Si të konfiguroni Local DNS Resolver me Unbound në Ubuntu 22.04


Unbound është softuer i serverit DNS pa pagesë dhe me burim të hapur që mund të përdoret për vërtetimin, rekurzivën dhe ruajtjen e zgjidhësve DNS. Është një server DNS i pasur me veçori që mbështet DNS-mbi-TLS (DoT), DNS-mbi-HTTPS (DoH), Minimizimin e emrit të pyetjeve, përdorimin agresiv të cache-it të vërtetuar nga DNSSEC dhe mbështetje për zonat e autoritetit. Unbound është i përqendruar në privatësinë dhe sigurinë e DNS, por pa sakrifikuar shpejtësinë dhe performancën.

Unbound është zhvilluar kryesisht nga NLnet Labs dhe shpërndahet nën licencën BSD, dhe mbështet veçori moderne në standardet e hapura të serverit DNS. Unbound është audituar me rigorozitet dhe mund të ekzekutohet në Linux, BSD dhe macOS. Unbound është i disponueshëm për shumicën e këtyre OS dhe mund të instalohet nëpërmjet menaxherit të paketave të sistemit.

Në këtë tutorial, ju do të instaloni Unbound në serverin Ubuntu 22.04 dhe do ta konfiguroni atë si një server lokal DNS me disa veçori të aktivizuara, të tilla si DNSSEC, cache DNS, emrat lokalë të domeneve dhe nën-domenet, dhe gjithashtu DNS-over-TLS (DoT ). Ju gjithashtu do të konfiguroni regjistrimin e palidhur nëpërmjet Rsyslog dhe do të logrotoni dhe konfiguroni një makinë klienti Ubuntu për të verifikuar instalimin tuaj Unbound.

Parakushtet

Për të përfunduar këtë tutorial, duhet të keni kërkesat e mëposhtme:

  • Një server Ubuntu 22.04 - Ky shembull përdor një server Ubuntu me emrin e hostit server-unbound dhe adresën IP 192.168.5.100.
  • Një përdorues jo-root me privilegje administratori sudo/root.

Kjo eshte. Tani jeni gati për të vazhduar me instalimin Unound.

Instalimi i serverit DNS të palidhur

Si parazgjedhje, depoja e Ubuntu ofron një paketë Unbound që mund ta instaloni lehtësisht përmes APT. Përpara se të filloni instalimin Unbound, lëshoni komandën e mëposhtme apt për të përditësuar dhe rifreskuar indeksin tuaj të paketës Ubuntu.

sudo apt update

Tani kontrolloni paketën e palidhur të detajeve përmes komandës së mëposhtme.

sudo apt info unbound

Në kohën e këtij shkrimi, depoja e paracaktuar e Ubuntu ofron Unbound 1.13.

Më pas, instaloni Unbound duke përdorur komandën e mëposhtme apt. Kur të kërkohet, futni y për të konfirmuar dhe shtypni ENTER për të vazhduar.

sudo apt install unbound

Prodhimi:

Pasi të instalohet Unbound, ekzekutoni komandën e mëposhtme systemctl për të verifikuar shërbimin Unbound.

sudo systemctl is-enabled unbound
sudo systemctl status unbound

Dalja e aktivizuar konfirmon që Unbound është aktivizuar dhe do të fillojë automatikisht pas nisjes së sistemit. Dhe dalja aktive (duke ekzekutuar) konfirmon që Unbound po funksionon.

Konfigurimi i Unbound si server lokal DNS

Konfigurimi i parazgjedhur i Unbound ndodhet në /etc/unbound/unbound.conf. Në këtë hap, ju do të modifikoni skedarin kryesor të konfigurimit Unbound /etc/unbound/unbound.conf nëpërmjet redaktorit tuaj të preferuar.

Tani do të mësoni rreth konfigurimit bazë të një serveri DNS të palidhur, duke mundësuar memorien e memories DNS, konfigurimin e emrave lokalë të domeneve dhe nën-domaineve, konfigurimin e Unbound si zgjidhës DNS me DoT (DNS-mbi-TLS) të aktivizuar.

Konfigurimi bazë

Hapni skedarin e paracaktuar të konfigurimit Unbound /etc/unbound/unbound.conf duke përdorur redaktorin tuaj të preferuar. Ky shembull përdor nano për redaktimin e skedarit të konfigurimit /etc/unbound/unbound.conf.

sudo nano /etc/unbound/unbound.conf

Shtoni linjat e mëposhtme në skedar. Seksioni server ju lejon të konfiguroni konfigurimet bazë të Unbound. Në këtë shembull, ju do të ekzekutoni Unbound në adresën IP lokale 192.168.5.100 me portën e paracaktuar 53. Gjithashtu, do të konfiguroni regjistrimin në mesazhet e Syslog dhe do të çaktivizoni IPv6. Së fundi, ju do të konfiguroni Unbound për të kërkuar në mënyrë rekursive çdo emër hosti nga serverët rrënjë DNS nëpërmjet skedarit root-hints.

#Adding DNS-Over-TLS support
server:
    use-syslog: yes
    username: "unbound"
    directory: "/etc/unbound"
    tls-cert-bundle: /etc/ssl/certs/ca-certificates.crt
    
    do-ip6: no
    interface: 192.168.5.100
    port: 53
    prefetch: yes

    root-hints: /usr/share/dns/root.hints
    harden-dnssec-stripped: yes

Parametrat e detajeve:

  • use-syslog: aktivizoni regjistrimin në mesazhet e Syslog.
  • emri i përdoruesit: ekzekutohet si përdorues i palidhur, që është përdoruesi i parazgjedhur.
  • Direktoria: drejtoria e parazgjedhur e punës për Unbound është drejtoria /etc/unbound.
  • tls-cert-bundle: Certifikatat e përdorura për të vërtetuar lidhjet e bëra në rrjedhën e sipërme. Në shpërndarjen e bazuar në Debian, skedari i certifikatës ndodhet në /etc/ssl/certs/ca-certificates.crt.
  • do-ip6: përdorni po për të ekzekutuar Unbound me IPv6 ose vendosni jo për të çaktivizuar IPv6.
  • ndërfaqja: ndërfaqja e rrjetit ose adresa IP e palidhur do të funksionojë. Mund të përdorni një adresë IP ose emrin e ndërfaqes si eth0. Gjithashtu, mund të ekzekutoni në një port të caktuar duke shtuar një format si ky [email e mbrojtur].
  • port: specifikoni portën që Unbound do të ekzekutojë dhe kjo portë do të trajtojë lidhjet e klientëve. Porta e parazgjedhur DNS është 53.
  • marrja paraprake: vendoset në po për të mundësuar marrjen paraprake të hyrjeve në cache të mesazheve pothuajse të skaduara.
  • root-hints: një skedar që përmban detaje të serverit DNS rrënjë. Skedari /usr/share/dns/root.hints sigurohet nga paketa dns-root-data. Dhe gjithashtu mund të shkarkoni skedarin root-hints nga këtu https://www.internic.net/domain/named.cache.
  • harden-dnssec-stripped: vendoseni në po për t'u forcuar kundër marrjes së të dhënave të zhveshur nga dnssec.

Aktivizo cache DNS

Më pas, shtoni rreshtat e mëposhtëm për të aktivizuar pyetjen e cache DNS në instalimin tuaj Unbound.

    cache-max-ttl: 14400
    cache-min-ttl: 11000

Parametrat e detajeve:

  • cache-max-ttl: TTL ose Time To Live për RRSset dhe mesazhet në cache DNS. Formati është në sekonda.
  • cache-min-ttl: Koha minimale për të jetuar për cache. Parazgjedhja është 0, por ju mund ta ndryshoni këtë në shijen tuaj, si p.sh. 11000 sekonda. Mos e vendos këtë për më shumë se 1 orë ose do të hasësh në telashe për shkak të të dhënave të vjetruara.

Privatësia dhe siguria e palidhur

Tani mund të shtoni linjat e mëposhtme për të konfiguruar privatësinë dhe sigurinë bazë për Unbound.

    aggressive-nsec: yes
    hide-identity: yes
    hide-version: yes
    use-caps-for-id: yes

Parametrat e detajeve:

  • aggressive-nsec: vendoset në po për të mundësuar NSEC agresive të përdorë zinxhirin DNSSEC NSEC për të sintetizuar NXDOMAIN dhe mohime të tjera. Kontrolloni faqen e internetit të IETF rreth NSEC https://www.ietf.org/archive/id/draft-ietf-dnsop-nsec-ttl-00.html.
  • hide-identity: vendoset në po për të çaktivizuar përgjigjet nga pyetjet e lidhjes rreth id.server ose hostname.bind.
  • hide-version: vendoset në po për të çaktivizuar pyetjet version.server dhe version.bind.
  • use-caps-for-id: vendoset në po për të mundësuar përdorimin e 0x100-encoded në pyetjen për të shmangur përpjekjet për mashtrim .

Përcaktoni listat e rrjetit privat dhe të kontrollit të aksesit (ACL)

Më pas, duhet të përcaktoni adresën private të rrjeteve tuaja dhe ACL-të (Listat e Kontrollit të Qasjes). Sigurohuni që të ndryshoni nënrrjetin lokal në rreshtat e mëposhtëm me mjedisin aktual të rrjetit tuaj.

    private-address: 192.168.0.0/16
    private-address: 192.168.5.0/24
    private-address: 169.254.0.0/16
    private-address: 172.16.0.0/12
    private-address: 10.0.0.0/8
    private-address: fd00::/8
    private-address: fe80::/10

    #control which clients are allowed to make (recursive) queries
    access-control: 127.0.0.1/32 allow_snoop
    access-control: ::1 allow_snoop
    access-control: 127.0.0.0/8 allow
    access-control: 192.168.5.0/24 allow

Parametrat e detajeve:

  • adresa private: përcaktoni nënrrjetet e rrjetit privat në infrastrukturën tuaj. Vetëm emrat domain privat dhe të dhënat lokale lejohen të kenë këto adresa private.
  • control-access: përcaktoni kontrollin e aksesit në të cilin klientët lejohen të bëjnë pyetje (rekurzive) në serverin Unbound. Parametri lejo do të aktivizojë rekurziv, ndërsa allow_snoop do të mundësojë si rekurziv ashtu edhe jo-rekurziv.

Konfiguro domenin lokal

Pas konfigurimit të listave të adresave private dhe kontrollit të aksesit, do të përcaktoni zonën lokale të emrave të domenit tuaj. Kjo është shumë e dobishme, veçanërisht nëse keni shumë aplikacione të vetë-strehuara në rrjetin tuaj lokal. Ju lehtë mund të përcaktoni emrin e domenit ose nën-domainët tuaj dhe të tregoni adresën specifike IP të synuar.

Ky shembull do të krijojë zonën për domenin home.lan me llojin static, më pas do të krijoni nën-domanë të shumtë nëpërmjet të dhënave lokale parametri. Çdo nën-domain do t'i drejtohet një adrese IP specifike dhe gjithashtu do të krijoni regjistrime PTR nëpërmjet parametrit local-data-ptr.

    # local zone
    local-zone: "home.lan." static

    local-data: "firewall.home.lan.  IN A 10.0.0.1"
    local-data: "vault.home.lan.    IN A 10.0.0.2"
    local-data: "media.home.lan.   IN A 10.0.0.3"
    local-data: "docs.home.lan.       IN A 10.0.0.4"
    local-data: "wiki.home.lan.     IN A 10.0.0.5"

    local-data-ptr: "10.0.0.1  firewall.home.lan"
    local-data-ptr: "10.0.0.2  vault.home.lan"
    local-data-ptr: "10.0.0.3  media.home.lan"
    local-data-ptr: "10.0.0.4  docs.home.lan"
    local-data-ptr: "10.0.0.5  wiki.home.lan"

Parametrat e detajeve:

  • zone lokale: përcaktoni domenin lokal këtu.
  • të dhënat lokale: përcaktoni një rekord për nëndomainët dhe cila adresë IP lokale do të zgjidhet.
  • local-data-ptr: përcaktoni rekordin ptr për nëndomenet tuaja.

Tuning dhe shkulje e palidhur e performancës

Shtoni linjat e mëposhtme për të marrë më shumë performancë. Ju mund të rregulloni parametrat e mëposhtëm me mjedisin tuaj aktual.

    num-threads: 4
    msg-cache-slabs: 8
    rrset-cache-slabs: 8
    infra-cache-slabs: 8
    key-cache-slabs: 8
    rrset-cache-size: 256m
    msg-cache-size: 128m
    so-rcvbuf: 8m

Parametrat e detajeve:

  • num-threads: numri i threads që do të krijohen. Vlera duhet të përputhet me bërthamat e CPU të serverit.
  • msg-cache-slabs: numri i pllakave që do të përdoren për memorien e mesazheve. Vendoseni atë në 8 për të optimizuar Unbound për të përdorur më shumë memorie për caching.
  • rrset-cache-slabs: numri i pllakave që do të përdoren për cache RRset. Vendoseni në 8 për të optimizuar Unbound për të përdorur më shumë memorie për cache RRSet.
  • infra-cache-slabs: numri i pllakave që do të përdoren për cache-in e Infrastrukturës. Vendoseni atë në 8 për të optimizuar Unbound për të përdorur më shumë memorie për cache-in e Infrastrukturës.
  • key-cache-slabs: numri i pllakave që do të përdoren për memorien e çelësit. Vendoseni në 8 për të optimizuar Unbound për të përdorur më shumë memorie për cache-in e çelësave.
  • rrset-cache-size: specifikoni sasinë e memories për cache RRSset. Ky shembull përdor 256 MB, me parazgjedhje vetëm 4 MB.
  • msg-cache-size: specifikoni sasinë e memories për cache-in e mesazheve. Ky shembull përdor 128MB, me parazgjedhjen vetëm 4MB.
  • so-rcvbuf: konfiguroni madhësinë e buferit për portën DNS 53/udp në 8 MB. Në sistemin Ubuntu, gjithashtu duhet të vendosni një vlerë më të lartë për parametrin e kernelit net.core.rmem_max.

Konfiguro Unbound si një Zgjidhës DNS me DNS-mbi-TLS (DoT)

Së fundi, shtoni një seksion të ri zone përpara për të konfiguruar Unbound si një zgjidhës DNS për rrjetet tuaja lokale. Ky shembull përdor serverët Quad9 DNS me DoT (DNS-mbi-TLS) të aktivizuar.

forward-zone:
    name: "."
    forward-ssl-upstream: yes
    ## Also add IBM IPv6 Quad9 over TLS
    forward-addr: #dns.quad9.net

Parametrat e detajeve:

  • zone përpara: përcaktoni zonën përpara për Unbound.
  • emri: vendoset në \.\ për të përcjellë të gjitha pyetjet DNS.
  • forward-addr: përdorni një përcjellës specifik për të përcjellë të gjitha pyetjet DNS. Ky shembull përdor Quad9 DNS me DNS-mbi-TLS (DoT) të aktivizuar.

Ruani dhe dilni nga skedari /etc/unbound/unbound.conf kur të mbaroni. Me modifikimin e skedarit të konfigurimit Unbound, tani mund të rinisni shërbimin Unbound dhe të aplikoni ndryshimet.

Kryeni kontrollin e komandës më poshtë dhe verifikoni konfigurimin Unbound. Nëse është i suksesshëm, duhet të merrni një rezultat të tillë si unbound-checkconf: nuk ka gabime në /etc/unbound/unbound.conf.

sudo unbound-checkconf

Më pas, ekzekutoni komandën e mëposhtme për të rritur sistemin tuaj të paracaktuar net.core.rmem_max nëpërmjet skedarit /etc/sysctl.conf. Më pas, aplikoni ndryshimet nëpërmjet komandës sysctl.

echo "net.core.rmem_max= 8388608" >> /etc/sysctl.conf
sudo sysctl -p

Pas kësaj, ekzekutoni komandën e mëposhtme systemctl për të rifilluar shërbimin Unbound dhe për të aplikuar ndryshimet.

sudo systemctl restart unbound

Me këtë, shërbimi Unbound duhet të funksionojë me konfigurimin e ri në adresën IP 192.168.5.100 në portën 53.

Verifikoni listën e porteve të hapura në sistemin tuaj nëpërmjet komandës ss më poshtë.

ss -tulpn

Do të merrni një dalje si kjo - Porta e paracaktuar udp DNS 53 përdoret nga shërbimi Unbound.

Tani që keni përfunduar konfigurimet Unbound, do të konfiguroni murin e zjarrit UFW dhe do të hapni portin e paracaktuar DNS 53.

Vendosja e murit të zjarrit UFW

Në Ubuntu, muri i zjarrit i parazgjedhur që është instaluar është UFW. Është i instaluar, por ende joaktiv. Në këtë hap, do të konfiguroni murin e zjarrit UFW dhe do të hapni portën UDP për Unbound.

Ekzekutoni komandën e mëposhtme për të hapur shërbimin OpenSSH në UFW nëpërmjet komandës më poshtë. Më pas, mund të shtoni portën DNS 53/udp në murin e zjarrit UFW.

sudo ufw allow OpenSSH
sudo ufw allow 53/udp

Më pas, ekzekutoni komandën e mëposhtme për të nisur dhe aktivizuar shërbimin e murit të zjarrit UFW. Kur të kërkohet, futni y për të konfirmuar dhe shtypni ENTER për të vazhduar.

sudo ufw enable

Dalja Firewall-i është aktiv dhe i aktivizuar gjatë nisjes së sistemit konfirmon që muri i zjarrit UFW po funksionon dhe ai është aktivizuar, që do të thotë se muri i zjarrit UFW do të fillojë automatikisht në nisjen e sistemit.

Prodhimi:

Tani ekzekutoni komandën ufw më poshtë për të verifikuar statusin e murit të zjarrit UFW. Duhet të merrni një dalje që statusi UFW është aktiv me shërbimin OpenSSH dhe portën DNS 53/udp të aktivizuar.

sudo ufw status

Prodhimi:

Vendosja e Regjistrit të Palidhur nëpërmjet Rsyslog dhe Logrotate

Pas konfigurimit të murit të zjarrit UFW, tani do të konfiguroni një skedar log për Unbound nëpërmjet rsyslog dhe logrotate. Shërbimi rsyslog do të krijojë një skedar specifik log për Unbound dhe logrotate do të rrotullojë skedarin e regjistrit Unbound në një kohë të caktuar.

Ekzekutoni komandën e mëposhtme për të shtuar një konfigurim të ri Rsyslog /etc/rsyslog.d/unbound.conf për shërbimin Unbound. Me këtë, regjistrat e palidhur do të ruhen në /var/log/unbound.log.

cat <<EOF | sudo tee /etc/rsyslog.d/unbound.conf
# Log messages generated by unbound application
if $programname == 'unbound' then /var/log/unbound.log
# stop processing it further
& stop
EOF

Më pas, ekzekutoni komandën e mëposhtme për të shtuar konfigurimin e logrotate /etc/logrotate.d/unbound për shërbimin Unbound. Kjo do të krijojë rotacion të regjistrit për skedarin e regjistrit të palidhur /var/log/unbound.log çdo ditë.

cat <<EOF | sudo tee /etc/logrotate.d/unbound
/var/log/unbound.log {
  daily
  rotate 7
  missingok
  create 0640 root adm
  postrotate
    /usr/lib/rsyslog/rsyslog-rotate
  endscript
}
EOF

Tani ekzekutoni komandën e mëposhtme systemctl për të rifilluar shërbimet Rsyslog dhe Logrotate. Kjo do të zbatojë ndryshimet që keni bërë në të dy shërbimet.

sudo systemctl restart rsyslog logrotate

Së fundi, mund të verifikoni skedarin e regjistrit duke rifilluar shërbimin Unbound duke përdorur komandën e mëposhtme.

Me këtë, mesazhet që gjenerohen nga shërbimi Unbound gjatë procesit të rinisjes do të ruhen në skedarin e regjistrit /var/log/unbound.log. Ekzekutoni komandën cat për të shfaqur përmbajtjen e skedarit të regjistrit /var/log/unbound.log.

sudo systemctl restart unbound
cat /var/log/unbound.log

Prodhimi:

Konfigurimi i DNS Resolver në klient

Sa i përket anës së klientit, duhet të konfiguroni zgjidhësin DNS dhe të përdorni Unbound si zgjidhës të paracaktuar në sistemin e klientit. Për shpërndarjen e Ubuntu, mund të përdorni NetworkManager, shërbim të zgjidhur nga systemd ose të konfiguroni një skedar statik për /etc/resolv.conf.

Në këtë hap, do të mësoni se si të konfiguroni zgjidhjen DNS në Ubuntu Desktop dhe Ubuntu Server.

Për Desktopin Ubuntu

Shërbimi NetworkManager trajton rrjetëzimin e paracaktuar për versionin e Ubuntu Desktop. Kështu që ju mund të konfiguroni lehtësisht zgjidhësin DNS përmes NetworkManager, i cili mund të bëhet përmes GUI-së së linjës së komandës, ose duke redaktuar skedarin e konfigurimit për secilën ndërfaqe rrjeti.

Për të konfiguruar zgjidhjen DNS përmes linjës së komandës, mund të përdorni nmcli. Ekzekutoni komandën e mëposhtme për të konfiguruar zgjidhësin DNS për ndërfaqen specifike të rrjetit. Ju mund të zëvendësoni emrin e ndërfaqes eth0.

sudo nmcli connection modify eth0 ipv4.dns "192.168.5.100"

Çdo ndërfaqe e menaxhuar nga NetworkManager ka një skedar specifik konfigurimi që ruhet në drejtorinë /etc/NetworkManager/system-connections me formatin .nmconnection.

Ju mund të modifikoni konfigurimin e ndërfaqes me redaktuesin tuaj të preferuar të tekstit dhe të shtoni rreshtat e mëposhtëm në seksionin [ipv4].

[ipv4]
dns=192.168.5.100
ignore-auto-dns=true
never-default=true

Nëse preferoni të përdorni një aplikacion GUI, hapni aplikacionin NetworkManager në kompjuterin tuaj dhe modifikoni emrin e ndërfaqes që dëshironi të modifikoni. Klikoni në skedën Cilësimet IPv4 dhe futni serverin tuaj lokal DNS. Më pas, kliko Ruaj për të konfirmuar.

Për serverin gjenerik Ubuntu

Për makineritë e përgjithshme të serverëve Ubuntu, rrjetëzimi trajtohet nga netplan me shërbimin backend systemd-networkd. Dhe për konfigurimin e zgjidhësit DNS, sistemi systemd-networkd përdoret si systemd-resolved. Pra, për të konfiguruar zgjidhësin DNS në një server të përgjithshëm Ubuntu, mund ta arrini këtë nëpërmjet shërbimit systemd-resolved.

Hapni skedarin e konfigurimit të zgjidhur nga systemd duke përdorur redaktorin tuaj të preferuar. Ky shembull përdor një redaktues nano.

sudo nano /etc/systemd/resolved.conf

Në seksionin [Zgjidhi], hiqni komentin e parametrit DNS dhe futni adresën IP të serverit tuaj lokal DNS.

[Resolve]
DNS=192.168.5.100

Ruani dhe dilni nga skedari kur të përfundoni.

Tani ekzekutoni komandën e mëposhtme për të rifilluar shërbimin e zgjidhur nga systemd dhe për të aplikuar ndryshimet. Më pas, mund të verifikoni statusin e zgjidhësit DNS përmes komandës solvectl si më poshtë.

sudo systemctl restart systemd-resolved
sudo resolvectl status

Nëse është e suksesshme, duhet të shihni një dalje si kjo - Zgjidhësi i paracaktuar DNS është ndryshuar në adresën IP të serverit lokal DNS të palidhur 192.168.5.100.

Testimi i serverit DNS të palidhur

Për të siguruar që DNS i palidhur po funksionon si një zgjidhës DNS, ekzekutoni komandën dig më poshtë nga makina e klientit Ubuntu. Parametri @192.168.5.100 siguron që po përdorni një server DNS të palidhur që funksionon në adresën IP 192.168.5.100.

dig @192.168.5.100

Kur të jetë i suksesshëm, ju merrni një përgjigje nga serveri rrënjë DNS si dalja e mëposhtme. Gjithashtu, do të vini re flamurin ad (të dhëna autentike) në daljen e kokës, që do të thotë se DNSSEC është aktivizuar.

Më pas, ekzekutoni komandën e mëposhtme për të siguruar që klientët mund të kenë akses në emrat e domeneve në internet.

dig github.com
dig duckduckgo.com

Kur të jetë i suksesshëm, duhet të merrni një rekord DNS të detajeve dalëse për domenin github.com dhe duckduckgo.com. Mund të shihni se zgjidhësi DNS që i përgjigjet pyetjes është 127.0.0.53#53, zgjidhur nga sistemi që përdor Unbound si zgjidhësin e paracaktuar. Gjithashtu, mund të shihni Koha e pyetjes për çdo pyetje, Koha e pyetjes në domenin github.com është 1748 dhe për duckduckgo.com është 999.

Dalja për github.com:

Prodhimi për duckduckgo.com:

Nëse e ekzekutoni përsëri komandën dig në krye, koha e pyetjes duhet të reduktohet. Dhe kjo konfirmon që pyetjet tuaja janë ruajtur në memorie të fshehtë dhe cache DNS po funksionon.

dig github.com
dig duckduckgo.com

Hyni në Github pasi të ruhet cache:

Hyni në duckduckgo pasi të keni ruajtur cache:

Më pas, verifikoni domenin lokal ose nën-domain nëpërmjet komandës dig më poshtë. Nëse është i suksesshëm, çdo nën-domain do t'i drejtohet adresës së saktë IP të konfiguruar në skedarin e konfigurimit Unbound /etc/unbound/unbound.conf.

dig firewall.home.lan +short
dig vault.home.lan +short
dig media.home.lan +short

Prodhimi:

Tani ekzekutoni komandën e mëposhtme dig për të siguruar që të dhënat PTR të drejtohen në emrin e saktë të domenit.

dig -x 10.0.0.1 +short
dig -x 10.0.0.2 +short
dig -x 10.0.0.3 +short

Prodhimi:

Ju gjithashtu mund të verifikoni DoT (DNS mbi TLS) përmes tcpdump. Instaloni paketën tcpdump në serverin tuaj Unbound.

sudo apt install tcpdump

Futni y kur të kërkohet dhe shtypni ENTER për të vazhduar.

Tani ekzekutoni komandën tcpdump më poshtë për të monitoruar trafikun në ndërfaqen eth0 me portën DoT 853. Në këtë shembull, DNS i palidhur po funksionon në adresën IP 192.168.5.100 me ndërfaqen eth0.

tcpdump -vv -x -X -s 1500 -i eth0 'port 853'

Kaloni te makina e klientit dhe ekzekutoni komandën e mëposhtme për të hyrë në emrat e domeneve të jashtëm/internet nëpërmjet komandës dig më poshtë.

dig google.com

Prodhimi:

Pas kësaj, kthehuni te serveri Unbound dhe tani duhet të merrni një dalje të ngjashme me këtë në daljen tcpdump.

Me këtë, ju tani keni instaluar dhe konfiguruar Local DNS Server nëpërmjet Unbound në serverin Ubuntu. Gjithashtu, ju keni konfiguruar një zgjidhës DNS në Desktopët dhe Serverët e Ubuntu nëpërmjet NetworkManager dhe të zgjidhur nga sistemi.

konkluzioni

Në këtë udhëzues, ju keni instaluar Serverin lokal DNS të palidhur në një server Ubuntu 22.04. Keni aktivizuar cache DNS, DNSSEC (aktivizuar si parazgjedhje), konfiguroni adresën private dhe ACL, keni shtuar domenin lokal përmes zonës lokale, më pas keni konfiguruar Unbound si zgjidhës DNS me DoT (DNS-mbi-TLS).

Përveç kësaj, ju keni konfiguruar privatësinë dhe sigurinë bazë të DNS, keni optimizuar regjistrat Unbound dhe keni konfiguruar regjistrat Unbound përmes rsyslog dhe logrotate.

Deri në fund të këtij udhëzuesi, ju keni mësuar gjithashtu se si të vendosni një zgjidhës DNS në Desktopët dhe Serverin e Ubuntu nëpërmjet NetworkManager dhe të zgjidhur nga sistemi. Dhe gjithashtu mësova përdorimin bazë të komandës dig për kontrollimin e serverit DNS.