Unbound — настройка кеширующего DNS-сервера на FreeBSD 10

В релизе FreeBSD 10.0 DNS-сервер BIND заменен на связку из кеширующего DNS-сервера Unbound и библиотеки LDNS. Разбираясь с нововведениями, решил заодно ознакомиться и с настройкой Unbound.

Unbound распространяется под лицензией BSD, имеет модульную структуру и поддерживает работу резолвера в рекурсивном и кэширующем режиме. Во время работы сервера, кеш целиком распологается в памяти. Также имеется возможность проверки валидности DNSSEC-сигнатур, асинхронных запросов и библиотеки для интеграции кода резолвера в пользовательские приложения (stub-resolvers). Вначале прототип сервера был написан на языке Java, после чего был переписан на языке Си, что позволило значительно увеличить его производительность. По сравнению с BIND, стоит отметить скромные размеры и высокую производительность.

Итак, приступим к настройке… Поиск примера конфигурационного файла в только установленной системе результатов не дал… Однако на помощь пришла утилита unbound-checkconf:

# unbound-checkconf
[1393875321] unbound-checkconf[1362:0] error: Could not open /var/unbound/unbound.conf: No such file or directory

Конфигурационный файл unbound.conf должен находиться в каталоге /var/unbound.

С доступными опциями решил ознакомиться на страницах руководства man unbound.conf. Как оказалось, пример конфигурационного файла был предложен именно там. Попробуем собрать небольшой файл конфигурации, отталкиваясь от предложеного примера и доступных опций.

server:
# Уровень логирования - 0 (только ошибки)
verbosity: 0
# Порт, на котором "слушать" запросы
port: 53# Описываем интерфейсы, на которых будем "слушать" запросы
interface: 127.0.0.1
interface: 10.3.159.254
# Указываем исходящий интерфейс
outgoing-interface: 10.12.59.30
#  Указываем сети, чьи запросы будем обрабатывать
access-control: 10.3.159.0/24 allow
# разрешаем  ip4 tcp/udp и запрещаем поддержку ipv6
do-ip4: yes
do-ip6: no
do-udp: yes
do-tcp: yes
# От чьего имени работает daemon unbound
username: unbound
# Указываем лог-файл и отключаем использование syslog
logfile: "unbound.log"
use-syslog: no# Указываем путь к pid-файлу
pidfile: "/var/run/local_unbound.pid"
# "Прячем" версию софта
hide-version: yes

После создания конфигурационного файла проверим конфигурацию с помощью уже известной утилиты unbound-checkconf:

# unbound-checkconf
unbound-checkconf: no errors in /var/unbound/unbound.conf

Кажется все в порядке. Добавим загрузку демона при старте системы:

# echo '# DNS server' >> /etc/rc.conf
# echo 'local_unbound_enable="YES"' >> /etc/rc.conf

Кажется ничего не пропустили… Даем комманду на запуск:

# sh /etc/rc.d/local_unbound start
 Starting local_unbound.

Проверим, запустился ли процесс:

# ps -ax | grep unbound | grep -v grep
2340 - Is 0:00,03 /usr/sbin/unbound -c/var/unbound/unbound.conf

Демон запущен. Проверим, обрабатывает ли он запросы:

# drill @127.0.0.1 muff.kiev.ua
 ;; ->>HEADER< ;; flags: qr rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
 ;; QUESTION SECTION:
 ;; muff.kiev.ua. IN A
 ;; ANSWER SECTION:
 muff.kiev.ua. 3427 IN A 91.196.100.50
 ;; AUTHORITY SECTION:
 ;; ADDITIONAL SECTION:
 ;; Query time: 0 msec
 ;; SERVER: 127.0.0.1
 ;; WHEN: Tue Mar 4 01:43:24 2014
 ;; MSG SIZE rcvd: 46

Клиентские запросы обрабатываются. Отлично, продолжим настройку…

Следующий шаг — настройка утилиты unbound-control на работу с unbound. Для этого воспользуемся прилагаемой утилитой unbound-control-setup:

# unbound-control-setup
 setup in directory /etc/unbound
 generating unbound_server.key
 Generating RSA private key, 1536 bit long modulus
 ...............++++
 .............................................................++++
 e is 65537 (0x10001)
 generating unbound_control.key
 Generating RSA private key, 1536 bit long modulus
 ................................................................++++
 ....................................................................................++++
 e is 65537 (0x10001)
 create unbound_server.pem (self signed certificate)
 create unbound_control.pem (signed client certificate)
 Signature ok
 subject=/CN=unbound-control
 Getting CA Private Key
 Setup success. Certificates created. Enable in unbound.conf file to use

После этого необходимо добавить следующий блок в конфигурационный файл unbound.conf:

remote-control:
control-enable: yes
control-interface: 127.0.0.1
control-port: 953
server-key-file: "unbound_server.key"
server-cert-file: "unbound_server.pem"
control-key-file: "unbound_control.key"
control-cert-file: "unbound_control.pem"

Чтобы изменения вступили в силу, необходимо перезапустить unbound:

# sh /etc/rc.d/local_unbound restart

Чтобы ознакомиться с возможностями утилиты unbound-control, достаточно вызвать ее без ключей, либо же с ключем -h:

# unbound-control -h
Usage: unbound-control [options] command
Remote control utility for unbound server.
Options:-c file config file, default is /var/unbound/unbound.conf

-s ip[@port] server address, if omitted config is used.
-q quiet (don’t print anything if it works ok).
-h show this usage help.
Commands:
start start server; runs unbound(8)
stop stops the server
reload reloads the server
(this flushes data, stats, requestlist)
stats print statistics
stats_noreset peek at statistics
status display status of server
verbosity change logging detail
log_reopen close and open the logfile
local_zone add new local zone
local_zone_remove remove local zone and its contents
local_data add local data, for example
local_data www.example.com A 192.0.2.1
local_data_remove remove local RR data from name
dump_cache print cache to stdout
load_cache load cache from stdin
lookup print nameservers for name
flush flushes common types for name from cache
types: A, AAAA, MX, PTR, NS,
SOA, CNAME, DNAME, SRV, NAPTR
flush_type flush name, type from cache
flush_zone flush everything at or under name
from rr and dnssec caches
flush_bogus flush all bogus data
flush_stats flush statistics, make zero
flush_requestlist drop queries that are worked on
dump_requestlist show what is worked on
flush_infra [all | ip] remove ping, edns for one IP or all
dump_infra show ping and edns entries
set_option opt: val set option to value, no reload
get_option opt get option value
list_stubs list stub-zones and root hints in use
list_forwards list forward-zones in use
list_local_zones list local-zones in use
list_local_data list local-data RRs in use
forward_add [+i] zone addr.. add forward-zone with servers
forward_remove [+i] zone remove forward zone
stub_add [+ip] zone addr.. add stub-zone with servers
stub_remove [+i] zone remove stub zone
+i also do dnssec insecure point
+p set stub to use priming
forward [off | addr …] without arg show forward setup
or off to turn off root forwarding
or give list of ip addresses
Version 1.4.20
BSD licensed, see LICENSE in source package for details.
Report bugs to unbound-bugs@nlnetlabs.nl

Здесь, благодаря комментариям, все интуитивно понятно

Проверим работоспособность утилиты, отправив какую либо комманду в unbound-control, например reload:
# unbound-control reload
ok

Поддерживается возможность управления удаленным сервером unbound, используя локальную версию утилиты unbound-control. Для этого необходимо, чтобы на машине, с которой выполняются комманды, публичные pem-ключи удаленного сервера. Также необходимо, чтобы эти ключи были прописаны в конфигурационном файле unbound.conf.

Также unbound поддерживает использование DNSSEC. Рассматривать что такое DNSSEC и принципы его работы не вижу смысла — информации в Сети предостаточно. Остановимся непосредственно на настройке unbound для поддержки DNSSEC.

Для включения поддержки DNSSEC, в конфигурационный файл unbound.conf (в секцию server) необходимо добавить следующие строки:
module-config: «validator iterator»
auto-trust-anchor-file: «/var/unbound/root.key»

После внесения изменений необходимо перезапустить unbound, чтобы изменения вступили в силу:
# unbound-control reload
ok

Проверим поддержку DNSSEC:

# drill -D example.com @127.0.0.1

;; ->>HEADER< ;; flags: qr rd ra ad ; QUERY: 1, ANSWER: 2, AUTHORITY: 3, ADDITIONAL: 0
;; QUESTION SECTION:
;; example.com. IN A

;; ANSWER SECTION:
example.com. 86072 IN A 93.184.216.119
example.com. 86072 IN RRSIG A 8 2 86400 20140319191725 20140312122744 6439 example.com. VZWTz7/E6engcARhn1KO00NTA+BSB8NuOOdaBjyMtu3qx5AIlmkNR4ifUHUsOS4V1K5yC25GnmDa7lIE1FwFEiQvISUmD41bRX9kJuHLt9JhRj5hrb7L+9aqeeTFa2jSRk59WIaJhbqcKYFTdm8BGsGdx6lHx67X4W+nN7BRUUo=

;; AUTHORITY SECTION:
example.com. 172472 IN NS b.iana-servers.net.
example.com. 172472 IN NS a.iana-servers.net.
example.com. 172472 IN RRSIG NS 8 2 172800 20140319163437 20140312122744 6439 example.com. IOIONMwaAc6pGLYh5yOL7SHDNY34vG5W/O8chCTHlIkgcVij2KCXtrrVCUOVyne1nhUgfEZHVvRU0VwmXecqVSz5Oe6iWPyZ7v8CBfgFjvS/oNlJ+8uBCAopxiIWv4EnCCsu1RUXoIBD2N2kwj3CF1Ba3qGDjkGMTzN5pblcuck=

;; ADDITIONAL SECTION:

;; Query time: 0 msec
;; EDNS: version 0; flags: do ; udp: 4096
;; SERVER: 127.0.0.1
;; WHEN: Wed Mar 12 16:37:19 2014
;; MSG SIZE rcvd: 446

 

[donate count=2 type=default]

Оставьте ответ

Ваш адрес email не будет опубликован.