Guía completa para configurar BIND DNS Resolver en RHEL 9/Rocky 9/Alma 9

¿Quieres configurar un solucionador local seguro en RHEL 9/Rocky 9/Alma 9?

Esta guía lo guiará a través de la implementación paso a paso de un resolver (resolver local) Residencia en UNIR Sobre distribuciones basadas en RHEL 9 Como Rocky Linux 9 y Alma Linux 9 Lo estamos analizando. El objetivo es proporcionar un solucionador seguro, monitorizable y optimizado para su uso en redes internas, servidores en la nube y clústeres de cargas de trabajo. Ideal para webmasters, DevOps, operadores, gamers y equipos de IA que necesitan reducir la latencia y aumentar la estabilidad de la resolución DNS.

Requisitos previos e instalación inicial

Requisitos previos

• Servidor RHEL 9/Rocky Linux 9/Alma Linux 9 Con acceso root o sudo.
• Acceso a Internet para actualizar y descargar sugerencias/reenvíos de root.
• Paquetes unir y utilidades de enlace.

Instalación inicial

Utilice los siguientes comandos para actualizar e instalar BIND:

sudo dnf update -y
sudo dnf install -y bind bind-utils
sudo systemctl enable --now named
sudo systemctl status named

Comprobación de archivos base y validación de la configuración

Archivos y rutas importantes:

• /etc/named.conf — Configuración principal
• /var/nombrado — Directorio de zona predeterminado
• /etc/rndc.clave (después de rndc-confgen -a)
• /var/datos/nombrados — Registros y volcados de caché

Utilice las siguientes herramientas para comprobar rápidamente la configuración:

sudo named-checkconf
sudo named-checkzone example.com /var/named/example.com.zone

Configuración recomendada para un solucionador de almacenamiento en caché (básico)

En /etc/named.conf Sección opciones Edite como sigue. Este es un ejemplo práctico de un solucionador local con restricciones de consulta y reenvíos:

options {
    directory "/var/named";
    listen-on port 53 { 127.0.0.1; 10.10.10.5; };
    listen-on-v6 { none; };
    allow-query { localhost; localnets; 10.10.10.0/24; };
    recursion yes;
    forwarders { 1.1.1.1; 8.8.8.8; };
    dnssec-validation auto;
    managed-keys-directory "/var/named/dynamic";
    minimal-responses yes;
    max-cache-ttl 86400;
    max-ncache-ttl 3600;
    rate-limit {
        responses-per-second 10;
        window 5;
    };
    auth-nxdomain no;
};

Consejos prácticos:

• transportistas Se puede asignar a los resolvers Anycast de la empresa o a Cloudflare/Google; se recomienda utilizar la ubicación más cercana para reducir la latencia.
• respuestas mínimas Y los TTL razonables reducen el tráfico y mejoran el rendimiento.

Generación de claves RNDC y gestión remota

Use RNDC para administrar BIND de forma segura. Primero genere la clave y luego reinicie el servicio:

sudo rndc-confgen -a
sudo systemctl restart named
sudo rndc status

Cortafuegos y SELinux

Apertura de puertos en firewalld

sudo firewall-cmd --permanent --add-port=53/udp
sudo firewall-cmd --permanent --add-port=53/tcp
sudo firewall-cmd --reload

Configuración de SELinux

Si está utilizando SELinux, utilice los siguientes comandos para establecer el contexto y los permisos:

sudo restorecon -Rv /var/named
sudo setsebool -P named_write_master_zones on
sudo semanage port -a -t dns_port_t -p tcp 53
sudo semanage port -a -t dns_port_t -p udp 53

Más seguridad: Restricción, vigilancia y prevención de abusos

Prohibición de duplicación no autorizada (transferencia de zona)

Utilice claves TSIG para evitar AXFR no autorizado en zonas autorizadas. El siguiente ejemplo muestra la definición de clave y la restricción de transferencia permitida:

key "xfr-key" {
    algorithm hmac-sha256;
    secret "BASE64-SECRET";
};
zone "example.com" IN {
    type master;
    file "example.com.zone";
    allow-transfer { key "xfr-key"; };
};

Soluciones para DDoS y limitación de velocidad

• De límite de velocidad Usar en opciones.
• Uso de RPZ (Zona de política de respuesta) Para bloquear dominios maliciosos.
• A nivel de red, utilice soluciones Anti-DDoS y Anycast/BGP para distribuir tráfico malicioso.

DNSSEC y validación

Al activar validación automática de dnssecEl solucionador verifica la firma DNSSEC y rechaza las respuestas maliciosas. Asegúrese de que las claves administradas estén presentes:

sudo ls /var/named/dynamic

Monitoreo, registro y resolución de problemas

Registros y rotación

BIND registra de forma predeterminada. /var/datos/nombrados/ Para administrar archivos desde logrotate Utilice o redirija los registros a syslog/journal.

Comandos funcionales

dig @10.10.10.5 example.com +stats
dig @10.10.10.5 google.com +short
sudo rndc flush
sudo named-checkconf
sudo named-checkzone example.com /var/named/example.com.zone
sudo systemctl status named
sudo journalctl -u named -f

Escenarios avanzados: vistas, horizonte dividido y servidores distribuidos

vistas para horizonte dividido

Responder de manera diferente a los clientes internos y externos puntos de vista Uso. Ejemplo:

acl "internal" { 10.10.10.0/24; localhost; };
view "internal" {
    match-clients { "internal"; };
    recursion yes;
    zone "example.com" {
        type master;
        file "zones/db.example.internal";
    };
};
view "external" {
    match-clients { any; };
    recursion no;
    zone "example.com" {
        type master;
        file "zones/db.example.public";
    };
};

Distribución geográfica y Anycast

Para servicios con requisitos de baja latencia (comerciantes, jugadores), distribuir los resolutores en diferentes ubicaciones y usar Anycast/BGP ofrece los mejores resultados. La empresa que ofrece esta solución cuenta con más de 85 ubicaciones globales Además de infraestructura Anycast y CDN para implementar resolutores distribuidos, protección DDoS y conectividad BGP.

Consejos prácticos para diferentes aplicaciones

Para administradores de sitios web y WordPress

• Utilice el almacenamiento en caché del solucionador interno en servidores en la nube para reducir las búsquedas de DNS.
• Configuración respuestas mínimas y racionalizar los TTL para mejorar la velocidad de carga de la página.
• Se recomienda combinar CDN y DNS para reducir la latencia y aumentar la disponibilidad.

Para clústeres de DevOps y AI/Render

• Ejecute un resolver local en cada nodo o un resolver central de alta capacidad para un acceso más rápido a los registros y recursos.
• Utilice el almacenamiento en caché de DNS en trabajos de CI/CD y descargas de paquetes.
• En entornos grandes, utilice el horizonte dividido para separar los servicios internos y externos.

Para comerciantes y jugadores

• Colocar el resolver en la ubicación geográfica más cercana 85 ubicaciones Recomendado para reducir el ping.
• Utilice solucionadores Anycast y servidores Anti-DDoS para aumentar la estabilidad y protegerse contra ataques.

Ejemplo de configuración de resumen completo (ejemplo rápido)

Una pieza importante de /etc/named.conf:

options {
    directory "/var/named";
    listen-on port 53 { 127.0.0.1; 10.10.10.5; };
    allow-query { localhost; localnets; 10.10.10.0/24; };
    recursion yes;
    forwarders { 1.1.1.1; 8.8.8.8; };
    dnssec-validation auto;
    minimal-responses yes;
    rate-limit { responses-per-second 10; window 5; };
};

Consejos finales y mejores prácticas

• Siempre Ejecute named-checkconf y named-checkzone antes de reiniciar.
• Especifique el acceso limitado a subredes; evite dejar el solucionador abierto para todos.
• Utilice claves TSIG para transferencias de zona y rndc-confgen -a Úselo para una gestión segura.
• Supervise los registros y defina umbrales de alerta para aumento de tráfico o errores.
• Si atiende al público, aproveche la infraestructura anti-DDoS y la distribución geográfica.

¿Por qué implementar este servicio en la infraestructura de nube del proveedor?

Ventajas:

• Implemente solucionadores en diferentes ubicaciones geográficas para reducir el ping y brindar una respuesta rápida.
• Protección avanzada con Anti-DDoS y firewalls de red.
• Integración con CDN y redes distribuidas para aumentar la disponibilidad y reducir la latencia.
• Planes administrados (DNS administrado) y la capacidad de alojar GitLab, bases de datos e infraestructura de IA.

Preguntas frecuentes