چگونه یک resolver caching-only راهاندازی کنم؟

با نصب بستههای bind و bind-utils و پیکربندی بخش options در /etc/named.conf (recursion yes و forwarders مشخص) و فعالسازی سرویس named، میتوانید یک caching resolver راهاندازی کنید.

آیا باید DNS را برای شبکه عمومی باز کنم؟

خیر؛ برای امنیت بیشتر allow-query را به subnets مشخص محدود کنید و از باز گذاشتن resolver برای عمومی خودداری نمایید.

چگونه از AXFR غیرمجاز جلوگیری کنم؟

برای zoneهای authoritative از کلیدهای TSIG استفاده کنید و allow-transfer را تنها به کلاینتها یا کلیدهای مجاز محدود نمایید.

DNSSEC را چگونه فعال کنم؟

تنظیم dnssec-validation auto در /etc/named.conf و اطمینان از وجود managed-keys-directory (/var/named/dynamic) فرایند اولیه فعالسازی است.

برای محافظت در برابر DDoS چه کار کنم؟

استفاده از rate-limit در کانفیگ BIND، بهرهگیری از RPZ برای بلاککردن دامنههای مخرب و توزیع سرویس با Anycast/BGP و منطقهبندی جغرافیایی توصیه میشود.

Подробное руководство по настройке DNS-резолвера BIND на RHEL 9/Rocky 9/Alma 9

Вы хотите настроить защищенный локальный резолвер на RHEL 9/ Rocky 9/ Alma 9?
Предварительные условия и первоначальная установка
1. Предпосылки
2. Первоначальная установка
Проверка базовых файлов и подтверждение конфигурации.
Рекомендуемая конфигурация для кэширующего резолвера (базовая)
Генерация ключей RNDC и удаленное управление
Межсетевой экран и SELinux
1. Открытие портов в firewalld
2. Настройки SELinux
Повышенная безопасность: ограничение, мониторинг и предотвращение злоупотреблений.
Мониторинг, ведение журналов и устранение неполадок.
1. Журналы и ротация
2. Функциональные команды
Расширенные сценарии: представления, разделенный горизонт и распределенные серверы.
1. виды для разделенного горизонта
2. Географическое распределение и Anycast
Практические советы для различных применений
Пример полной конфигурации (краткий пример)
Заключительные советы и рекомендации
Почему этот сервис внедряется на облачной инфраструктуре провайдера?
Часто задаваемые вопросы

Вы хотите настроить защищенный локальный резолвер на RHEL 9/ Rocky 9/ Alma 9?

Это руководство шаг за шагом расскажет вам о реализации... локальный резолвер На основе СВЯЗЫВАТЬ О распределениях, основанных на RHEL 9 Нравиться Rocky Linux 9 и Alma Linux 9 Мы изучаем этот вопрос. Цель — предоставить безопасный, отслеживаемый и оптимизированный DNS-сервер для использования во внутренних сетях, облачных серверах и кластерах рабочих нагрузок — идеально подходящий для веб-мастеров, специалистов по DevOps, трейдеров, геймеров и команд, занимающихся искусственным интеллектом, которым необходимо уменьшить задержку и повысить стабильность разрешения DNS.

Предварительные условия и первоначальная установка

Предпосылки

Сервер RHEL 9/Rocky Linux 9/Alma Linux 9 С правами root или sudo.
Для обновления и загрузки корневых подсказок/переадресаторов требуется доступ в Интернет.
Пакеты связывать и bind-utils.

Первоначальная установка

Для обновления и установки BIND используйте следующие команды:

sudo dnf update -y
sudo dnf install -y bind bind-utils
sudo systemctl enable --now named
sudo systemctl status named

Проверка базовых файлов и подтверждение конфигурации.

Важные файлы и пути:

/etc/named.conf — Основная конфигурация
/var/named — Каталог зон по умолчанию
/etc/rndc.key (после rndc-confgen -a)
/var/named/data — Журналы и дампы кэша

Для быстрой проверки конфигурации воспользуйтесь следующими инструментами:

sudo named-checkconf
sudo named-checkzone example.com /var/named/example.com.zone

Генерация ключей RNDC и удаленное управление

Используйте RNDC для безопасного управления BIND. Сначала сгенерируйте ключ, а затем перезапустите службу:

sudo rndc-confgen -a
sudo systemctl restart named
sudo rndc status

Межсетевой экран и SELinux

Открытие портов в firewalld

sudo firewall-cmd --permanent --add-port=53/udp
sudo firewall-cmd --permanent --add-port=53/tcp
sudo firewall-cmd --reload

Настройки SELinux

Если вы используете SELinux, воспользуйтесь следующими командами для установки контекста и прав доступа:

sudo restorecon -Rv /var/named
sudo setsebool -P named_write_master_zones on
sudo semanage port -a -t dns_port_t -p tcp 53
sudo semanage port -a -t dns_port_t -p udp 53

Повышенная безопасность: ограничение, мониторинг и предотвращение злоупотреблений.

Запрет на несанкционированное копирование (перенос зон)

Используйте ключи TSIG для предотвращения несанкционированного доступа AXFR в авторитетных зонах. В следующем примере показано определение ключа и ограничение на передачу данных:

key "xfr-key" {
    algorithm hmac-sha256;
    secret "BASE64-SECRET";
};
zone "example.com" IN {
    type master;
    file "example.com.zone";
    allow-transfer { key "xfr-key"; };
};

Предупреждение: для резолвера, использующего только кэширование, обычно отсутствуют главные зоны; однако, если ваш сервер также является авторитетным, Определенно. Разрешить передачу данных с ограничениями.

Решения для защиты от DDoS-атак и ограничения скорости запросов

От лимит скорости Используйте в параметрах.
Использование RPZ (Зона политики реагирования) Для блокировки вредоносных доменов.
На сетевом уровне используйте решения для защиты от DDoS-атак и Anycast/BGP для распространения вредоносного трафика.

DNSSEC и проверка подлинности

Активируя dnssec-validation autoРезолвер проверяет подпись DNSSEC, и вредоносные ответы отклоняются. Убедитесь, что параметр managed-keys присутствует:

sudo ls /var/named/dynamic

Мониторинг, ведение журналов и устранение неполадок.

Журналы и ротация

По умолчанию BIND записывает логи в... /var/named/data/ Для управления файлами из logrotate Использовать или перенаправлять журналы в syslog/journal.

Функциональные команды

dig @10.10.10.5 example.com +stats
dig @10.10.10.5 google.com +short
sudo rndc flush
sudo named-checkconf
sudo named-checkzone example.com /var/named/example.com.zone
sudo systemctl status named
sudo journalctl -u named -f

Расширенные сценарии: представления, разделенный горизонт и распределенные серверы.

виды для разделенного горизонта

По-разному реагировать на внутренних и внешних клиентов. просмотры Пример использования:

acl "internal" { 10.10.10.0/24; localhost; };
view "internal" {
    match-clients { "internal"; };
    recursion yes;
    zone "example.com" {
        type master;
        file "zones/db.example.internal";
    };
};
view "external" {
    match-clients { any; };
    recursion no;
    zone "example.com" {
        type master;
        file "zones/db.example.public";
    };
};

Географическое распределение и Anycast

Для сервисов с низкими требованиями к задержке (трейдеры, геймеры) наилучшими результатами является распределение резолверов в разных местах и использование Anycast/BGP. Компания, предоставляющая это решение, имеет более чем 85 представительств по всему миру А также инфраструктура Anycast и CDN для развертывания распределенных резолверов, защиты от DDoS-атак и подключения по протоколу BGP.

Практические советы для различных применений

Для администраторов веб-сайтов и WordPress

Используйте внутреннее кэширование DNS-серверов на облачных серверах для сокращения количества DNS-запросов.
Параметр минимальные ответы а также оптимизация значений TTL для повышения скорости загрузки страниц.
Для снижения задержки и повышения доступности рекомендуется комбинировать CDN и DNS.

Для кластеров DevOps и AI/рендеринга

Для более быстрого доступа к реестрам и ресурсам запускайте локальный резолвер на каждом узле или высокопроизводительный центральный резолвер.
Используйте кэширование DNS в задачах CI/CD и при загрузке пакетов.
В больших средах используйте стратегию разделения горизонтов (split-horizon) для разделения внутренних и внешних сервисов.

Для трейдеров и геймеров

Размещение решателя в ближайшей географической точке. 85 точек Рекомендуется для снижения пинга.
Используйте Anycast-резолверы и серверы защиты от DDoS-атак для повышения стабильности и защиты от атак.

Пример полной конфигурации (краткий пример)

Важная часть /etc/named.conf:

options {
    directory "/var/named";
    listen-on port 53 { 127.0.0.1; 10.10.10.5; };
    allow-query { localhost; localnets; 10.10.10.0/24; };
    recursion yes;
    forwarders { 1.1.1.1; 8.8.8.8; };
    dnssec-validation auto;
    minimal-responses yes;
    rate-limit { responses-per-second 10; window 5; };
};

Заключительные советы и рекомендации

Всегда Перед перезапуском выполните команды named-checkconf и named-checkzone.
Укажите, что доступ ограничен подсетями; избегайте предоставления доступа к резолверу всем желающим.
Используйте ключи TSIG для передачи зон и rndc-confgen -a Используйте для безопасного управления.
Отслеживайте журналы событий и устанавливайте пороговые значения для оповещений об увеличении трафика или возникновении ошибок.
При оказании услуг населению воспользуйтесь преимуществами инфраструктуры защиты от DDoS-атак и географической распределенностью.

Почему этот сервис внедряется на облачной инфраструктуре провайдера?

Преимущества:

Разместите резолверы в разных географических точках, чтобы уменьшить задержку и обеспечить быструю реакцию.
Расширенная защита с поддержкой DDoS-атак и сетевыми межсетевыми экранами.
Интеграция с сетями CDN и распределенными сетями для повышения доступности и снижения задержки.
Управляемые тарифные планы (управляемый DNS) и возможность размещения GitLab, баз данных и инфраструктуры искусственного интеллекта.

Этот поставщик инфраструктуры располагает более чем 85 представительствами по всему миру, высокопроизводительными облачными серверами, серверами с защитой от DDoS-атак, VPS для торговли и игр, CDN и решениями BGP, подходящими для сервисов, требующих низкого пинга и высокой доступности.