使用 unbound 在 RHEL7 上搭建 DNS 服务

本文涉及的产品
全局流量管理 GTM,标准版 1个月
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介:

使用 unbound 在 RHEL7 上搭建 DNS 服务


1.概念

DNS (域名解析服务Domain Name Server),使用 TCP&UDP 的53号端口(主从 DNS 之间用 TCP,客户端查询使用 UDP)。它可以完成域名与 IP 地址的互换,可以通过 IP 地址解析到域名,也可以通过域名解析到 IP 地址。

FQDN(完全合格域名Fully Qualified Domain Name),层次化树形结构。通常表现为:主机名.子域.二级域.顶级域.根域. 。例如我们平时访问的网站:“www.linuxprobe.com”就是 FQDN。

DNS的查询方式:

  • 迭代查询:服务器与服务器之间的查询。本地域名服务器向根域名服务器的查询通常是采用迭代查询(反复查询)。当根域名服务器收到本地域名服务器的迭代查询请求报文时,要么给出所要查询的IP地址,要么告诉本地域名服务器下一步应向那个域名服务器进行查询。然后让本地域名服务器进行后续的查询;
  • 递归查询:客户端与服务器之间的查询。主机向本地域名服务器的查询一般都是采用递归查询。如果主机所询问的本地域名服务器不知道被查询域名的 IP 地址,那么本地域名服务器就以 DNS 客户的身份,向其他根域名服务器继续发出查询请求报文。最后会给客户端一个准确的返回结果,无论是成功与否。

DNS解析类型:

  • 正向解析:由 FQDN 解析到 IP 地址;
  • 反向解析:由 IP 地址解析到 FQDN;

名称解析方式:

  • hosts文件(etc/hosts)
  • dns
  • 广播
  • 解析缓存
  • wins(windows 中)等

2.DNS 安装配置

在 RHEL5、6 中 DNS 都是用的是 bind 软件包,而在 RHEL/CentOS 7 用的是 unbound 安装包,配置文件也有了改变。我们来看一下:

2.1.安装:


   
   
  1. [root@linuxprobe ~]# yum -y install unbound
  2. Loaded plugins: langpacks, product-id, subscription-manager
  3. This system is not registered to Red Hat Subscription Management. You can use subscription-manager to register.
  4. Resolving Dependencies
  5. ---> Running transaction check
  6. ---> Package unbound.x86_64 0:1.4.20-19.el7 will be installed
  7. ---> Finished Dependency Resolution
  8. ·····
  9. ---------------------------启动服务-----------------------------
  10. [root@linuxprobe ~]# systemctl restart unbound //启动DNS服务
  11. [root@linuxprobe ~]# systemctl enable unbound
  12. ln -s ‘/usr/lib/systemd/system/unbound.service ‘/etc/systemd/system/multi-user.target.wants/unbound.service
  13. //下次系统重启自动启动DNS服务

2.2.修改配置文件

unbound 安装好之后,缺省配置文件在 /etc/unbound/unbound.conf

2.2.1.修改端口监听地址

相当于 RHEL6 配置文件中的:listen-on port 53 { any; };


   
   
  1. -----------------------查看默认监听地址--------------------------
  2. [root@linuxprobe ~]# netstat -tunlp |grep unbound
  3. tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 3333/unbound
  4. tcp 0 0 127.0.0.1:8953 0.0.0.0:* LISTEN 3333/unbound
  5. tcp6 0 0 ::1:53 :::* LISTEN 3333/unbound
  6. tcp6 0 0 ::1:8953 :::* LISTEN 3333/unbound
  7. udp 0 0 127.0.0.1:53 0.0.0.0:* 3333/unbound
  8. udp6 0 0 ::1:53 :::* 3333/unbound
  9. //默认监听本地回环地址,也就是现在只有自己能访问DNS服务,其它主机不能访问本机的DNS服务
  10. -------------------------修改监听地址----------------------------
  11. [root@linuxprobe ~]# vim /etc/unbound/unbound.conf
  12. ……
  13. 38 # interface: 0.0.0.0
  14. 39 interface: 0.0.0.0
  15. ……
  16. //找到38行,复制去掉注释行,打开监听全网功能。
  17. --------------------------重启服务查看--------------------------------
  18. [root@linuxprobe ~]# systemctl restart unbound
  19. [root@linuxprobe ~]# netstat -tunlp |grep unbound
  20. tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN 3461/unbound
  21. tcp 0 0 127.0.0.1:8953 0.0.0.0:* LISTEN 3461/unbound
  22. tcp6 0 0 ::1:8953 :::* LISTEN 3461/unbound
  23. udp 0 0 0.0.0.0:53 0.0.0.0:* 3461/unbound
  24. //现在53号端口监听的是0.0.0.0,即所有网段都监听。
2.2.2.修改允许查询的范围

在 RHEL6 中,DNS 配置文件中有这样一句:allow-query { localhost; };。此句定义的是允许向本机查询(迭代 & 递归)的主机范围,localhost 代表只有本机可以向本机查询。而在配置中,经常改 localhost 为any,让所有主机能够向本机查询 DNS。所以,在 RHEL7 中,也要做这样的修改,只不过修改内容不同而已,如下:


   
   
  1. [root@linuxprobe ~]# vim /etc/unbound/unbound.conf
  2. ……
  3. 177 # access-control: 0.0.0.0/0 refuse
  4. 178 access-control: 0.0.0.0/0 allow
  5. 179 # access-control: 127.0.0.0/8 allow
  6. ……
  7. 找到配置文件/etc/unbound/unbound.conf的第177行,缺省为注释行,把内容改为允许访问,然后保存退出,重启服务即可。
2.2.3.创建解析文件

RHEL/CentOS 5、6系统中,DNS 的解析文件分正向和反向两个解析文件,并且有解析文件的模板文件。但是在 RHEL7中,正反向解析文件合并为一个,并且无模板文件,需自己创建,路径可以在主配置文件中查看:


   
   
  1. [root@linuxprobe ~]# vim /etc/unbound/unbound.conf
  2. ……
  3. 453 # You can add locally served data with
  4. 454 # local-zone: "local." static
  5. 455 # local-data: "mycomputer.local. IN A 192.0.2.51"
  6. //正向解析可参考语法
  7. 456 # local-data: mytext.local TXT "content of text record"
  8. 457 #
  9. 458 # You can override certain queries with
  10. 459 # local-data: "adserver.example.com A 127.0.0.1"
  11. 460 #
  12. 461 # You can redirect a domain to a fixed address with
  13. 462 # (this makes example.com, www.example.com, etc, all go to 192.0.2.3)
  14. 463 # local-zone: "example.com" redirect
  15. 464 # local-data: "example.com A 192.0.2.3"
  16. 465 #
  17. # Shorthand to make PTR records, "IPv4 name" or "IPv6 name".
  18. 467 # You can also add PTR records using local-data directly, but then
  19. 468 # you need to do the reverse notation yourself.
  20. 469 # local-data-ptr: "192.0.2.3 www.example.com"
  21. //反向解析参考语法
  22. 470
  23. 471 include: /etc/unbound/local.d/*.conf
  24. 472
  25. 473 # service clients over SSL (on the TCP sockets), with plain DNS inside
  26. ……
  27. ---------------------------------查看本机FQDN---------------------------
  28. [root@linuxprobe ~]# hostname
  29. linuxprobe.example.com
  30. //由此可知,域名为example.com
  31. --------------------------------创建解析文件-----------------------------
  32. [root@linuxprobe ~]# vim /etc/unbound/local.d/example.conf
  33. local-zone: "example.com." static
  34. local-data: "example.com. 86400 IN SOA ns.example.com. root 1 1D 1H 1W 1H"
  35. local-data: "ns.example.com. IN A 192.168.10.10"
  36. local-data: "linuxprobe.example.com. IN A 192.168.10.10"
  37. local-data-ptr: "192.168.10.10 ns.example.com."
  38. local-data-ptr: "192.168.10.10 linuxprobe.example.com."
  39. ------------------------查看RHEL6上解析文件以作对比--------------------
  40. [root@linuxprobe ~]# vim /var/named/named.localhost
  41. $TTL 1D
  42. @ IN SOA @ rname.invalid. (
  43. 0 ; serial
  44. 1D ; refresh
  45. 1H ; retry
  46. 1W ; expire
  47. 3H ) ; minimum
  48. NS @
  49. A 127.0.0.1
  50. AAAA ::1

2.3.禁用服务用户

每个服务都是有其专用的服务用户,DNS 的服务用户为 unbound,实际情况下服务用户的启用有可能有安全隐患,这里要禁用服务用户。


   
   
  1. [root@linuxprobe ~]# vim /etc/unbound/unbound.conf
  2. ······
  3. 211 # if given, user privileges are dropped (after binding port),
  4. 212 # and the given username is assumed. Default is user "unbound".
  5. 213 # If you give "" no privileges are dropped.
  6. 214 #username: "unbound"
  7. 215 username: " "
  8. 216
  9. 217 # the working directory. The relative files in this config
  10. ······
  11. 如上,找到配置文件的第214行,删除unbound即可,删除后为:username “。

2.4.验证


   
   
  1. [root@linuxprobe ~]# unbound-checkconf
  2. unbound-checkconf: no errors in /etc/unbound/unbound.conf
  3. 验证无配置问题,即可重启服务
  4. [root@linuxprobe ~]# systemctl restart unbound
  5. dns验证:
  6. -------------------------修改本机DNS------------------------
  7. [root@linuxprobe ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth0
  8. HWADDR=00:0C:29:70:····
  9. TYPE=Ethernet
  10. ····
  11. IPADDR="192.168.10.10"
  12. PREFIX="24"
  13. ···
  14. DNS1=192.168.10.10
  15. NAME=eth0
  16. ONBOOT=no
  17. [root@linuxprobe ~]# systemctl restart network
  18. ----------------------------------------------------nslookup验证--------------------------------------------
  19. [root@linuxprobe ~]# nslookup
  20. linuxprobe.example.com.
  21. 192.168.10.10
  22. ok dns设置成功

PS:关闭防火墙

在本次实验中我们关闭了 linux 的3大防火墙。当没有关闭防火墙时,远程主机验证可能出现故障,这时需要在 DNS 服务器防火墙上开放 DNS 服务。我们以 firewall 防火墙为例,修改一下:


   
   
  1. [root@linuxprobe ~]# systemctl stop iptables
  2. [root@linuxprobe ~]# systemctl stop ebtables
  3. [root@linuxprobe ~]# systemctl disable iptables
  4. [root@linuxprobe ~]# systemctl disable ebtables
  5. [root@linuxprobe ~]# firewall-cmd --add-service=dns --permanent
  6. success
  7. [root@linuxprobe ~]# firewall-cmd --reload
  8. success
  9. [root@linuxprobe ~]# firewall-cmd --list-all
  10. public (default, active)
  11. interfaces: eth0
  12. sources:
  13. services: dhcpv6-client dns ssh
  14. ports:
  15. masquerade: no
  16. forward-ports:
  17. icmp-blocks:
  18. rich rules:
  19. //DNS服务器上Firewall开放DNS访问ok










本文来自云栖社区合作伙伴“Linux中国”
原文发布时间为:2013-04-02.
相关文章
|
2月前
|
存储 缓存 算法
分布式锁服务深度解析:以Apache Flink的Checkpointing机制为例
【10月更文挑战第7天】在分布式系统中,多个进程或节点可能需要同时访问和操作共享资源。为了确保数据的一致性和系统的稳定性,我们需要一种机制来协调这些进程或节点的访问,避免并发冲突和竞态条件。分布式锁服务正是为此而生的一种解决方案。它通过在网络环境中实现锁机制,确保同一时间只有一个进程或节点能够访问和操作共享资源。
98 3
|
1月前
|
域名解析 缓存 网络协议
浏览器中输入URL返回页面过程(超级详细)、DNS域名解析服务,TCP三次握手、四次挥手
浏览器中输入URL返回页面过程(超级详细)、DNS域名解析服务,TCP三次握手、四次挥手
|
1月前
|
安全 测试技术 数据安全/隐私保护
原生鸿蒙应用市场开发者服务的技术解析:从集成到应用发布的完整体验
原生鸿蒙应用市场开发者服务的技术解析:从集成到应用发布的完整体验
|
3月前
|
域名解析 网络协议
DNS服务工作原理
文章详细介绍了DNS服务的工作原理,包括FQDN的概念、名称解析过程、DNS域名分级策略、根服务器的作用、DNS解析流程中的递归查询和迭代查询,以及为何有时基于IP能访问而基于域名不能访问的原因。
376 2
DNS服务工作原理
|
3月前
|
自然语言处理 数据可视化 BI
文档解析(大模型版)服务体验评测
体验文档解析(大模型版)服务时,清晰的入门指南、操作手册和FAQ至关重要。若存在不足,需增加直观的操作流程说明(如动画演示)、深化高级功能文档,并提供实时在线支持,帮助用户快速解决问题。
|
3月前
|
弹性计算 自然语言处理 数据可视化
|
2月前
|
网络安全 Docker 容器
【Bug修复】秒杀服务器异常,轻松恢复网站访问--从防火墙到Docker服务的全面解析
【Bug修复】秒杀服务器异常,轻松恢复网站访问--从防火墙到Docker服务的全面解析
44 0
|
2月前
|
存储 缓存 网络协议
搭建dns服务常见报错--查看/etc/named.conf没有错误日志信息却显示出错(/etc/named.conf:49: missing ‘;‘ before ‘include‘)及dns介绍
搭建dns服务常见报错--查看/etc/named.conf没有错误日志信息却显示出错(/etc/named.conf:49: missing ‘;‘ before ‘include‘)及dns介绍
206 0
|
3月前
|
存储 消息中间件 算法
深入解析OpenStack Cinder:块存储服务详解
本文介绍了OpenStack及其块存储服务Cinder。OpenStack是一个开源云计算管理平台,提供基础设施即服务(IaaS),核心服务包括计算、网络、存储等。Cinder主要用于为虚拟机提供持久性块存储,具备多种功能,如卷操作、备份、快照及与实例的交互等。此外,还详细介绍了Cinder的工作流程、命令行操作及不同存储插件的使用。
564 8
|
4月前
|
Java 缓存 数据库连接
揭秘!Struts 2性能翻倍的秘诀:不可思议的优化技巧大公开
【8月更文挑战第31天】《Struts 2性能优化技巧》介绍了提升Struts 2 Web应用响应速度的关键策略,包括减少配置开销、优化Action处理、合理使用拦截器、精简标签库使用、改进数据访问方式、利用缓存机制以及浏览器与网络层面的优化。通过实施这些技巧,如懒加载配置、异步请求处理、高效数据库连接管理和启用GZIP压缩等,可显著提高应用性能,为用户提供更快的体验。性能优化需根据实际场景持续调整。
88 0

相关产品

  • 云解析DNS
  • 推荐镜像

    更多