Unboundで内向きDNSを建てる | 純規の暇人趣味ブログ
サーバーの台数が増えてきて、「いい加減IP直打ち/hostsで管理するの限界」という状況になったのでUnboundで内向きDNSを建てました。(状況がDNSというものが誕生した時に辿った歴史と全く同じですね) という訳で、設定その他諸々、備忘録兼ねて記事に。 内向きDNSなら何でも良い訳ですが、BINDはひたすらに辛いとかそういう話題をたまに聞くのでパス。 という訳で候補がUnboudとPowerDNSになったのですが、今回は設定が簡単(そう)だとか、軽量(そう)だとかいう噂のUnboundを選択(PowerDNSもWebUIみたいなのが充実しててなかなか魅力的だった) バージョン そう極端な負荷は掛からないだろうと判断したので、ハードにはRaspberry Pi3を使っています。(それでも下手な民生用ルーターよりは高性能だし) バージョンなどは以下の通り。 Raspberry Pi 3B
CentOS 7にunboundをインストールしてDNSキャッシュサーバーにしてみた
DNSといえば昔からBINDが有名だが、BINDは機能が高度化して複雑になっており、それゆえ脆弱性の問題が多く発見される傾向にある。 以下サイトでまとめられているが、1か月に1回は脆弱性情報が公開される印象がある。 ・JPRS DNS関連技術情報 https://jprs.jp/tech/ というわけで、単純なDNSキャッシュサーバーであれば、そろそろBINDを使わなくてもよいのではないか?ということで、unboundというOSSを使ってみることにした。 unbound導入手順 今回はCentOS 7.3にunboundを導入する。 1. yumでunboundをインストール yumを使ってインストールする。 # yum install unbound ------------------------------ 読み込んだプラグイン:fastestmirror Loading mirro
ローカル内のサーバを名前解決してアクセスするためにunboundを使う
ローカル環境にサーバを立ててブラウザなどからアクセスする場合、いちいちサーバのIPアドレスを入力したり、IPアドレスが変わる度に他のユーザに通知したりする必要があり、面倒です。そこで、ローカル環境のサーバにも任意の名前でアクセスできるようにするために、DNSサーバを構築します。構築とはいっていますが、unboundというDNSサーバソフトウェアを使えば、非常に簡単に構築できます。以降にunboundによるDNSサーバの構築手順をメモします。 環境 unboundを動かすサーバ : Linux Mint 16 unboundのインストール まずapt-getでアップデートし、インストールします。以下のコマンドを実行すれば完了します。 unboundの設定ファイル編集 unboundの設定ファイルである unbound.conf は、 /etc/unbound/ にあります。今回の目的を達成す
第386回 Unboundでお手軽に家庭内DNSサーバーを作ろう | gihyo.jp
社内や家庭内でローカルな名前解決をする際、(local.などのサブドメインをつけず)インターネット上に公開しているドメインと同じドメインを使いたいと思うことはないでしょうか。筆者はあります。とはいえ、インターネット上にある権威サーバーに、ローカルIPアドレスを返すレコードを登録するわけにもいきませんよね。そんな時はどうしたらよいでしょう? ある一つのドメインの中で、ローカルな名前はローカル内だけで解決し、かつインターネット上に公開している名前は本来の権威サーバーにクエリーを投げて解決する、ということができればよさそうです。これが実現できると、グローバルIPとローカルIPを両方持つようなサーバー[1]は、家庭内で名前解決をした時のみはローカルIPを返す、というようなこともできそうです。 キャッシュリゾルバであるUnboundにはlocal-data(およびlocal-zoneのtransp
Unbound on CentOS7でローカルDNSサーバを構築してみる - ニートのMEMO
【目標】 ホストOSからnslookupで名前解決できていることの確認とブラウザからIPアドレスではなくドメインでアクセスできればOK 前回までの記事 Vagrantの使い方 katoko.hatenablog.com VagrantでWebServerとUnbound用サーバの構築 katoko.hatenablog.com Unboundの構築 //パッケージの更新 sudo yum -y update //ifconfigでinterfaceにIPアドレスが振られていない場合に振る sudo ifconfig enp0s8 192.168.33.20 netmask 255.255.255.0 //yumでunboundのインストール sudo yum -y install unbound //unboundの設定ファイルを書き換える(基本的にコメントアウトか加筆する) sudo v
Unbound のリトライ処理を追跡してみました : DSAS開発者の部屋
この記事は KLab Advent Calendar 2016 の 15 日目の記事です。 こんにちは。大野です。 KLab では最近、ローカルの DNS キャッシュサーバとして Unbound を使うようになりました。 今までは dnscache を利用していたのですが、キャッシュ削除のためにプロセスを再起動しなければならなかったり、特定のレコードのみを削除することができないといった課題や一部の問合せをキャッシュサーバ内部で解決したいといった要求があり Unbound を導入するに至りました。 Unbound を運用していく中でつまずいた点もありましたので、今回この記事で紹介します。 とある案件で AWS を利用した構成の運用を任されていたのですが、アプリケーションのエラーログには以下のような記録が残っており、何らかの理由で RDS で運用している DB サーバの名前解決に失敗し接続でき
DNS unboundサーバ構築手順(yumでインストール) - Qiita
■はじめに AWSのEC2インスタンス(Amazon Linux)にDNSキャッシュサーバとして、unboundをセットアップする手順になります。 諸事情により、Amazon Route53に作成したPrivateなゾーンについて、Amazon VPC外のサーバからも名前解決する必要が生じた為、Amazon VPC内のEC2インスタンス(Amazon Linux)にDNSキャッシュサーバとしてunboundをインストールしました。 Amazon VPC外のサーバから、unboundサーバを指定して、PrivateなRoute53ゾーンの名前解決を行えるようにする手順になります。 ■追記 本文の例に不適切な箇所がありますので本文修正します。申し訳ありませんが、修正まで少々お待ち下さい。 ↓ http://qiita.com/iwaim@github 様に例示用ドメインをRFC 6761準拠の
キャッシュ DNS サーバを BIND9 から Unbound へ移行 | Open the Next
自宅内の DNS キャッシュサーバについて、BIND9 から Unbound へ移行してみました。 BIND9 はネット上に資料が豊富にあって、割と設定面では困らないのですが、度重なるぜい弱性への対応に疲れがちなので・・・。 例によって、自分用メモです。また、Debian GNU/Linux 8 環境で設定しています。 ・事前準備 /etc/bind とかを念のためバックアップしておきます。 うちの環境では resolvconf はインストールしていないので、/etc/resolv.conf より一時的に DNS サーバのアドレスを 127.0.0.1 から名前変更できるものに変更します。 ・おもむろに bind9 を削除します # apt-get autoremove --purge bind9 ・Unbound をインストールします # apt-get install unbound
Unbound - DNSSECを有効にする方法
By W.C.A. Wijngaards, NLnet Labs, August 2010. DNSSECはDNSのデータを保護するため仕組みです。デジタル署名を使っています。 DNSSECを利用するためには公開鍵の設定が必要です。以下で説明します。 以下に示すのはルートゾーンの2010年のトラストアンカーです。 信頼されたコミュニティの代表者が認証したルートアンカーを検証してください。 そのうちの一つはここにあります(PGP鍵により署名されている): Olaf KolkmanによるDNSSECのルート鍵の宣言 (PGPとHTTPS)で安全なiana websiteから公開されているルート鍵をダウンロードすることもできます。 訳注:ここからはUnbound 1.4.6以前の場合です。 次のような内容を(1行で)記述したファイル/etc/unbound/root.keyを作成します。Unbo
Unbound - DNSSECを無効にする方法
By W.C.A. Wijngaards, NLnet Labs, June 2010. DNSSECが設定されているときに問題を見つけ、その問題が検証と関係があると慎重に評価し、攻撃中ではないと評価しているのであれば、DNSSECを無効にするために以下のステップに従ってもよいでしょう。警告しますが、気軽にDNSSECを無効にしないでくださし。攻撃の被害を受けやすくなります。 管理権限が必要で、設定ファイルを再読み込みするためにサーバを再起動させる必要があります。 1. 寛容なモード 実際にはDNSSECをオフにはしませんが、リゾルバがクライアントに偽の回答を知らせないようにするのをやめます。この解決策は検証の失敗のために遅くなるかもしれませんが、処理を続けることができます。unbound.confファイルに次の記述を追加します: 2. トラストアンカーを削除する unbound.conf
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Make & Review | unboundとbind9の違い