使用unbound在RHEL7上搭建DNS服務

roc_guo發表於2022-08-03

1.概念:
DNS (Domain Name Server)域名解析服務,使用TCP&UDP的53號埠(主從DNS之間用TCP,客戶端查詢使用UDP)。它可以完成域名與IP地址的互換,可以透過IP地址解析到域名,也可以透過域名解析到IP地址。

FQDN(Fully Qualified Domain Name)完全合格域名,層次化樹形結構。通常表現為:主機名.子域.二級域.頂級域.根域. 。例如我們平時訪問的網站:“”就是FQDN。

DNS的查詢方式:

迭代查詢:伺服器與伺服器之間的查詢。本地域名伺服器向根域名伺服器的查詢通常是採用迭代查詢(反覆查詢)。當根域名伺服器收到本地域名伺服器的迭代查詢請求報文時,要麼給出所要查詢的IP地址,要麼告訴本地域名伺服器下一步應向那個域名伺服器進行查詢。然後讓本地域名伺服器進行後續的查詢;
遞迴查詢:客戶端與伺服器之間的查詢。主機向本地域名伺服器的查詢一般都是採用遞迴查詢。如果主機所詢問的本地域名伺服器不知道被查詢域名的 IP 地址,那麼本地域名伺服器就以 DNS 客戶的身份,向其他根域名伺服器繼續發出查詢請求報文。最後會給客戶端一個準確的返回結果,無論是成功與否。

DNS解析型別:

正向解析:由FQDN解析到IP地址;
反向解析:由IP地址解析到FQDN;

名稱解析方式:

hosts檔案(etc/hosts)、dns、廣播、解析快取、dns、wins(windows中)等

2.DNS安裝配置:
在RHEL5、6中dns都是用的是bind軟體包,而在RHEL/ 7用的是unbound安裝包,配置檔案也有了改變。我們來看一下:

2.1.安裝:yum -y install unbound (先配置yum倉庫)

[root@linuxprobe ~]# yum -y install unbound
Loaded plugins: langpacks, product-id, subscription-manager
This system is not registered to Red Hat Subscription Management. You can use subscription-manager to register.
Resolving Dependencies
---> Running transaction check
---> Package unbound.x86_64 0:1.4.20-19.el7 will be installed
---> Finished Dependency Resolution
 ·····
---------------------------啟動服務-----------------------------
[root@linuxprobe ~]# systemctl restart unbound         //啟動DNS服務
[root@linuxprobe ~]# systemctl enable unbound
ln -s ‘/usr/lib/systemd/system/unbound.service‘ ‘/etc/systemd/system/multi-user.target.wants/unbound.service‘
                                                      //下次系統重啟自動啟動DNS服務

2.2.修改配置檔案:

unbound安裝好之後,預設配置檔案在/etc/unbound/unbound.conf.

2.2.1.修改埠監聽地址(相當於RHEL6配置檔案中的:listen-on port 53 { any; };)

-----------------------檢視預設監聽地址--------------------------
[root@linuxprobe ~]# netstat -tunlp |grep unbound
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 3333/unbound
tcp 0 0 127.0.0.1:8953 0.0.0.0:* LISTEN 3333/unbound
tcp6 0 0 ::1:53 :::* LISTEN 3333/unbound
tcp6 0 0 ::1:8953 :::* LISTEN 3333/unbound
udp 0 0 127.0.0.1:53 0.0.0.0:* 3333/unbound
udp6 0 0 ::1:53 :::* 3333/unbound
//預設監聽本地迴環地址,也就是現在只有自己能訪問DNS服務,其它主機不能訪問本機的DNS服務
-------------------------修改監聽地址----------------------------
[root@linuxprobe ~]# vim /etc/unbound/unbound.conf
……
38 # interface: 0.0.0.0
39 interface: 0.0.0.0
……
//找到38行,複製去掉註釋行,開啟監聽全網功能。
--------------------------重啟服務檢視--------------------------------
[root@linuxprobe ~]# systemctl restart unbound
[root@linuxprobe ~]# netstat -tunlp |grep unbound
tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN 3461/unbound
tcp 0 0 127.0.0.1:8953 0.0.0.0:* LISTEN 3461/unbound
tcp6 0 0 ::1:8953 :::* LISTEN 3461/unbound
udp 0 0 0.0.0.0:53 0.0.0.0:* 3461/unbound
//現在53號埠監聽的是0.0.0.0,即所有網段都監聽。

2.2.2.修改允許查詢的範圍:
在RHEL6中,DNS配置檔案中有這樣一句:allow-query { localhost; };。此句定義的是允許向本機查詢(迭代&遞迴)的主機範圍,localhost代表只有本機可以向本機查詢。而在配置中,經常改localhost為any,讓所有主機能夠向本機查詢DNS。所以,在RHEL7中,也要做這樣的修改,只不過修改內容不同而已,如下:

[root@linuxprobe ~]# vim /etc/unbound/unbound.conf
……
177 # access-control: 0.0.0.0/0 refuse
178 access-control: 0.0.0.0/0 allow
179 # access-control: 127.0.0.0/8 allow
……
找到配置檔案/etc/unbound/unbound.conf的第177行,預設為註釋行,把內容改為允許訪問,然後儲存退出,重啟服務即可。

2.2.3.建立解析檔案:
RHEL/centos 5、6系統中,DNS的解析檔案分正向和反向兩個解析檔案,並且有解析檔案的模板檔案。但是在RHEL7中,正反向解析檔案合併為一個,並且無模板檔案,需自己建立,路徑可以在主配置檔案中檢視:

[root@linuxprobe ~]# vim /etc/unbound/unbound.conf
……
453 # You can add locally served data with
454 # local-zone: "local." static
455 # local-data: "mycomputer.local. IN A 192.0.2.51"
                                    //正向解析可參考語法
456 # local-data: ‘mytext.local TXT "content of text record"‘
457 #
458 # You can override certain queries with
459 # local-data: "adserver.example.com A 127.0.0.1"
460 #
461 # You can redirect a domain to a fixed address with
462 # (this makes example.com, )
463 # local-zone: "example.com" redirect
464 # local-data: "example.com A 192.0.2.3"
465 #
# Shorthand to make PTR records, "IPv4 name" or "IPv6 name".
467 # You can also add PTR records using local-data directly, but then
468 # you need to do the reverse notation yourself.
469 # local-data-ptr: "192.0.2.3 
                                 //反向解析參考語法
470471 include: /etc/unbound/local.d/*.conf472
473 # service clients over SSL (on the TCP sockets), with plain DNS inside
……
---------------------------------檢視本機FQDN---------------------------
[root@linuxprobe ~]# hostname
linuxprobe.example.com
//由此可知,域名為example.com
--------------------------------建立解析檔案-----------------------------
[root@linuxprobe ~]# vim /etc/unbound/local.d/example.conf
local-zone: "example.com." static
local-data: "example.com. 86400 IN SOA ns.example.com. root 1 1D 1H 1W 1H"
local-data: "ns.example.com. IN A 192.168.10.10"
local-data: "linuxprobe.example.com. IN A 192.168.10.10"
local-data-ptr: "192.168.10.10 ns.example.com."
local-data-ptr: "192.168.10.10 linuxprobe.example.com."------------------------檢視RHEL6上解析檔案以作對比--------------------[root@linuxprobe ~]# vim /var/named/named.localhost
$TTL 1D          
@ IN SOA @ rname.invalid. (     
0 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
NS @
A 127.0.0.1
AAAA ::1

 

2.3.禁用服務使用者:

每個服務都是有其專用的服務使用者,DNS的服務使用者為unbound,實際情況下服務使用者的啟用有可能有安全隱患,這裡要即禁用服務使用者。

[root@linuxprobe ~]# vim /etc/unbound/unbound.conf
······
211 # if given, user privileges are dropped (after binding port),
212 # and the given username is assumed. Default is user "unbound".
213 # If you give "" no privileges are dropped.
214 #username: "unbound"
215 username: " "
216
217 # the working directory. The relative files in this config
······
如上,找到配置檔案的第214行,刪除unbound即可,刪除後為:username ” “。

 

2.4.驗證:

[root@linuxprobe ~]# unbound-checkconf
unbound-checkconf: no errors in /etc/unbound/unbound.conf
驗證無配置問題,即可重啟服務
[root@linuxprobe ~]# systemctl restart unbound
dns驗證:
-------------------------修改本機DNS------------------------
[root@linuxprobe ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth0
HWADDR=00:0C:29:70:····
TYPE=Ethernet
····
IPADDR="192.168.10.10"
PREFIX="24"
···DNS1=192.168.10.10NAME=eth0
ONBOOT=no
[root@linuxprobe ~]# systemctl restart network
----------------------------------------------------nslookup驗證--------------------------------------------
[root@linuxprobe ~]# nslookup
linuxprobe.example.com.
192.168.10.10
ok dns設定成功

PS:關閉防火牆

在本次實驗中我們關閉了linux的3大防火牆。當沒有關閉防火牆時,遠端主機驗證可能出現故障,這時需要在DNS伺服器防火牆上開放DNS服務。我們以firewall防火牆為例,修改一下:

[root@linuxprobe ~]# systemctl stop iptables
[root@linuxprobe ~]# systemctl stop ebtables
[root@linuxprobe ~]# systemctl disable iptables
[root@linuxprobe ~]# systemctl disable ebtables
[root@linuxprobe ~]# firewall-cmd --add-service=dns --permanent
success
[root@linuxprobe ~]# firewall-cmd --reload
success
[root@linuxprobe ~]# firewall-cmd --list-all
public (default, active)
interfaces: eth0
sources:
services: dhcpv6-client dns ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
//DNS伺服器上Firewall開放DNS訪問ok

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69901823/viewspace-2908694/,如需轉載,請註明出處,否則將追究法律責任。

相關文章