version.server és version.bind lekérdezések elrejtéséhez.

hide-version: yes
Hozzáférés-szabályozás

Ezután keresse meg az access-control kifejezést az engedélyezéshez. Ez lehetővé teszi, hogy mely ügyfelek kérdezzenek le erről a kötetlen szerverről.

Itt 0.0.0.0-t használtam, ami azt jelenti, hogy bárki küldjön lekérdezést erre a szerverre. Ha meg kell utasítanunk a lekérdezést a hálózat bizonyos tartományaiban, akkor meghatározhatjuk, hogy melyik hálózatot kell visszautasítani a kötetlen lekérdezésektől.

access-control: 0.0.0.0/0 allow

Megjegyzés: Az engedélyezés helyett lecserélhetjük az allow_snoop-ra, ami lehetővé tesz néhány további paramétert, például a dig és támogatja mind a rekurzív, mind a nem rekurzív.

A domain nem biztonságos

Ezután keressen a domain-insecure kifejezésre. Ha tartományunk DNS sec-kulcsokkal működik, meg kell határoznunk, hogy a szerverünk elérhető legyen a domain-insecure számára. Itt a domainünket nem biztonságosként kezeljük.

domain-insecure: "tecmintlocal.com
Előre zónák

Ezután módosítsa a kért lekérdezés továbbítóit, amelyeket ez a szerver nem teljesített, a rendszer a gyökértartományba (. ) továbbítja, és megoldja a lekérdezést.

forward-zone:
        name: "."
        forward-addr: 8.8.8.8
        forward-addr: 8.8.4.4

Végül mentse el, és lépjen ki a konfigurációs fájlból a wq! segítségével.

6. A fenti konfiguráció elvégzése után a következő paranccsal ellenőrizze, hogy az unbound.conf fájl nem tartalmaz-e hibákat.

unbound-checkconf /etc/unbound/unbound.conf

7. A fájlok hibamentes ellenőrzése után biztonságosan újraindíthatja a „kötetlen” szolgáltatást, és engedélyezheti a rendszer indításakor.

systemctl start unbound.service
sudo systemctl enable unbound.service

3. lépés: Tesztelje a DNS-gyorsítótárat helyileg

8. Most itt az ideje, hogy ellenőrizze DNS-gyorsítótárunkat egy „india.com” domain „fúrásával” (lekérdezésével). Először a 'drill' parancs eredménye az 'india.com' domainhez néhány ezredmásodpercet vesz igénybe, majd végezzen egy második gyakorlatot, és legyen megjegyzés a lekérdezési időről mindkét gyakorlathoz szükséges.

drill india.com @192.168.0.50

Láttad a fenti kimenetben, hogy az első lekérdezés feloldása csaknem 262 msec alatt, a második lekérdezésnél pedig 0 msec idő szükséges a domain feloldásához (india.com b>).

Ez azt jelenti, hogy az első lekérdezés a DNS-gyorsítótárunkban kerül gyorsítótárba, így amikor másodszor futtatjuk a „drill”-t, amikor a lekérdezést a helyi DNS-gyorsítótárból szolgáljuk ki, így javíthatjuk a webhelyek betöltési sebességét.

4. lépés: Öblítse ki az Iptables alkalmazást, és adja hozzá a tűzfalszabályokat

9. Nem használhatjuk egyszerre az iptablet és a firewall-t ugyanazon a gépen, ha mindkettő ütközik egymással, így az ipables szabályok eltávolítása jó ötlet lesz. Az iptables eltávolításához vagy kiürítéséhez használja a következő parancsot.

iptables -F

10. Az iptables szabályok végleges eltávolítása után most véglegesen adja hozzá a DNS-szolgáltatást a tűzfal listához.

firewall-cmd --add-service=dns
firewall-cmd --add-service=dns --permanent

11. A DNS-szolgáltatási szabályok hozzáadása után sorolja fel a szabályokat, és erősítse meg.

firewall-cmd --list-all

5. lépés: Kezelés és hibaelhárítás Kötelezettség nélkül

12. A szerver aktuális állapotának megtekintéséhez használja a következő parancsot.

unbound-control status

DNS-gyorsítótár kiíratása

13. Ha azt szeretné, hogy a DNS-gyorsítótár információi kiírathatók legyenek egy szöveges fájlban, az alábbi paranccsal átirányíthatja azt valamelyik fájlba a későbbi használatra.

 # unbound-control dump_cache > /tmp/DNS_cache.txt

14. A gyorsítótár visszaállításához vagy importálásához a kiírt fájlból a következő parancsot használhatja.

unbound-control dump_cache < /tmp/DNS_cache.txt

DNS-rekordok öblítése

15. Az alábbi paranccsal ellenőrizheti, hogy a továbbítóink megoldották-e az adott címet a kötetlen gyorsítótár-kiszolgálón.

unbound-control lookup google.com

16. Néha, ha DNS-gyorsítótár-szerverünk nem válaszol a lekérdezésünkre, időközben a gyorsítótár kiürítésével eltávolíthatjuk az olyan információkat, mint az A, AAA , NS, SO, CNAME, MX, PTR stb. .. rekordok a DNS-gyorsítótárból. Az összes információt eltávolíthatjuk a flush_zone használatával, ezzel eltávolítunk minden információt.

unbound-control flush linux-console.net
unbound-control flush_zone tecmintlocal.com

17. Annak ellenőrzése, hogy jelenleg mely továbbítások vannak a megoldáshoz használt.

unbound-control list_forwards

6. lépés: Kliensoldali DNS-konfiguráció

18. Itt egy CentOS 6 szervert használtam kliensgépként, ennek a gépnek az IP-címe 192.168.0.100 és megyek a kötetlen DNS-kiszolgáló IP-címének (azaz Elsődleges DNS-nek) használatához az interfész konfigurációjában.

Jelentkezzen be az ügyfélgépre, és állítsa be az Elsődleges DNS-kiszolgáló IP-címét a kötetlen szerverünk IP-címére.

Futtassa a setup parancsot, és válassza ki a hálózati konfigurációt a TUI hálózatkezelőből.

Ezután válassza a DNS konfigurációt, és adja meg a nem kötött DNS-kiszolgáló IP-címét Elsődleges DNSként, de itt az Elsődleges és a Másodlagos< beállítást is használtam., mert nincs más DNS-kiszolgálóm.

Primary DNS	: 192.168.0.50
Secondary DNS	: 192.168.0.50

Kattintson az OK –> Mentés&Kilépés –> Kilépés lehetőségre.

19. Az elsődleges és másodlagos DNS IP-címek hozzáadása után itt az ideje újraindítani a hálózatot a következő paranccsal.

/etc/init.d/network restart

20. Itt az ideje, hogy elérje bármelyik webhelyet az ügyfélgépről, és ellenőrizze a gyorsítótárat a kötetlen DNS-kiszolgálón.

elinks aol.com
dig aol.com

Következtetés

Korábban a DNS-gyorsítótár-kiszolgáló beállításához használtunk bind csomagot RHEL és CentOS rendszerekben. Most már láttuk, hogyan kell beállítani egy DNS-gyorsítótár-kiszolgálót kötetlen csomag használatával. Remélhetőleg ez gyorsabban megoldja a lekérdezési kérelmét, mint a kötési csomag.