Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- tachtler:dns_unbound_centos_7 [2018/09/05 11:23] – [/etc/unbound/unbound.conf] klaus
+++ tachtler:dns_unbound_centos_7 [2021/11/28 17:11] (aktuell) – [/etc/unbound/unbound.conf] klaus
@@ Zeile 17: / Zeile 17: @@
                            +--------------+      +--------------+
                            |    unbound   |      |     BIND     |
----> lokales Netzwerk -->  | 192.168.0.20 | -->  |  127.0.0.1   | --> Internet für NICHT (*.)tachtler.net -->
+---> lokales Netzwerk -->  | 192.168.0.20 | <->  |  127.0.0.1   |
                            | 192.168.1.20 |      | tachtler.net |
                            |    DNSSec    |      |    DNSSec    |
                            +--------------+      +--------------+
+                                  |
+                                  +--> Internet für NICHT (*.)tachtler.net/0.168.192.in-addr.arpa -->
 </code>
@@ Zeile 421: / Zeile 423: @@
 Interface, auf denen der [[http://www.unbound.net/|unbound]] Anfragen entgegen nimmt.
+  * <code ini>        outgoing-interface: 192.168.1.20</code>
+Interface, auf denen der [[http://www.unbound.net/|unbound]] Anfragen weiterleitet/bzw. stellt nimmt (Hier der Root-Server-(Liste).
+:!: **HINWEIS** - **Es __kann__ auch ein Interface sein, auf dem der [[http://www.unbound.net/|unbound]] gar nicht lauscht!**
   * <code ini>        do-ip6: no</code>
@@ Zeile 426: / Zeile 434: @@
 **Deaktivieren** von IPv6.
-  * <code ini>        access-control: 127.0.0.0/8 allow
+  * <code ini>        access-control: 127.0.0.0/8 allow_snoop
         access-control: 192.168.0.0/24 allow
         access-control: 192.168.1.0/24 allow
@@ Zeile 433: / Zeile 441: @@
 Von welchen Netzwerken bzw. IP-Adressen Anfragen entgegengenommen werden.
+Wenn [[http://www.unbound.net/|unbound]], die **''+trace''**-Funktion von ''dig'' ebenfalls ausführen soll, kann [[http://www.unbound.net/|unbound]] so konfiguriert werden, dass dieser iterative (**__nicht__ rekursive**) Abfragen ermöglicht. Dies geschieht durch die Verwendung der Option **''allow_snoop''**, anstelle von ''allow'' in der **''access-control:''** Konfiguration.
+:!: **HINWEIS** - **Aus Sicherheitsgründen wird empfohlen, ''allow_snoop'' __nur__ für administrative Netzwerke zu aktivieren, __nicht für die allgemeinen Client-Netzwerke__, die den [[http://www.unbound.net/|unbound]] DNS-Server verwenden!**
   * <code ini>        root-hints: "/etc/unbound/root.hints"</code>
@@ Zeile 511: / Zeile 523: @@
 **__Beispiel bei NICHT-Definition__**
 <code>
-# dig -x 10.7.0.10
+# dig -x 192.168.0.10
 ; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7_5.1 <<>> -x 192.168.0.10
@@ Zeile 563: / Zeile 575: @@
 	interface: 192.168.1.20
 	interface-automatic: no
+        outgoing-interface: 192.168.1.20
 	so-reuseport: yes
 	ip-transparent: yes
@@ Zeile 617: / Zeile 630: @@
 include: /etc/unbound/conf.d/*.conf
 forward-zone:
-	name: "."
+        name: "tachtler.net"
-	forward-addr: 127.0.0.1
+        forward-addr: 127.0.0.1
+forward-zone:
+        name: "2.168.192.in-addr.arpa"
+        forward-addr: 127.0.0.1
+forward-zone:
+        name: "1.168.192.in-addr.arpa"
+        forward-addr: 127.0.0.1
+forward-zone:
+        name: "0.168.192.in-addr.arpa"
+        forward-addr: 127.0.0.1
 </code>