Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- tachtler:dns_unbound_centos_7 [2018/09/04 15:31] – [/etc/unbound/keys.d] klaus
+++ tachtler:dns_unbound_centos_7 [2021/11/28 17:11] (aktuell) – [/etc/unbound/unbound.conf] klaus
@@ Zeile 17: / Zeile 17: @@
                            +--------------+      +--------------+
                            |    unbound   |      |     BIND     |
----> lokales Netzwerk -->  | 192.168.0.20 | -->  |  127.0.0.1   | --> Internet für NICHT (*.)tachtler.net -->
+---> lokales Netzwerk -->  | 192.168.0.20 | <->  |  127.0.0.1   |
                            | 192.168.1.20 |      | tachtler.net |
                            |    DNSSec    |      |    DNSSec    |
                            +--------------+      +--------------+
+                                  |
+                                  +--> Internet für NICHT (*.)tachtler.net/0.168.192.in-addr.arpa -->
 </code>
@@ Zeile 349: / Zeile 351: @@
 <code>
 # chmod 664 /etc/unbound/keys.d/*.key
+</code>
+==== /etc/unbound/root.hints ====
+Anstatt Anfragen an einen öffentlichen DNS-Server (wie z.B. Google 8.8.8.8), oder einen DNS-Server des ISP (Internet Service Providers wie z.B. die Telekom) weiterzuleiten, kann es vorgezogen werden, die **Root-DNS-Server** abzufragen. Nachfolgender Befehl holt die neueste Root-Server-Liste als Datei ab.
+:!: **HINWEIS** - **Dies wird später eingebunden, indem die Weiterleitungseinträge ("Forwardzone"-Abschnitte) in der Konfiguration ausgewählt werden.**
+<code>
+# dig +bufsize=1200 +norec NS . @a.root-servers.net > /etc/unbound/root.hints
 </code>
@@ Zeile 411: / Zeile 423: @@
 Interface, auf denen der [[http://www.unbound.net/|unbound]] Anfragen entgegen nimmt.
+  * <code ini>        outgoing-interface: 192.168.1.20</code>
+Interface, auf denen der [[http://www.unbound.net/|unbound]] Anfragen weiterleitet/bzw. stellt nimmt (Hier der Root-Server-(Liste).
+:!: **HINWEIS** - **Es __kann__ auch ein Interface sein, auf dem der [[http://www.unbound.net/|unbound]] gar nicht lauscht!**
   * <code ini>        do-ip6: no</code>
@@ Zeile 416: / Zeile 434: @@
 **Deaktivieren** von IPv6.
-  * <code ini>        access-control: 127.0.0.0/8 allow
+  * <code ini>        access-control: 127.0.0.0/8 allow_snoop
         access-control: 192.168.0.0/24 allow
         access-control: 192.168.1.0/24 allow
@@ Zeile 423: / Zeile 441: @@
 Von welchen Netzwerken bzw. IP-Adressen Anfragen entgegengenommen werden.
+Wenn [[http://www.unbound.net/|unbound]], die **''+trace''**-Funktion von ''dig'' ebenfalls ausführen soll, kann [[http://www.unbound.net/|unbound]] so konfiguriert werden, dass dieser iterative (**__nicht__ rekursive**) Abfragen ermöglicht. Dies geschieht durch die Verwendung der Option **''allow_snoop''**, anstelle von ''allow'' in der **''access-control:''** Konfiguration.
+:!: **HINWEIS** - **Aus Sicherheitsgründen wird empfohlen, ''allow_snoop'' __nur__ für administrative Netzwerke zu aktivieren, __nicht für die allgemeinen Client-Netzwerke__, die den [[http://www.unbound.net/|unbound]] DNS-Server verwenden!**
+  * <code ini>        root-hints: "/etc/unbound/root.hints"</code>
+Einbinden der der **ROOT-Server-Liste**, da anstatt Anfragen an einen öffentlichen DNS-Server (wie z.B. Google 8.8.8.8), oder einen DNS-Server des ISP (Internet Service Providers wie z.B. die Telekom) weiterzuleiten, sollen die **Root-DNS-Server** verwendet werden.
   * <code ini>        hide-identity: yes</code>
@@ Zeile 444: / Zeile 470: @@
         auto-trust-anchor-file: "/etc/unbound/keys.d/K171.217.88.in-addr.arpa.+010+05364"</code>
-**__Erweitern__** der **''auto-trust-anchor-file''** Angaben und **__weitere__ KSK (Key siging Keys)**, damit die **Chain-of-Trust / Vertrauenskette** auch für **lokale Zonen** abgefragt werden kann und eingehalten wird!
+**__Erweitern__** der **''auto-trust-anchor-file''** Angaben um **__weitere__ KSK (Key Signing Keys)**, damit die **Chain-of-Trust / Vertrauenskette** auch für **lokale Zonen** abgefragt werden kann und eingehalten wird!
+  * <code>        domain-insecure: "localhost"
+        domain-insecure: "1.0.0.127.in-addr.arpa."</code>
+Damit auch eine **__forward__** Anfrage nach ''localhost'' und eine **''reverse''** Anfrage nach ''127.0.0.1'' erfolgreich beantwortet werden können, ist es erforderlich diese von den **DNSSec** gesicherten Zonen auszunehmen.
+  * <code ini>        # Tachtler
+        local-zone: "localhost." nodefault
+        local-zone: "127.in-addr.arpa." nodefault
+        # local-zone: "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa." nodefault
+        # local-zone: "onion." nodefault
+        # local-zone: "test." nodefault
+        # local-zone: "invalid." nodefault
+        # local-zone: "10.in-addr.arpa." nodefault
+        # local-zone: "16.172.in-addr.arpa." nodefault
+        # local-zone: "17.172.in-addr.arpa." nodefault
+        # local-zone: "18.172.in-addr.arpa." nodefault
+        # local-zone: "19.172.in-addr.arpa." nodefault
+        # local-zone: "20.172.in-addr.arpa." nodefault
+        # local-zone: "21.172.in-addr.arpa." nodefault
+        # local-zone: "22.172.in-addr.arpa." nodefault
+        # local-zone: "23.172.in-addr.arpa." nodefault
+        # local-zone: "24.172.in-addr.arpa." nodefault
+        # local-zone: "25.172.in-addr.arpa." nodefault
+        # local-zone: "26.172.in-addr.arpa." nodefault
+        # local-zone: "27.172.in-addr.arpa." nodefault
+        # local-zone: "28.172.in-addr.arpa." nodefault
+        # local-zone: "29.172.in-addr.arpa." nodefault
+        # local-zone: "30.172.in-addr.arpa." nodefault
+        # local-zone: "31.172.in-addr.arpa." nodefault
+        local-zone: "168.192.in-addr.arpa." nodefault
+        local-zone: "0.in-addr.arpa." nodefault
+        # local-zone: "254.169.in-addr.arpa." nodefault
+        # local-zone: "2.0.192.in-addr.arpa." nodefault
+        # local-zone: "100.51.198.in-addr.arpa." nodefault
+        # local-zone: "113.0.203.in-addr.arpa." nodefault
+        # local-zone: "255.255.255.255.in-addr.arpa." nodefault
+        # local-zone: "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa." nodefault
+        # local-zone: "d.f.ip6.arpa." nodefault
+        # local-zone: "8.e.f.ip6.arpa." nodefault
+        # local-zone: "9.e.f.ip6.arpa." nodefault
+        # local-zone: "a.e.f.ip6.arpa." nodefault
+        # local-zone: "b.e.f.ip6.arpa." nodefault
+        # local-zone: "8.b.d.0.1.0.0.2.ip6.arpa." nodefault
+        # And for 64.100.in-addr.arpa. to 127.100.in-addr.arpa.</code>
+Damit auch eine **__reverse__** Anfrage zum erfolgt führt, ist die Definition der **''local-zome''** wichtig. Dies muss für alle Zonen durchgeführt werden für die eine **__reverse__** Auflösung zu einem Ergebnis führen soll.
+:!: **HINWEIS** - **Wenn keine ''local-zone'' Definitionen durchgeführt werden, werden für diese __KEINE__ ''reverse'' Anfragen beantwortet !!!**
+**__Beispiel bei NICHT-Definition__**
+<code>
+# dig -x 192.168.0.10
+; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7_5.1 <<>> -x 192.168.0.10
+;; global options: +cmd
+;; Got answer:
+;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 18038
+;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
+;; OPT PSEUDOSECTION:
+; EDNS: version: 0, flags:; udp: 4096
+;; QUESTION SECTION:
+;168.192.in-addr.arpa.                  IN      PTR
+;; AUTHORITY SECTION:
+.192.in-addr.arpa.           10800   IN      SOA     localhost. nobody.invalid. 1 3600 1200 604800 10800
+;; Query time: 1 msec
+;; SERVER: 192.168.0.20#53(192.168.0.20)
+;; WHEN: Wed Sep 05 07:33:57 CEST 2018
+;; MSG SIZE  rcvd: 110
+</code>
   * <code ini>forward-zone:
-        name: "."
+        name: "tachtler.net"
+        forward-addr: 127.0.0.1
+forward-zone:
+        name: "2.168.192.in-addr.arpa"
+        forward-addr: 127.0.0.1
+forward-zone:
+        name: "1.168.192.in-addr.arpa"
+        forward-addr: 127.0.0.1
+forward-zone:
+        name: "0.168.192.in-addr.arpa"
         forward-addr: 127.0.0.1</code>
-**__Alle__** Anfragen sollen an den DNS-Server, welcher auf der IP-Adresse ''127.0.0.1'' lauscht weitergeleitet werden.
+**__Interne__** Anfragen sollen an den DNS-Server, welcher auf der IP-Adresse ''127.0.0.1'' lauscht weitergeleitet werden. **__Alle__** anderen Anfragen, sollen an die **ROOT-Server-(Liste)** gesendet werden.
 :!: **HINWEIS** - **Dies könnte hier z.B. ein __Authorativer DNS-Server__ sein**, siehe auch den internen Link:
@@ Zeile 467: / Zeile 575: @@
 	interface: 192.168.1.20
 	interface-automatic: no
+        outgoing-interface: 192.168.1.20
 	so-reuseport: yes
 	ip-transparent: yes
@@ Zeile 481: / Zeile 590: @@
 	log-time-ascii: yes
 	pidfile: "/var/run/unbound/unbound.pid"
+        root-hints: "/etc/unbound/root.hints"
 	hide-identity: yes
 	hide-version: yes
@@ Zeile 499: / Zeile 609: @@
 	auto-trust-anchor-file: "/etc/unbound/keys.d/Ktachtler.net.+010+41592.key"
 	auto-trust-anchor-file: "/etc/unbound/keys.d/K171.217.88.in-addr.arpa.+010+05364"
+        domain-insecure: "localhost"
+        domain-insecure: "1.0.0.127.in-addr.arpa."
+        local-zone: "localhost." nodefault
+        local-zone: "127.in-addr.arpa." nodefault
+        local-zone: "168.192.in-addr.arpa." nodefault
+        local-zone: "0.in-addr.arpa." nodefault
 	val-clean-additional: yes
 	val-permissive-mode: no
@@ Zeile 514: / Zeile 630: @@
 include: /etc/unbound/conf.d/*.conf
 forward-zone:
-	name: "."
+        name: "tachtler.net"
-	forward-addr: 127.0.0.1
+        forward-addr: 127.0.0.1
+forward-zone:
+        name: "2.168.192.in-addr.arpa"
+        forward-addr: 127.0.0.1
+forward-zone:
+        name: "1.168.192.in-addr.arpa"
+        forward-addr: 127.0.0.1
+forward-zone:
+        name: "0.168.192.in-addr.arpa"
+        forward-addr: 127.0.0.1
 </code>