Чтобы иметь локальную проверку DNSSEC, я установил Raspberry Pi (со статическим IP-адресом) с Raspian Jessie и без привязки, чтобы предложить DNS-сервер моей локальной сети.
После того, как я просмотрел несколько руководств и инструкций, я придумал эту конфигурацию, которая, похоже, работает:
# Unbound configuration file for Debian.
#
# See the unbound.conf(5) man page.
#
# See /usr/share/doc/unbound/examples/unbound.conf for a commented
# reference config file.
#
# The following line includes additional configuration files from the
# /etc/unbound/unbound.conf.d directory.
include: "/etc/unbound/unbound.conf.d/*.conf"
server:
verbosity: 1
interface: 0.0.0.0
interface: ::0
access-control: 192.168.0.0/24 allow
hide-identity: yes
hide-version: yes
harden-glue: yes
harden-dnssec-stripped: yes
я использовал dig
для запуска некоторых тестов на соответствие функциональности DNSSEC, и проверка будет работать должным образом.
Поскольку в прошлом я настраивал проверяющий сервер DNSSEC, мне интересно, какие несвязанные вышестоящие серверы используются для обработки DNS-запросов. Как вы можете видеть в моей конфигурации, я не устанавливал никаких восходящих серверов / серверов делегирования, и, похоже, он все еще работает.
Существуют ли определенные жестко запрограммированные корневые серверы, которые без привязки запрашивают запрашиваемые данные DNS, или как это работает?
Мой DHCP-сервер (также мой маршрутизатор) настроен на использование Raspberry Pi в качестве DNS-сервера, а также предлагает его своим клиентам.
Я также проверил /etc/resolv.conf
но он только перечисляет localhost
(как IPv4, так и IPv6), который был создан resolvconf
.
Что интересно, resolvconf
кажется, создает файл в /var/cache/unbound/resolvconf_resolvers.conf
где он пишет форвард-зону, которую я искал, хотя forward-addr
не должно работать, поскольку это адрес маршрутизатора, который, в свою очередь, перенаправляет запросы на Pi. Я проверил это, остановив несвязанную службу, в результате чего этот адрес больше не возвращал никаких результатов, и снова включил его, где он снова возвращает результаты.
Вот содержимое этого файла:
# Generated by resolvconf
forward-zone:
name: "."
forward-addr: 2001:beef:beef: ... :abcd # my router's IPv6 address
Он использует корневые серверы и работает дальше оттуда.