unbound DNS 验证解析器

 

• Unbound是一个缓存DNS解析器。 根区 (.) 内建的权威命名器列表，即所谓的根区域。
• 在接收到 DNS 查询时，它将向根域名服务器查询，并在几乎所有情况下都将接收到顶级域(TLD)权威域名服务器的授权。然后，它会要求域名服务器给出答案。同时将递归地继续，直到找到答案或没有答案可用(NXDOMAIN)。
• 出于性能和效率的原因，该答案被缓存了一段时间(答案的生存时间或TTL)。然后将从缓存中回答第二个相同名称的查询。Unbound也可以做DNSSEC验证。

简介

• 简介
• 描述
• 文件格式
• EXAMPLE
• 选项
  • Server Options
  • zones Options
  • Remote Control Options
  • Stub Zone Options
  • Forward Zone Options(转发区域)
• SEE
• 示例

unbound [-h] [-d] [-p] [-v] [-c cfgfile]
unbound.conf

描述

• Unbound是一个缓存DNS解析器。 根区 (.) 内建的权威命名器列表，即所谓的根区域。
• 在接收到 DNS 查询时，它将向根域名服务器查询，并在几乎所有情况下都将接收到顶级域(TLD)权威域名服务器的授权。然后，它会要求域名服务器给出答案。同时将递归地继续，直到找到答案或没有答案可用(NXDOMAIN)。
• 出于性能和效率的原因，该答案被缓存了一段时间(答案的生存时间或TTL)。然后将从缓存中回答第二个相同名称的查询。Unbound也可以做DNSSEC验证。
• To use a locally running Unbound for resolving put
  nameserver 127.0.0.1
  into resolv.conf(5)
• 如果使用 nsd(8) 需要权威的DNS，需要谨慎的设置，因为权威的命名者和解析器使用相同的端口号(53).
• unbound.conf 用于配置 unbound(8)。
• 文件格式具有(属性 和 值)。有些属性内部有属性。符号是:attribute: value。注释以 “#” 开头，最后一行结束。空行被忽略，就像行开头的空白一样。
• 实用程序 unbound-checkconf(8) 可用于在使用前检查 unbound.conf。

文件格式

• 属性之间必须有空格。属性以冒号 ‘:’ 结尾。属性后面跟着包含（属性 或 值的属性）。
• 可以使用 include: directive 来包含文件。它可以出现在任何地方，它接受一个文件名作为参数。处理继续进行，就好像从包含的文件中复制到配置文件中一样。
• 如果还使用 chroot ，使用包含文件的完整路径名，那么如果启动守护进程的目录等于它的 chroot/working 目录，或者在包含目录 :dir的include 语句之前指定，则包含名称的相对路径名可以工作。
• 通配符可以用于包含多个文件，请参见glob(7)。

EXAMPLE

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37

$ unbound -c /etc/unbound/unbound.conf # 指定一个配置文件   $ kill `cat /etc/unbound/unbound.pid` # 杀死 unbound 程序的 PID   # 下面是一个最小的配置文件。源发行版包含所有的选项 example.conf 配置文件 # unbound.conf(5) config file for unbound(8). server:     directory: "/etc/unbound" # 指定 unbound 服务目录     username: "" # 不执行用户更改     # make sure unbound can access entropy from inside the chroot.     # 列如在 Linux 使用这些命令(on BSD, devfs(8) :     #       mount --bind -n /dev/random /etc/unbound/dev/random     # 或者     #       mount --bind -n /dev/log /etc/unbound/dev/log       chroot: "/etc/unbound" # 指定 unbound 服务的根目录       logfile: "/etc/unbound/unbound.log" # 定义日志文件       pidfile: "/etc/unbound/unbound.pid" # 指定unbound 程序的PID存放文件       # verbosity: 1      # uncomment and increase to get more logging.     # listen on all interfaces, answer queries from the local subnet.       interface: 0.0.0.0 # 监听接口所有端口     interface: ::0     port: 53 # 监听端口     access-control: 10.0.0.0/8 allow # 允许目标网段访问服务     access-control: 2001:DB8::/64 allow     # chroot:     # logfile:     # use-syslog:     include: /etc/unbound/local.d/*.conf

选项

Server Options

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194

statistics-interval:  # 为每个线程将统计信息打印到日志之间的秒数。使用值0或“”禁用。默认是禁用的。   statistics-cumulative:  # 如果启用，统计信息是自启动 unbound 之后累积的，在记录统计信息后不清理统计计数器。默认为 no   extended-statistics:  # 如果启用，则从 unbound-control(8) 打印扩展统计信息。默认关闭，因为跟踪统计信息需要时间。   num-threads:  # 线程数。使用1表示没有线程化。   port:  # 端口号，默认为53，服务器在该端口号上响应查询   interface:     # 接口、地址、端口监听，可以指定多个接口，默认监听 localhost(127.1),如果没有指定默认端口(来自端口)，可以使用 @port 指定端口号(接口和端口号之间不能有有空格)。   ip-address:  # 监听地址，与接口相同   interface-automatic:     # 检测UDP查询的源接口并将其复制到应答。这个特性是实验性的，需要在操作系统中支持特定的套接字选项。默认值是否定的。   outgoing-interface:  # 默认值(all)   outgoing-range:  # 打开的端口数。每个线程可以打开这个数量的文件描述符。必须至少是1。   outgoing-port-permit:     # 允许 unbound 打开此端口或端口范围，用于发送查询。更大数量的允许输出端口增加了抵御欺骗的能力。确保其他守护进程不需要这些端口。     # 默认，使用IANA未分配的1024以上端口。给出一个端口号或一个“低高”的范围，没有空格。   outgoing-port-avoid:     # 不允许 unbound 打开端口范围以发送查询。使用这个来确保 unbound 没有获取另一个守护进程需要的端口。     # 默认情况下，仅使用IANA未分配的1024以上端口。指定一个端口号或一个“低高”的范围，没有空格。   max-udp-size:     # 最大UDP响应大小。65536禁用udp响应大小最大值，并始终使用来自客户机的选择。建议值为512到4096。默认是4096。   msg-buffer-size:     # 消息缓冲区的字节数。默认是65552字节，足够64 Kb数据包，最大DNS消息大小。不能发送或接收大于此值的消息。     # 可以简化为使用更少的内存，但是对DNS数据的一些请求(如对大量资源记录的请求)将导致对客户机的SERVFAIL应答。   msg-cache-size:  # 消息缓存的字节数。默认是4字节。   num-queries-per-thread:  # 每个线程同时服务的查询数量。如果有更多需要服务的查询到达，并且没有查询可以被挤出   jostle-timeout:     # 当服务器非常忙时使用的超时。设置为一个值，该值通常导致一次到授权服务器的往返。     # 如果有太多的查询到达，那么50%的查询将被允许运行到完成，另外50%将被新的入站查询替换，如果它们已经花费了超出允许的时间。     # 这可以防止缓慢查询或高查询率的拒绝服务。     # 默认的200毫秒。其结果是，持久查询的qps与(numqueriesperthread / 2) /(如此长的查询的平均时间)qps有关。     # 短查询的qps可以是(numqueriesperthread /2) / (jostletimeout in whole seconds)每个线程qps，大约(1024/2)*5 = 2560 qps。   infra-host-ttl:     # 主机缓存中的条目的生存时间。主机缓存包含往返时间、跛行和EDNS支持信息。默认是900。   infra-cache-numhosts:  # 缓存信息的主机数量。默认是10000。   infra-cache-min-rtt:     # 基础设施缓存中动态转发超时计算的下限。默认是50毫秒。如果使用需要更多时间进行递归名称解析的转发器，则增加此值。   do-udp:  # 启用 或 禁用 UDP 查询的应答或发出。默认 yes。   do-tcp:   # 启用或禁用 TCP 应答查询，默认 yes   tcp-mss:     # 服务器响应查询的TCP套接字的最大段大小(MSS)。在以太网(例如1220)上低于普通的MSS的值将解决路径MTU问题。     # 注意，并非所有平台都支持套接字选项来设置MSS (TCP_MAXSEG)。默认是系统默认的MSS，由MTU接口和服务器与客户端之间的协商决定。   outgoing-tcp-mss:     # TCP套接字的最大段大小(MSS)用于发出查询(从未绑定到其他服务器)。在以太网(例如1220)上低于普通的MSS的值将解决路径MTU问题。     # 注意，并非所有平台都支持套接字选项来设置MSS (TCP_MAXSEG)。     # 默认是系统默认的MSS，由MTU接口和未绑定服务器与其他服务器之间的协商决定。   tcp-upstream:  # 启用或禁用上游查询是否仅使用TCP进行传输。默认 no   ssl-upstream:  # 启用或禁用上游查询是否仅使用SSL进行传输。默认 no   ssl-service-key:  # 如果启用，则服务器提供者SSL服务位于其TCP套接字上。     # 客户必须使用 ssl-upper: yes。该文件是TLS会话的私钥。     # 公共证书在 ssl-service-pem 文件中。默认是“urned off”，关闭。     # 如果更改，则需要重新启动(reload是不够的)，因为在保留根权限时读取私钥，并在chroot之前读取私钥(如果有的话)。     # 没有提供正常的DNS TCP服务并提供错误，此服务最好使用不同的端口:配置或接口配置中的@port后缀。   ssl-service-pem:  # ssl 服务的公钥证书 pem文件。默认是“urned off”   ssl-port:  # 提供TCP SSL服务的端口号默认为853，只有配置为 @number 的接口才能获得SSL服务。   use-systemd:  # 启用或禁用systemd套接字激活。默认 no   do-daemonize:     # 启用 或 禁用 unbound 服务器作为守护进程分叉到后台。当 unbound 运行为systemd服务时，将值设置为no。默认 yes   access-control:   # 访问控制列表     # netblock 是作为一个IP4或IP6地址给出的，其/size附加给一个无类的网络块。     # 操作可以是deny、reject、allow、allow_snoop、deny_non_local或reje_non_local。     # 如果没有使用 match deny，则使用最特定的 netblock 匹配。       #allow_snoop：     #   提供了非递归访问。allow_snoop的名称指的是缓存探测，一种使用非递归查询检查缓存内容(用于恶意行为)的技术。     #   但是，非递归查询也可以是一个有价值的调试工具(当您想检查缓存内容时)。     #   在这种情况下，对管理主机使用allow_snoop。       # 默认情况下，只有localhost是 allow，其余的是 refused（拒绝）     # 缺省值为 refused       # deny_non_local and refuse_non_loca     #   设置只允许查询权威本地数据的主机，它们不允许完全递归，只允许静态数据。     #   deny_non_local, 不允许的消息将被丢弃, refuse_non_local 接收到错误代码被拒绝。   access-control-tag:  <"list of tags">     # 为访问控制元素分配标签。使用此访问控制元素的客户端使用带有这些标记之一的localzone。     # 标签必须在定义标签中定义。将标签列表括在引号("")中，并在标签之间加空格。     # 如果为一个没有访问控制的netblock配置了访问控制标签，则可以为这个netblock提供一个带有操作允许的访问控制元素。   access-control-tag-action:       # 为给定的访问控制元素设置特定标记的操作。     # 如果您有多个标记值，那么用于查找操作的标记是第一个标记匹配     # 它位于access-control-tag和local-zone-tag之间，其中“first”来自定义标记值的顺序。   chroot:     # 如果启用了chroot，应将configfile (从命令行)作为一个完整路径从原始根传递。     # 在执行chroot之后，配置文件路径中不存在的部分将被删除，以便在重新加载之后能够重新读取配置。     # 所有其他文件路径(工作目录、日志文件、根目录和关键文件)可以通过几种方式指定:     #                                                               作为相对于新根的绝对路径，     #                                                               作为相对于工作的direc‐tory的相对路径，     #                                                               或者作为相对于原始根的绝对路径。     # 在最后一个例子中，路径被调整以删除未使用的部分。pidfile 可以是工作目录的相对路径，也可以是相对于原始根的绝对路径。     # 它是在 chroot 和删除权限之前编写的。这允许 pidfile 为 /var/run/unbound 例如，pid和chroot是 /var/unbound。     # 此外，unbound 可能需要从 chroot 内部访问 /dev/random 。如果指定的chroot是对指定的目录执行的。默认为“/etc/unbound”。     # 如果您给出 “”，则不执行 chroot。   username:     # 如果指定，在绑定端口之后，用户特权将被删除。默认设置是“unbound”。     # 如果指定: "" 。不执行用户更改     # 如果该用户无法绑定端口，重新加载(通过信号HUP)仍然保留打开的端口。     # 如果您更改配置文件中的端口号，以及新的端口号需要特权，然后重新加载将失败;需要重新启动。   directory:  # 设置程序的工作目录。默认"/etc/unbound"   logfile:     # 如果给出了 "" 。那么日志记录将被保存到stderr，或者daemonized。     # 日志文件被附加到以下格式:[seconds since 1970] unbound[pid:tid]: type: message.     # 如果给出此选项，则 use-syslog ，选项将设置为“no”。在SIGHUP上，当重新读取配置文件时，logfile将重新打开(用于追加)。   use-syslog:     # 使用syslog(3)设置 unbound 以向s yslogd 发送日志消息。使用日志工具LOG_DAEMON，标识为“unbound”。     # 当 use-syslog 被打开时，日志文件设置被覆盖。默认情况是登录到syslog。   log-identity:     # 如果给定 "" (默认)，则可执行文件的名称(通常是“unbound”)将被用于向日志报告。     # 输入一个字符串来覆盖，这对于使用不同配置运行多个未绑定实例的系统非常有用，因此可以很容易地区分日志。   log-time-ascii:     # 设置logfile行以在UTC ascii中使用时间戳。默认值为no，它在括号中打印1970年以来的秒数。     # 如果使用syslog，则没有任何效果，在这种情况下，syslog 将打印到日志文件中的时间戳格式化。   log-queries:     # 每个查询向日志打印一行，其中包含日志时间戳和IP地址、名称、类型和类。默认 no   log-replies:     # 每次对日志的回复打印一行，其中包含日志时间戳和IP地址、名称、类型、类、返回代码、要解析的时间，以及缓存和响应大小。默认 no   pidfile:     # 定义进程 PID 存放文件 默认 "/var/run/unbound/unbound.pid"     #          kill -HUP `cat /var/run/unbound/unbound.pid` # 触发一个重载,     #          kill -TERM `cat /var/run/unbound/unbound.pid` # 终止   hide-identity:  # 如果启用 id.server 和 hostname.bind 查询将被拒绝。 identity:  # 设置要报告的标识。如果设置为 "" ，则返回服务器的主机名。 hide-version:  # 如果启用了 version.server 和 version.bind。拒绝查询。 version:  # 将版本设置为指定版本。如果设置为 "" ，则返回初始版本。 hide-trustanchor:  # 如果启用 trustanchor 则 unbound 查询将被拒绝   private-address:  # 默认情况下不启用私有地址。     # 提供IPv4地址或无子网类私人网络地址，不允许为公共互联网名称返回。这种地址的任何出现都将从DNS应答中删除。     # 此外，DNSSEC验证器可能会标记虚假的答案。这可以防止所谓的DNS重新绑定，即用户浏览器被转换为网络代理，允许通过浏览器远程访问您的私有网络的其他部分。     # 有些名称可以包含私有地址，默认情况下，您配置的所有本地数据都是允许的，可以使用私有域指定其他名称。     # 考虑在以后的版本中默认为RFC1918私有IP地址空间启用。这将使 ：     #   10.0.0.0/8、 172.16.0.0/12、 192.168.0.0/16、 169.254.0.0/16、  fd00::/8和fe80:::/10的私人地址成为可能，     # 因为RFC标准规定这些地址在公共互联网上不应可见。打开127.0.0.0/8将阻碍许多垃圾邮件拦截器的使用。添加::ffff:0:0/96阻止ipv4映射的IPv6地址绕过过滤器。   private-domain:     # 允许此域及其所有子域包含私有地址。指定多次允许多个域名包含私有地址。默认没有。   do-not-query-address:     # 不要查询指定的IP地址。可以是IP4或IP6。Append /num 表示一个无类委托 netblock，例如10.2.3.4/24 或 2001::11/64   do-not-query-localhost:  # Default is yes     # 如果是，localhost 将被添加到 do-not-query-address拒绝查询 地址条目中     # IP6:1和IP4 127.0.0.1/8。如果没有，则可以使用localhost向其发送查询   module-config: <"module names"> # 默认是""     # 模块配置，由空格分隔的模块名称列表，用引号包围字符串("")。模块可以是验证器、迭代器。     # 将其设置为 “iterator” 将导致不验证服务器。     # 将其设置为 “validator iterator” 将打开DNSSEC验证。模块的排序很重要。还必须设置信任锚，以便验证是有用的。

zones Options

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64

unblock-lan-zones:  # 开放局域网区域 # Default  is  disabled.     # 如果设置为 yes，私有地址空间反向查找将不再被过滤。当在为该主机提供服务的主机上以dns服务的形式运行时,这允许 unbound 为'LAN'上游发出所有查询。     # 当启用时，只有localhost, 127.0.0.1反向和::1反向区域配置默认的本地区域。     # 当 unbound 作为一组机器的(DHCP) DNS 网络解析器运行时，禁用此选项，在这种查找应该被过滤(RFC遵从性)的情况下，这也会阻止关于本地网络的潜在数据泄漏到上游DNS服务器。   insecure-lan-zones:  # 不安全的 LAN 区域 Default is disabled.     # 如果启用，则不验证私有地址空间中的反向查找。当使用 unblock-lan-zone 时，通常需要这样做   local-zone:       # 配置一个本地区域。如果本地数据不匹配，类型确定要给出的答案。类型是：     # (deny, refuse, static, transparent,  redirect,  nodefault,  typetransparent,inform,  inform_deny,  always_transparent,  always_refuse,  always_nxdomain)。     # 列出默认设置。使用 local-data: 将数据输入到 local zone，local zone 的答案是DNS的权威答案。默认情况下，区域是类IN。       # 如果您需要更复杂的权威数据，包括引用、通配符、CNAME/DNAME支持或DNSSEC权威服务，请在下面的存根区域中详细设置 “stub-zone”。     deny        # (否决)删除查询。如果有来自本地数据的匹配，查询将被回答。     refuse      # (拒绝)发送错误消息回复，使用rcode拒绝。如果有来自本地数据的匹配，查询将被回答。     static      # (静态)如果有来自本地数据的匹配，查询将被回答。否则，查询将使用nodata或nxdomain来回答。     # 对于否定答案，如果在区域顶点域以 local-data 的形式出现，则在答案中包含SOA。     transparent # (透明)如果有来自本地数据的匹配，查询将被回答。否则，如果查询有不同的名称，查询将正常解析。     # 如果查询是针对在 localdata 中指定的名称，但是在 localdata 中没有提供这种类型的数据，则返回noerror nodata应答。     # 如果没有给局部区域，则默认情况下将创建透明区域。       typetransparent                 # 如果有来自本地数据的匹配，查询将被回答。     # 如果查询是一个不同的名称，或者为相同的名称，但是对于不同的类型，查询通常会得到解决。     # 因此，sim‐ilar 到透明但没有在本地数据中列出的类型通常得到解析，因此，如果A记录在本地数据中，不会导致AAAA查询的nodata应答。       redirect    # (重定)查询由区域名称的本地数据回答。区域名称下面可能没有本地数据。     # 这将回答对区域的查询，以及该区域的所有子域，以及该区域的本地数据。它可以用来重定向一个域，以返回一个不同的地址记录给最终用户，     # 使用local-zone:“example.com”重定向和local-data:“example.com”。对www.example.com和www.foo.example.com的查询将被重定向，     # 以便具有web浏览器的用户不能访问后缀example.com的站点。       inform      # (告发)查询得到正常应答，与透明查询相同。客户端IP地址(@portnumber)被打印到日志文件中。     # 日志消息是:timestamp,  unbound-pid,  info:  zonename  inform IP@port queryname 类型类。这个选项可以用于正常的分辨，     # 但是查找受感染名称的机器会被记录下来。在他们身上运行防毒软件       inform_deny # 查询被删除，如“deny”，并被记录，如“inform”。Ie。在不回答查询的情况下找到受感染的机器。     always_transparent                 # 与透明相同，但忽略本地数据并正常解析     always_refuse                 # 与拒绝相同，但忽略本地数据并拒绝查询。     always_nxdomain                 # 与静态相同，但忽略本地数据并返回查询的nxdomain。   local-data: ""     # 配置本地数据，以响应查询。查询必须完全匹配，除非您将local-zone配置为重定向。如果没有完全匹配，则local-zone类型确定进一步的处理。     # 如果局部数据配置为非局部区域的子域，则配置透明的局部区域。对于诸如TXT之类的记录类型，请使用单引号，如local-data: 'example。TXT“文本”。   # 如果您需要更复杂的权威数据(使用引用、通配符、CNAME/DNAME支持或DNSSEC权威服务)，请在下面的存根区域部分中为其设置一个存根区域。   local-data-ptr: "IPaddr name"     # 使用反向的IPv4或IPv6地址和主机名为PTR记录配置本地数据简写。     # 例如 “192.0.2.4 www.example.com”。TTL可以这样插入:“2001:DB8::4 7200 www.example.com”   local-zone-tag:  <"list of tags">     # 为localzones分配标签。只有当使用的访问控制元素具有匹配的标记时，才会应用带标记的localzone。     # 标签必须在定义标签中定义。将标签列表括在引号("")中，并在标签之间加空格。   local-zone-override:       # 覆盖来自匹配netblock的地址的查询的localzone类型。     # 使用此localzone类型，而不考虑为local-zone配置的类型(标记和未标记)，也不考虑使用access-control-tag-action配置的类型。

• 默认区域是localhost，反向127.0.0.1和:1，onion, test, invalid和AS112区域。
• AS112区是反向DNS专用区和预留IP地址，互联网上的服务器无法提供正确答案。
• 默认情况下，它们被配置为指定的nxdomain(没有反向信息)的答案。
• 可以通过指定自己的名称的 ‘local-zone’，或者使用 ‘nodefault’类型来关闭默认值。下面是默认区域内容的列表:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

localhost # 为完整性和满足某些DNS更新工具，提供了NS和SOA记录。默认的内容:     local-zone: "localhost." redirect     local-data: "localhost. 10800 IN NS localhost."     local-data: "localhost. 10800 IN SOA localhost. nobody.invalid. 1 3600 1200 604800 10800"     local-data: "localhost. 10800 IN A 127.0.0.1"     local-data: "localhost. 10800 IN AAAA ::1"   reverse IPv4 loopback # 默认的内容:     local-zone: "127.in-addr.arpa." static     local-data: "127.in-addr.arpa. 10800 IN NS localhost."     local-data: "127.in-addr.arpa. 10800 IN SOA localhost. nobody.invalid. 1 3600 1200 604800 10800"     local-data: "1.0.0.127.in-addr.arpa. 10800 IN PTR localhost."

Remote Control Options

• 在远程控制 : 子句中是远程控制设施的声明。如果启用此功能，则可以使用 unbound-control(8) 实用程序向正在运行的 unbound 服务器发送命令。
• 服务器使用这些子句为连接设置SSLv3 / TLSv1安全性。unbound-control(8) 实用程序还会读取远程控制部分中的选项。
• 要设置正确的自签名证书，请使用 unbound-control-setup(8) 实用程序。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

control-enable:  # 选项用于启用远程控制，默认为“no”。如果关闭，服务器不会侦听控制命令。   control-interface:     # 提供IPv4或v6地址或本地套接字路径以侦听控制命令。默认情况下，localhost(127.0.0.1和::1)被监听。     # 使用0.0.0.0和::0监听所有接口。如果更改了此操作，并且权限已被删除，必须重启服务器以使更改生效。   control-port:     # IPv4或v6监听的端口号，默认是8953。如果更改了此操作，并且权限已被删除，必须重启动服务器以使更改生效。   control-use-cert:     # 连接的证书认证。缺省为“yes”。除非有其他机制阻止不受信任的用户访问远程控制接口，否则不应该更改这一点。   server-key-file:     # 服务器私有密匙的路径，默认为 unbound_server.key。     # 文件由 unbound-control-setup 程序生成。文件被 unbound 服务器使用，但是没有被unbound-con-trol使用。   server-cert-file:     # 服务器自签名证书的路径，默认为 unbound_server.pem。     # 文件由 unbound-control-setup 程序生成。文件由 unbound 服务器使用，也由unbound-control使用。   control-key-file:     # 到控件客户端私钥的路径，默认为 unbound_control.key。     # 文件由 unbound-control-setup 程序生成。文件是由 unbound-control 使用。   control-cert-file:     # 控制客户端证书的路径，默认为 unbound_control.pem。     # 此证书必须与服务器证书签署。文件由 unbound-control-setup 程序生成。文件由 unbound-contro 控件使用。

Stub Zone Options

• 可以有多个 Stub Zone :子句。每个都有一个名称: 和 0或更多的主机名或IP地址。
• 对于 Stub Zone，使用这个 nameservers 列表。类。服务器应该是权限服务器，而不是递归;unbound为存根区域执行递归处理。
• Stub Zone 可用于配置解析器使用的权威数据，而解析器不能使用公共 internet 服务器访问这些数据。这对于公司本地数据或私有区域非常有用。
• 在不同的主机(或不同的端口)上设置权威服务器。输入 Stub Zone stub-addr 的配置项:<主机的ip地址[@port]>。然后，unbound 解析器可以访问数据，而无需参考公共internet。
• 这个设置允许 DNSSEC 签名的区域由该权威服务器提供，在这种情况下，可以将一个可信的密钥条目与公钥一起放入config中，这样 unbound 就可以验证数据。并在私有区域的回复上设置广告位(权威服务器不设置广告位)。这个设置使 unbound 能够回答私有区域的查询，甚至可以设置AD位(‘可信’)，但是这些回复没有设置AA(‘权威性’)位。
• 考虑添加服务器:对域不安全的声明:对于本地区域:如果区域是本地服务区域，则为该区域的名称 nodefault。
• 不安全条款阻止DNSSEC使该区域无效。本地区域nodefault(或透明)子句使(反向)区域绕过unbound对RFC1918区域的过滤。

1 2 3 4 5 6 7 8 9 10 11 12 13

name:  # Name of the stub zone. stub-host:  # Stub Zone 服务器的名称。在使用之前先解析。 stub-addr:  # tub Zone 服务器的IP地址。可以是IP 4或IP 6。要使用带有端口号的DNS通信附加“@”的非默认端口。 stub-prime:  # 此选项默认为off。如果启用，它将执行nsset启动，这类似于根提示，     # 它将开始使用区域当前发布的nameservers列表。因此，如果提示列表超时，解析器会在公网上找正确的列表。   stub-first:  # 如果启用了查询，如果查询失败，将尝试不使用存根子句。     # 无法检索数据，并导致SERVFAIL，因为服务器是不可访问的，而不是使用此子句。默认是否定的。   stub-ssl-upstream:  # 启用或禁用此 stub 查询是否使用SSL进行传输。默认 no

Forward Zone Options(转发区域)

• 可以有多个 forward-zone: 条目。每个都有一个名称:和0或更多的主机名或IP地址。
• 对于 forward zone，这个 nameservers 列表用于将查询转发到。列出为 forward-host:和 forward-addr: 的服务器必须处理查询的进一步递归。因此，这些服务器不是权限服务器，而是(就像 unbound 一样)
• 递归服务器; unbound 不会对转发区域执行递归，它允许远程服务器执行

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

name:  # Name of the forward zone. forward-host:  # 要转发的服务器名称。在使用之前先解析。 forward-addr:  # 服务器的IP地址转发。可以是IP 4或IP 6。要使用带有端口号的DNS通信附加“@”的非默认端口。 forward-first:  # 如果设置为 yes，查询失败，将尝试使用 forward 子句。     # 无法检索数据，并且会导致 SERVFAIL。因为服务器是不可访问，而是在没有这个子句的情况下尝试。默认为 no   forward-ssl-upstream:  #  启用或禁用对此转发器的查询是否使用 SSL 进行传输。 默认值为 "否"。   domain-insecure:     # 将域名设置为不安全，DNSSEC信任链将对域名进行忽略。     # 因此，域名上方的信任锚点不能使具有DS记录的域安全，这样的DS记录就会被忽略。对于域，DLV的键也被忽略。     # 可以多次指定多个域，这些域被视为无符号。如果您为域设置信任锚，它们将覆盖此设置(域是安全的)。     # 如果您希望确保外部查找的信任锚点不影响(未签名的)内部域，那么这将非常有用。外部的DS记录可以为该内部域创建验证失败。

SEE

• nbound.conf(5), unbound-checkconf(8), nsd(8).

示例

• 安装 unbound 解析服务器

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26

yum install unbound -y # 安装 DNS 服务器   firewall-cmd --add-service=dns firewall-cmd --add-service=dns --permanent # 将 DSN 服务添加从防火墙的 trusted 区域   systemctl disable dnsmasq systemctl stop dnsmasq # 关闭 dnsmasq 防止 53 端口被占用   systemctl restart unbound systemctl enable unbound  # 将 DNS 服务设为开机启动   ss -anlp |grep '\<53\>' # 可以看到 所有 unbound 的程序占用端口都为53 u_str  LISTEN     0      100    private/proxywrite 27054      users:(("master",pid=1602,fd=53)) udp    UNCONN     0      0      127.0.0.1:53                  users:(("unbound",pid=69693,fd=17)) udp    UNCONN     0      0      127.0.0.1:53                  users:(("unbound",pid=69693,fd=13)) udp    UNCONN     0      0      127.0.0.1:53                  users:(("unbound",pid=69693,fd=9)) udp    UNCONN     0      0      127.0.0.1:53                  users:(("unbound",pid=69693,fd=5)) udp    UNCONN     0      0      192.168.122.1:53              users:(("dnsmasq",pid=1672,fd=5)) tcp    LISTEN     0      128    127.0.0.1:53                  users:(("unbound",pid=69693,fd=18)) tcp    LISTEN     0      128    127.0.0.1:53                  users:(("unbound",pid=69693,fd=14)) tcp    LISTEN     0      128    127.0.0.1:53                  users:(("unbound",pid=69693,fd=10)) tcp    LISTEN     0      128    127.0.0.1:53                  users:(("unbound",pid=69693,fd=6)) tcp    LISTEN     0      5      192.168.122.1:53              users:(("dnsmasq",pid=1672,fd=6))

• 配置 unbound.conf 配置静态解析 DNS

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47

vim /etc/unbound/unbound.conf server: # 在 server 选项下 配置如下参数：     interface: 127.0.0.1     interface: 10.10.1.200 # 指定监听接口的IP地址     access-control: 0.0.0.0/0 allow # 允许所有网络可以访问     # access-control: 10.10.1.0/24 allow 允许 10.10.1.0 的子网可以访问     username: "" # 指定用户名为：空     directory: "/etc/unbound" # 指定 unbound 工作 目录     pidfile: "/var/run/unbound/unbound.pid" # 指定 PID 存放文件路径     # port: 53     include: /etc/unbound/local.d/*.conf # 指定 local.d 目录中的后缀为“.conf” 的文件为加载的配置文件   cp /etc/unbound/local.d/block-example.com.conf /etc/unbound/local.d/block-holoem-com.conf # 将 block-example.com.conf 模板文件拷贝为 block-holoem.com.conf   vim /etc/unbound/local.d/block-holoem-com.conf  # 编辑指定文件。并插入如下参数 # Example blocking email going out to example.com #       local-data: "example.com. 3600 IN MX 5 127.0.0.1" #       local-data: "example.com. 3600 IN A 127.0.0.1" local-zone: "holoem.com." static # 指定域 holoem.com 为静态解析   local-data: "holoem.com. MX 5 mail.holoem.com." # 定义邮件交换服务器域名 local-data: "holoem.com. NS dns.holoem.com." # 定义 DNS服务器域名 local-data: "holoem.com. IN SOA dns.holoem.com roo.holoem.com. 1000 1000 500 4000 86400"     # 1000：数值优先大小     # 1000：第一次询问时间，默认为秒     # 500：当每 1000 秒询问时无法回应，则改为500秒询问     # 4000：询问无回应后的，超市时间 默认为秒     # 86400：缓存时间   local-data: "www.holoem.com. A 10.10.1.200" local-data: "ftp.holoem.com. A 10.10.1.211" local-data: "mail.holoem.com. A 10.10.1.212" local-data: "tftp.holoem.com. A 10.10.1.213" local-data: "nfs.holoem.com. A 10.10.1.214" # 定义相关域名的解析条目   access-control: 10.10.1.202 refuse # 拒绝指定的地址在 holoem.com DSN查询   unbound-checkconf # 运行配置 unbound 的所有配置文件的检查 unbound-checkconf: no errors in /etc/unbound/unbound.conf systemctl restart unbound # 重启 unbound 服务   host www.holoem.com # 使用 host 解析可以看到，能找到解析条目 www.holoem.com has address 10.10.1.200

• Forward Zone 配置转发 DSN 服务器

• 所有操作都在 Forward Zone 主机上配置，并将 domain-insecure: “holoem.com“ 指定为不验证域 (虽然这样做不安全)，使 holoem.com 域能通过转发，否则转发将失败

Shell

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

cat /etc/unbound/conf.d/example.com.conf > /etc/unbound/local.d/forward-zone-example-com.conf # 将文件内容重定向到新文件 forward-zone-example-com.conf 中，并插入如下内容   # forward-zone: #       name: "example.com" #       forward-addr: 192.0.2.68 # forward-zone: #       name: "example.org" #       forward-host: fwd.example.com forward-zone:                                       # 定义转发域        name: "."                                    # 定义需要转发的域名，“.” 代表将所有域名转发出去        forward-addr: 10.10.1.200                    # 定义转发域名的IP地址：Linux DSN域        forward-addr: 10.12.1.201                    # 定义转发域名的IP地址：Windows DNS 域   vim /etc/unbound/unbound.conf # 编辑配置文件 server:                                         # 在 server 选项下 配置如下参数：         interface: 0.0.0.0                      # 监听所有接口的IP地址         access-control: 0.0.0.0/0 allow         # 允许所有网络可以访问         # access-control: 10.10.1.0/24 allow 允许 10.10.1.0 的子网可以访问         username: ""                            # 指定用户名为：空         directory: "/etc/unbound"               # 指定 unbound 工作 目录         pidfile: "/var/run/unbound/unbound.pid" # 指定 PID 存放文件路径         # port: 53         include: /etc/unbound/local.d/*.conf    # 指定 local.d 目录中的后缀为“.conf” 的文件为加载的配置文件         # Ignore chain of trust. Domain is treated as insecure.         # domain-insecure: "example.com"         domain-insecure: ""                    # 将("" 默认所有)域名指定为不验证的域，虽然这样做不安全         module-config: "iterator"              # 配置模块，将验证器遗失(丢弃)   vim /etc/unbound/local.d/block-example-com.conf # 编辑 local zone 配置文件，输入如下内容   local-zone: "example.com." static # 指定域 holoem.com 为静态解析   local-data: "example.com. MX 5 mail.example.com." # 定义邮件交换服务器域名 local-data: "example.com. NS dns.example.com." # 定义 DNS服务器域名 local-data: "example.com. IN SOA dns.example.com roo.example.com. 1000 1000 500 4000 86400"   local-data: "www.example.com. A 10.12.1.201" local-data: "ftp.example.com. A 10.12.1.201" local-data: "mail.example.com. A 10.12.1.201" local-data: "tftp.example.com. A 10.12.1.201" local-data: "nfs.example.com. A 10.12.1.201" # 定义相关域名的解析条目   unbound-checkconf systemctl restart unbound # 检查配置文件，并重启 unbound 服务   host www.example.com www.example.com has address 10.12.1.201   host www.holoem.com www.holoem.com has address 10.10.1.200   host vcsw.lszyzx.com vcsw.lszyzx.com has address 10.12.1.100   # 可以看到客户机，即能解析 example.com 内部域名，也能解析(Linux)外部域名 holoem.com，也能解析(Windows)外部域名

 DSN，DSN服务器，unboundhttps://www.holoem.com/?p=768