Τρόπος εγκατάστασης και ρύθμισης παραμέτρων "Διακομιστής DNS Μόνο προσωρινής μνήμης" με "Χωρίς περιορισμό" στο RHEL/CentOS 7
Αποθήκευση διακομιστών ονομάτων με χρήση "Unbound" (είναι ένα λογισμικό διακομιστή DNS επικύρωσης, αναδρομικής και προσωρινής αποθήκευσης), ξανά στο RHEL/CentOS 6.x (όπου x είναι ο αριθμός έκδοσης), χρησιμοποιήσαμε το bind λογισμικό για τη διαμόρφωση των διακομιστών DNS.
Εδώ σε αυτό το άρθρο, πρόκειται να χρησιμοποιήσουμε λογισμικό προσωρινής αποθήκευσης "unbound" για την εγκατάσταση και τη διαμόρφωση ενός διακομιστή DNS σε συστήματα RHEL/CentOS 7.
Οι διακομιστές προσωρινής μνήμης DNS χρησιμοποιούνται για την επίλυση τυχόν ερωτημάτων DNS που λαμβάνουν. Εάν ο διακομιστής αποθηκεύσει προσωρινά το ερώτημα και στο μέλλον τα ίδια ερωτήματα που θα ζητηθούν από οποιονδήποτε πελάτη, το αίτημα θα παραδοθεί από την κρυφή μνήμη «unbound» DNS, αυτό μπορεί να γίνει σε χιλιοστά του δευτερολέπτου από την πρώτη φορά που επιλύθηκε.
Η προσωρινή αποθήκευση θα λειτουργεί μόνο ως πράκτορας για την επίλυση του ερωτήματος του πελάτη από οποιονδήποτε από τους προωθητές. Η χρήση του διακομιστή προσωρινής αποθήκευσης θα μειώσει τον χρόνο φόρτωσης των ιστοσελίδων διατηρώντας τη βάση δεδομένων προσωρινής μνήμης σε μη δεσμευμένο διακομιστή.
Ρύθμιση διακομιστή και πελάτη μου
Για λόγους επίδειξης, θα χρησιμοποιήσω δύο συστήματα. Το πρώτο σύστημα θα λειτουργεί ως διακομιστής Κύριος (Κύριος) DNS και το δεύτερο σύστημα θα λειτουργεί ως τοπικός πελάτης DNS.
Κύριος διακομιστής DNS
Operating System : CentOS Linux release 7.0.1406 (Core)
IP Address : 192.168.0.50
Host-name : ns.tecmintlocal.com
Μηχανή πελάτη
Operating System : CentOS 6
IP Address : 192.168.0.100
Host-name : client.tecmintlocal.com
Βήμα 1: Ελέγξτε το όνομα κεντρικού υπολογιστή και την IP του συστήματος
1. Πριν ρυθμίσετε έναν διακομιστή DNS προσωρινής αποθήκευσης, βεβαιωθείτε ότι έχετε προσθέσει το σωστό όνομα κεντρικού υπολογιστή και έχετε διαμορφώσει τη σωστή στατική διεύθυνση IP για το σύστημά σας, εάν δεν έχετε ορίσει τη στατική διεύθυνση IP του συστήματος.
2. Αφού ορίσετε το σωστό όνομα κεντρικού υπολογιστή και τη στατική διεύθυνση IP, μπορείτε να τα επαληθεύσετε με τη βοήθεια των παρακάτω εντολών.
hostnamectl
ip addr show | grep inet
Βήμα 2: Εγκατάσταση και διαμόρφωση Unbound
3. Πριν εγκαταστήσουμε το πακέτο "Χωρίς δέσμευση", πρέπει να ενημερώσουμε το σύστημά μας στην πιο πρόσφατη έκδοση και μετά μπορούμε να εγκαταστήσουμε το μη δεσμευμένο πακέτο.
yum update -y
yum install unbound -y
4. Αφού εγκατασταθεί το πακέτο, δημιουργήστε ένα αντίγραφο του μη δεσμευμένου αρχείου διαμόρφωσης πριν κάνετε οποιεσδήποτε αλλαγές στο αρχικό αρχείο.
cp /etc/unbound/unbound.conf /etc/unbound/unbound.conf.original
5. Στη συνέχεια, χρησιμοποιήστε οποιοδήποτε από τα αγαπημένα σας προγράμματα επεξεργασίας κειμένου για να ανοίξετε και να επεξεργαστείτε το αρχείο διαμόρφωσης "unbound.conf".
vim /etc/unbound/unbound.conf
Μόλις ανοίξει το αρχείο για επεξεργασία, κάντε τις ακόλουθες αλλαγές:
Διεπαφές
Αναζητήστε Διεπαφή και ενεργοποιήστε τη διεπαφή που θα χρησιμοποιήσουμε ή εάν ο διακομιστής μας έχει πολλές διεπαφές πρέπει να ενεργοποιήσουμε τη διασύνδεση 0.0.0.0.
Εδώ η IP του διακομιστή μας ήταν 192.168.0.50, Λοιπόν, θα χρησιμοποιήσω το μη δεσμευμένο σε αυτήν τη διεπαφή.
Interface 192.168.0.50
Ενεργοποιήστε την υποστήριξη IPv4 και πρωτοκόλλου
Αναζητήστε την ακόλουθη συμβολοσειρά και κάντε την "Ναι".
do-ip4: yes
do-udp: yes
do-tcp: yes
Ενεργοποιήστε την καταγραφή
Για να ενεργοποιήσετε το αρχείο καταγραφής, προσθέστε τη μεταβλητή όπως παρακάτω, θα καταγράψει όλες τις μη δεσμευμένες δραστηριότητες.
logfile: /var/log/unbound
Απόκρυψη ταυτότητας και έκδοσης
Ενεργοποιήστε την παρακάτω παράμετρο για την απόκρυψη ερωτημάτων id.server και hostname.bind.
hide-identity: yes
Ενεργοποιήστε την ακόλουθη παράμετρο για την απόκρυψη ερωτημάτων version.server και version.bind.
hide-version: yes
Έλεγχος πρόσβασης
Στη συνέχεια, αναζητήστε access-control για να επιτρέψετε. Αυτό γίνεται για να επιτρέπεται σε ποιους πελάτες επιτρέπεται να υποβάλουν ερωτήματα σε αυτόν τον μη δεσμευμένο διακομιστή.
Εδώ έχω χρησιμοποιήσει 0.0.0.0, αυτό σημαίνει ότι οποιοσδήποτε στέλνει ερώτημα σε αυτόν τον διακομιστή. Εάν πρέπει να αρνηθούμε το ερώτημα για κάποιο εύρος δικτύου, μπορούμε να ορίσουμε ποιο δίκτυο πρέπει να απορρίπτεται από μη δεσμευμένα ερωτήματα.
access-control: 0.0.0.0/0 allow
Σημείωση: Αντί να επιτρέπεται, μπορούμε να το αντικαταστήσουμε με allow_snoop αυτό θα ενεργοποιήσει ορισμένες πρόσθετες παραμέτρους όπως dig και υποστηρίζει τόσο αναδρομικό όσο και μη αναδρομικό.
Domain Insecure
Στη συνέχεια, πραγματοποιήστε αναζήτηση για μη ασφαλής τομέα. Εάν ο τομέας μας λειτουργεί με κλειδιά δευτερολέπτων DNS, πρέπει να ορίσουμε τον διακομιστή μας διαθέσιμο για μη ασφαλή τομέα. Εδώ ο τομέας μας θα αντιμετωπίζεται ως μη ασφαλής.
domain-insecure: "tecmintlocal.com
Εμπρός Ζώνες
Στη συνέχεια, αλλάξτε τους προωθητές για το ερώτημά μας που ζητήσαμε που δεν εκπληρώνεται από αυτόν τον διακομιστή, θα προωθηθεί στον τομέα ρίζας (. ) και θα επιλύσετε το ερώτημα.
forward-zone:
name: "."
forward-addr: 8.8.8.8
forward-addr: 8.8.4.4
Τέλος, αποθηκεύστε και κλείστε το αρχείο διαμόρφωσης χρησιμοποιώντας wq!.
6. Αφού κάνετε την παραπάνω διαμόρφωση, επαληθεύστε τώρα το αρχείο unbound.conf για τυχόν σφάλματα χρησιμοποιώντας την ακόλουθη εντολή.
unbound-checkconf /etc/unbound/unbound.conf
7. Αφού ολοκληρωθεί η επαλήθευση του αρχείου χωρίς σφάλματα, μπορείτε να επανεκκινήσετε με ασφάλεια την υπηρεσία "χωρίς δέσμευση" και να την ενεργοποιήσετε κατά την εκκίνηση του συστήματος.
systemctl start unbound.service
sudo systemctl enable unbound.service
Βήμα 3: Δοκιμάστε τοπικά την προσωρινή μνήμη DNS
8. Τώρα ήρθε η ώρα να ελέγξουμε την κρυφή μνήμη DNS, κάνοντας ένα «ασκητικό» (ερώτημα) έναν τομέα «india.com». Αρχικά, τα αποτελέσματα της εντολής "drill" για τον τομέα "india.com" θα διαρκέσουν μερικά χιλιοστά του δευτερολέπτου και, στη συνέχεια, κάντε μια δεύτερη άσκηση και σημειώστε τον χρόνο ερωτήματος χρειάζεται και για τις δύο ασκήσεις.
drill india.com @192.168.0.50
Είδατε στην παραπάνω έξοδο, το πρώτο ερώτημα χρειάστηκε σχεδόν 262 msec για να επιλυθεί και το δεύτερο ερώτημα χρειάζεται 0 msec για την επίλυση του τομέα (india.com).
Αυτό σημαίνει ότι το πρώτο ερώτημα αποθηκεύεται προσωρινά στην κρυφή μνήμη DNS, οπότε όταν εκτελούμε δεύτερη φορά το ερώτημα που προβάλλεται από την τοπική κρυφή μνήμη DNS, με αυτόν τον τρόπο μπορούμε να βελτιώσουμε την ταχύτητα φόρτωσης των ιστότοπων.
Βήμα 4: Ξεπλύνετε τα Iptables και προσθέστε κανόνες τείχους προστασίας
9. Δεν μπορούμε να χρησιμοποιήσουμε και τα δύο iptable και τείχος προστασίας ταυτόχρονα στον ίδιο υπολογιστή, αν το κάνουμε και τα δύο θα έρθουν σε διένεξη μεταξύ τους, επομένως Η κατάργηση των κανόνων του ipables θα είναι καλή ιδέα. Για να αφαιρέσετε ή να ξεπλύνετε τα iptables, χρησιμοποιήστε την ακόλουθη εντολή.
iptables -F
10. Αφού καταργήσετε οριστικά τους κανόνες iptables, προσθέστε τώρα μόνιμα την υπηρεσία DNS στη λίστα τείχος προστασίας.
firewall-cmd --add-service=dns
firewall-cmd --add-service=dns --permanent
11. Αφού προσθέσετε κανόνες υπηρεσίας DNS, παραθέστε τους κανόνες και επιβεβαιώστε.
firewall-cmd --list-all
Βήμα 5: Διαχείριση και αντιμετώπιση προβλημάτων Χωρίς περιορισμούς
12. Για να λάβετε την τρέχουσα κατάσταση διακομιστή, χρησιμοποιήστε την ακόλουθη εντολή.
unbound-control status
Απόρριψη προσωρινής μνήμης DNS
13. Εάν σε περίπτωση που θέλετε να έχετε μια ένδειξη από πληροφορίες προσωρινής μνήμης DNS σε ένα αρχείο κειμένου, μπορείτε να τις ανακατευθύνετε σε κάποιο αρχείο χρησιμοποιώντας την παρακάτω εντολή για μελλοντική χρήση.
# unbound-control dump_cache > /tmp/DNS_cache.txt
14. Για να επαναφέρετε ή να εισαγάγετε τη μνήμη cache από το αρχείο που απορρίφθηκε, μπορείτε να χρησιμοποιήσετε την ακόλουθη εντολή.
unbound-control dump_cache < /tmp/DNS_cache.txt
Έκπλυση εγγραφών DNS
15. Για να ελέγξετε εάν η συγκεκριμένη διεύθυνση επιλύθηκε από τους προωθητές μας στον μη δεσμευμένο διακομιστή προσωρινής μνήμης, χρησιμοποιήστε την παρακάτω εντολή.
unbound-control lookup google.com
16. Μερικές φορές, εάν ο διακομιστής προσωρινής μνήμης DNS δεν απαντήσει στο ερώτημά μας, εν τω μεταξύ μπορούμε να το χρησιμοποιήσουμε για να ξεπλύνουμε την κρυφή μνήμη για να αφαιρέσουμε πληροφορίες όπως A, AAA , NS, SO, CNAME, MX, PTR κ.λπ. .. εγγραφές από την κρυφή μνήμη DNS. Μπορούμε να αφαιρέσουμε όλες τις πληροφορίες χρησιμοποιώντας το flush_zone και αυτό θα καταργήσει όλες τις πληροφορίες.
unbound-control flush linux-console.net
unbound-control flush_zone tecmintlocal.com
17. Για να ελέγξετε ποιες προωθήσεις χρησιμοποιούνται αυτήν τη στιγμή για την επίλυση.
unbound-control list_forwards
Βήμα 6: Διαμόρφωση DNS από την πλευρά του πελάτη
18. Εδώ χρησιμοποίησα έναν διακομιστή CentOS 6 ως υπολογιστή-πελάτη μου, η IP για αυτό το μηχάνημα είναι 192.168.0.100 και θα πάω για να χρησιμοποιήσω τη μη συνδεδεμένη διεύθυνση IP του διακομιστή DNS (δηλαδή Κύριο DNS) στη διαμόρφωση της διεπαφής του.
Συνδεθείτε στο μηχάνημα Client και ορίστε την Κύρια IP διακομιστή DNS στην IP του μη δεσμευμένου διακομιστή μας.
Εκτελέστε την εντολή εγκατάστασης και επιλέξτε διαμόρφωση δικτύου από τη διαχείριση δικτύου TUI.
Στη συνέχεια, επιλέξτε διαμόρφωση DNS, εισαγάγετε την IP του μη δεσμευμένου διακομιστή DNS ως Κύριο DNS, αλλά εδώ έχω χρησιμοποιήσει και τα δύο σε Κύριο και Δευτερεύον γιατί δεν έχω άλλο διακομιστή DNS.
Primary DNS : 192.168.0.50
Secondary DNS : 192.168.0.50
Κάντε κλικ στο OK –> Αποθήκευση&Τερματισμός –> Έξοδος.
19. Αφού προσθέσετε τις κύριες και δευτερεύουσες διευθύνσεις IP DNS, τώρα είναι ώρα να επανεκκινήσετε το δίκτυο χρησιμοποιώντας την παρακάτω εντολή.
/etc/init.d/network restart
20. Τώρα είναι ώρα να αποκτήσετε πρόσβαση σε οποιονδήποτε ιστότοπο από το μηχάνημα πελάτη και να ελέγξετε για την προσωρινή μνήμη στον μη δεσμευμένο διακομιστή DNS.
elinks aol.com
dig aol.com
συμπέρασμα
Νωρίτερα είχαμε συνηθίσει να ρυθμίζουμε τον διακομιστή κρυφής μνήμης DNS χρησιμοποιώντας το πακέτο bind σε συστήματα RHEL και CentOS. Τώρα, είδαμε πώς να ρυθμίσετε έναν διακομιστή προσωρινής μνήμης DNS χρησιμοποιώντας μη δεσμευμένο πακέτο. Ελπίζουμε ότι αυτό θα επιλύσει το αίτημα ερώτησής σας πιο γρήγορα από το πακέτο bind.