../_images/unbound.svg

Unbound DNS

Unbound является проверяющим, рекурсивным и кэширующим DNS-сервером и позиционируется, как основной DNS сервер TING.

Общие настройки

Перейдите в вкладку: Службы ‣ Unbound DNS ‣ Общие.

На данной вкладке вы сможете выполнить основные настройки:

Включить Unbound

Включить модуль Unbound DNS

Порт прослушивания

Этот порт отвечает на DNS-запросы (по умолчанию 53)

Сетевые интерфейсы

Для ответов клиентам на запросы, будут использоваться IP адреса выбранных интерфейсов. При наличии на интерфейсе IPv4, IPv6, оба адреса будут использоваться. Запросы с отсутствующих интерфейсов будут отклоняться. (По умолчанию используются все имеющиеся IP адреса и интерфейсы)

Включить поддержку DNSSEC

Включить DNSSEC для минимизирования атак, связанных с подменой DNS-адреса при разрешении доменных имён.

Включить поддержку DNS64

Включить DNS64 , чтобы клиенты, использующие только IPv6, могли обращаться к серверам, использующим только IPv4. Если поддержка включена, Unbound синтезирует AAAA-записи для доменов, имеющих только A-записи. Для использования DNS64 требуется NAT64 , например, плагин Tayga или сторонний сервис NAT64. Префикс DNS64 должен совпадать с префиксом IPv6, используемым NAT64.

DNS64 Prefix

Значение по умолчанию 64:ff9b::

Включить режим AAAA-only

Если этот параметр установлен, Unbound удалит все A-записи из раздела ответов во всех ответах DNS.

Регистрация DHCP лицензий

Только для IPv4. Если опция включена, компьютеры, которые указывают свое имя хоста при запросе аренды DHCP, будут зарегистрированы в Unbound, чтобы их имя можно было разрешить. Источником этих данных является client-hostname в файле dhcpd.leases . Также можно посмотреть на странице Аренды адресов.

Переопределение доменного имени DHCP

Доменное имя для регистрации имени хоста DHCP. Если имя не указано, используется системное доменное имя по умолчанию.

Регистрация статических привязок DHCP

Статические сопоставления DHCP будут зарегистрированы в Unbound, чтобы их имя можно было разрешить.

Не регистрировать адреса IPv6 Link-local

Если включено, то локальные адреса IPv6 link-local не будут регистрироваться в Unbound, предотвращая возврат недоступного адреса при настройке более, чем одного интерфейса прослушивания.

Не регистрировать системные записи A/AAAA

Если этот параметр установлен, то записи A/AAAA для настроенных интерфейсов прослушивания генерироваться не будут. При желании вы можете вручную добавить их в Unbound DNS: Переопределения. Используйте этот параметр для управления тем, какие IP-адреса интерфейса сопоставляются с системным хостом/доменным именем а также для ограничения объема информации, предоставляемой в ответах на запросы о системном хосте/доменном имени.

Поддержка TXT-комментариев

Регистрировать описания в качестве комментариев к записям статических dhcp-хостов.

Очистить кэш DNS во время перезагрузки

Используйте различные сетевые интерфейсы, которые Unbound будет использовать для отправки запросов на авторитетные серверы и получения их ответов. По умолчанию используются все интерфейсы. Обратите внимание, что установка явных исходящих интерфейсов работает только тогда, когда они настроены статически.

Тип Локальной Зоны

Используемый тип локальной зоны (по умолчанию прозрачный). [1]

Исходящие сетевые интерфейсы

Используйте различные сетевые интерфейсы, которые Unbound будет использовать для отправки запросов (по умолчанию используются все интерфейсы) [2]

Записи WPAD

Если включено, записи CNAME для узла WPAD всех настроенных доменов будут добавлены автоматически а также переопределены для записей TXT для доменов. Это позволяет автоматически настраивать прокси-сервер в вашей сети но вам не следует включать его, если вы не используете WPAD или если вы хотите настроить его самостоятельно.

Примечание

Если функция Unbound включена, служба DHCP (если включена) будет автоматически обслуживать IP-адрес локальной сети в качестве DNS-сервера для DHCP-клиентов, поэтому они будут использовать Unbound resolver. Если переадресация включена, Unbound будет использовать DNS-серверы, введенные в Система ‣ Настройки ‣ Общие или полученные через DHCP или PPP в WAN, если установлен флажок Разрешить переопределение списка DNS-серверов DHCP/PPP в WAN.

После внесения необходимых изменений нажмите кнопку Сохранить.

Переопределения

В данном разделе вы можете создать отдельные записи определения хоста и указать, должны ли запросы для определённого домена перенаправляться на заранее определённый сервер.

Для создания переопределения хоста или домена вам необходимо нажать + и заполнить соответствующие поля:

Включен

Хост

Имя хоста без доменной части. Используйте «*» для создания записи с подстановочными знаками.

Домен [3]

Домен хоста, например example.com

Тип

Тип записи: A или AAA (IPv4 или IPv6), MX - для определения почтового домена.

IP-адрес

IP адрес DNS сервера пересылки

Описание

Опциональное описание

После настройки нажмите Сохранить.

Для того, чтоб изменения вступили в силу, нажмите Сохранить и Применить изменения

Дополнительно

Настройки по умолчанию Unbound DNS являются оптимальными в большинстве случаев, но при необходимости вы можете внести изменения.

Для этого перейдите на вкладку Дополнительно и внесите необходимые изменения:

Основные настройки

Скройте Идентификационные данные

Если включено, запросы id.server и hostname.bind отклоняются.

Версия скрытия

Если включено, запросы version.serve и version.bind отклоняются.

Поддержка Ключа DNS предварительной выборки

DNSKEY выбираются на упреждение в процессе проверки, когда встречается

Ужесточить данные DNSSEC

Данных DNSSEC требуют основанные на доверии зоны. Если такие данные отсутствуют, зона становится ложной. Если отключено и никакие данные DNSSEC не получены, зона делается небезопасной.

Строгая минимизация QNAME

Отправлять минимум информации на вышестоящие серверы, чтобы повысить конфиденциальность. Не переходить к отправке полного QNAME потенциально неработающим DNS-серверам. Многие домены не будут разрешаться при включении этого параметра. Используйте эту функцию только в том случае, если знаете, что делаете.

Буфера исходящего TCP

Количество буферов исходящего TCP для распределения потока согласно то условиям. Значение по умолчанию – 10. Если выбрано 0, TCP-запросы к

Входящие буферы TCP

Количество буферов входящего TCP для распределения потока согласно условиям. Значение по умолчанию – 10. Если выбрано 0, то TCP-запросы от клиентов принимаются.

Количество запросов на поток

Количество запросов, которые каждый поток обслужит одновременно. Если и придет больше запросов, которые нужно обслужить, нет запросов, которые можно объединить, то эти запросы сбрасываются.

Исходящий диапазон

Количество портов, которые необходимо открыть. Это число дескрипторов файлов, которое может быть открытом в одном потоке.Большее число требует дополнительных ресурсов от операционной системы. Для повышения производительности лучше всего использовать очень большое значение. (Обычно, используется удвоенное количество запросов на поток).

Тайм-аут компрессии

Этот тайм-аут используется, когда сервер очень занят. Защищает от отказа в обслуживания с помощью медленных запросов или запросов с высоким рейтингом. Значение по умолчанию - 200 миллисекунд.

Частные домены

Список доменов, которые нужно пометить, как частные. Этим доменам и всем их поддоменам разрешено содержать частные адреса.

Rebind protection networks

Это адреса в вашей частной сети, которые запрещено использовать для публичных интернет-имён. Любые случаи появления таких адресов удаляются из ответов DNS. Дополнительно, валидатор DNSSEC может пометить ответы фиктивными - это защищает от атак, связанных с DNS Rebinding (перепривязывание DNS). [Применяется только в том случае, если включен параметр Проверка DNS Rebinding в Администрирование].

Небезопасные домены

Список доменов, которые нужно пометить как небезопасные. Цепочка доверия DNSSEC игнорируется в отношении этого доменного имени.

Обрабатывать просроченные настройки

Обрабатывать просроченные ответы

Выдавать просроченные ответы из кэша с TTL 0 - без ожидания, когда произойдёт реальное разрешение.

Настройки журналирования

Расширенная статистика

Если включено, расширенная статистика будет записываться в syslog.

Запросы журнала

Если включено, в журнал выводится по одной строке на каждый запрос, с временной меткой и IP-адресом, именем, типом и классом. Печать этих строк занимает какое-то время, что делает работу сервера значительно медленней. Непечатаемые символы в именах выводятся в виде ?.

Журналировать ответы (log replies)

Если включено, в журнал выводится одна строка с каждым ответом, в которой указывается временная метка, IP-адрес, имя, тип, класс, код возврата, время разрешения, наличие ответа из кэша и размер ответа. Печать строк занимает время, что делает работу серверу значительно медленней. Непечатаемые символы в именах выводятся в виде ?.

Tag Queries and Replies

Если включено, печатает слова query: и reply: для каждого запроса и ответа. Это делает фильтрацию журнала проще.

Журналировать локальные действия (local actions)

Если включено, печатает в журнал информацию о действиях в локальной зоне. Если включено, печатает в журнал строки с информацией о действиях в локальной зоне. Эти строки похожи на вывод для локальной зоны типа inform, но они также выводятся и для других типов локальных зон.

Журналировать SERVFAIL

Если включено, печатает в журнал строки, в которых говорится, почему запросы возвращают клиентам SERVFAIL. Это отделено от подробного отладочного журналирования, намного меньше и выводится на уровне ошибок, а не на уровне отладочной информации из подробностей.

Уровень детализации журнала

Выбер уровня детализации журнала:

  • Уровень 0 означает отсутствие детализации - только ошибки.

  • Уровень 1 дает оперативную информацию (значение по умолчанию).

  • Уровень 2 даёт подробную оперативную информацию.

  • Уровень 3 дает информацию об уровне запроса, ответ на запрос.

  • Уровень 4 дает информацию об уровне алгоритма.

  • Уровень 5 регистрирует идентификацию клиента для пропусков кэша.

Журналировать уровень проверки (validation level)

Если включено, средство проверки будет печатать в журнал ошибки проверки, вне зависимости от настроек детализации. Возможные значения:

  • Уровень 0 (по умолчанию).

  • Уровень 1 - для каждого неудачного запроса пользователя в журнал выводится строка. Таким образом, можно отслеживать, что происходит с проверкой. Для выяснения причин, почему проверка происходит для этих запросов, можно использовать инструменты диагностики dig или drill.

  • Уровень 2 - выводится не только неудачный запрос, но и причина, по которой Unbound посчитал его ошибочным, и какой север отправил ошибочные данные.

Настройки кэша

Поддержка предварительной выборки

Элементы кэша сообщений предварительно выбираются до истечения срока их действия, что помогает поддерживать кэш в актуальном состоянии. Если эта опция включена, это может привести к увеличению примерно на 10% DNS-трафика и нагрузки на сервер, но срок действия часто запрашиваемых элементов в кэше не истечёт.

Пороговое значение нежелательных ответов

Если включен, общее количество нежелательных ответов продолжают отслеживаться в каждом потоке. Когда оно доходит до порога, принимаются защитные меры, и в журнал заносится предупреждение. Это защитное поведение служит для очистки RRset и кэшей сообщений. По умолчанию отключен, но если включен, предлагается значение в 10 миллионов.

Размер кэша сообщений

Размер кэша сообщений. Кэш сообщений хранит возвращаемые коды DNS и статусы проверки. Кэш RRSet будет автоматически настроен на двойную величину.

Размер кэша RRset

Кэш RRSet содержит фактические данные RR. Настройки по умолчанию – 4 Мбайт.

Максимальный ТТЛ для RRsets и сообщений

Сконфигурируйте максимальное время жизни для RRsets и сообщений в кэше. По умолчанию – 86400 секунд (1 день). Когда внутренний TTL истекает, элемент кэша тоже истекает. Настройка может использоваться, чтобы заставить резолвер запрашивать данные чаще и не доверять (очень большим) значениям TTL.

Максимальный отрицательный TTL для сообщений и RRsets

Сконфигурируйте максимальное отрицательное время жизни для RRsets и сообщений в кэше. По истечение внутреннего TTL, элемент кэша с отрицательным ответом становится недействительным. Эту функцию можно настроить, чтобы заставить резолвер чаще запрашивать данные в случае, если вы не получите достоверный ответ.

Минимальный ТТЛ для RRsets и сообщения

Сконфигурируйте минимальное время жизни для RRsets и сообщений в кэше. По умолчанию – 0 секунд. Если включается минимальное значение, данные кэшируются на дольше, чем планирует владелец домена, и, таким образом, совершается меньше запросов для поиска данных. Значение 0 гарантирует, что в кэше имеются данные, запланированные владельцем домена. Высокие значения могут привести к проблемам, поскольку данные в кэше могут больше не соответствовать фактическим данным.

TTL записей кэша хоста

Время жизни для записей в кэше хоста. Кэш хоста содержит двустороннее время прохождения пакета и информацию о поддержке EDNS. Значение по умолчанию составляет 15 минут.

Продолжать проверять недоступные хосты

Продолжать проверять неработающие хосты в кэше хоста инфраструктуры. Такие хосты опрашиваются, примерно, каждые 120 секунд с экспоненциальной выдержкой . Если хосты не отвечают в течение этого времени, они помечаются как неработающие на время TTL кэша хостов. Этот параметр можно использовать в сочетании с TTL записей кэша хоста, чтобы повысить скорость отклика, если часто происходят отказы интернет-соединения.

Количество кэшируемых хостов хостов

Количество хостов, для которых информация кэширована. Значение по умолчанию - 10000.

После внесения необходимых изменений нажмите кнопку Сохранить.

Для того, чтоб изменения вступили в силу, нажмите Применить изменения

Списки доступа (ACL)

Списки доступа определяют хосты и сети, а также действия, которые им разрешены либо запрещены с данным DNS сервером.

Списки доступа для сетей, принадлежащих сконфигурированным на устройстве интерфейсам, создаются автоматически и не изменяются.

Для создания списка доступа необходимо нажать кнопку Добавить в правом верхнем углу и заполнить необходимые поля:

Включен

Имя списка доступа

Укажите имя списка доступа.

Действие

Что делать с DNS-запросами, которые соответствуют указанным ниже условиям.

Сети

Укажите сеть для которой создается данный список доступа (можно указать несколько элементов).

Описание

Описание данного списка доступа.

Укажите действие для совпавшего запроса:

  • Разрешить: Разрешает запросы с хостов, попадающих в сетевой блок, определенный ниже.

  • Запретить: Прекращает запросы с хостов, попадающих в сетевой блок, определенный ниже.

  • Отклонить: Прекращает запросы с хостов, попадающих в сетевой блок, определенный ниже, и отправляет клиенту ошибку REFUSED.

  • Разрешить отслеживание: Разрешает рекурсивный и нерекурсивный доступ с хостов, попадающих в сетевой блок, определенный ниже. Используется для отслеживания кеша и как правило этот параметр следует настраивать для административного хоста.

  • Запретить нелокальные: Разрешает только авторитетные локальные запросы от хостов, попадающих в сетевой блок, определенный ниже. Запрещенные сообщения отбрасываются.

  • Отказать нелокальным: Разрешает только авторитетные локальные запросы от хостов, попадающих в сетевой блок, определенный ниже. Отправляет клиенту ошибку REFUSED для сообщений, которые были отклонены.

Примечание

Наиболее подробно описанный список доступа считается совпавшим.

Если совпадений нет, то работает правило Запретить.

Порядок правил не имеет значения.

После настройки нажмите Сохранить.

Для того, чтоб изменения вступили в силу, нажмите Применить изменения

Блок-лист (списки блокировки)

Списки блокировки позволяют проводить фильтрацию DNS запросов по предопределенным спискам, собственным спискам, а также создавать исключения из них.

Для этого перейдите в раздел Службы ‣ Unbound ‣ Блоклист и выполните настройку, согласно собственных требований:

Включен

Включить использование списков блокировки DNS.

SafeSearch принудительно

Принудительное использование SafeSearch в Google, Youtube, DuckDuckGo, Bing, Qwant и Pixabay.

Тип DNSBL

Выберите типы DNSBL (можно выбрать множество значений).

URL-адреса списков блокировки

Список доменов, с которых будет загружен блок-лист.

Белый список доменов

Список исключений доменов (белый список). Можно использовать регулярные выражения.

Список блокировки доменов

Список доменов для блокировки (blocklist). Поддерживаются только точные совпадения.

Подстановочные домены (wildcard domens)

Список доменов с wildcard в черный список. Все поддомены данного домена будут заблокированы. Блокировка доменов первого уровня не поддерживается.

Адрес назначения

IP-адрес назначения для записей в списке блокировки (оставьте пустым, чтобы использовать значение по умолчанию: 0.0.0.0). Не используется, если установлен флажок Вернуть NXDOMAIN.

Вернуть NXDOMAIN

Использовать код ответа DNS NXDOMAIN вместо адреса назначения.

После настройки нажмите Применить.

Перенаправление запросов

Раздел Перенаправление запросов (Query Forwarding) позволяет вводить произвольные DNS-серверы для пересылки запросов. Предполагается, что DNS-серверы, введённые здесь, способные обрабатывать дальнейшую рекурсию для любого запроса. Здесь можно указать DNS-серверы для пересылки для определённых доменов, запрашиваемых клиентами, перехватывать все домены и указывать нестандартные порты.

Использовать системные DNS-серверы

Настроенные системные серверы имён будут использоваться для перенаправления запросов. Это отменит все записи, сделанные в пользовательской таблице переадресации, за исключением элементов, направленных на определённый домен. Если в системе нет серверов имён, вам будет предложено добавить их в разделе. Если вы ожидаете DNS-сервер из глобальной сети, а его нет в списке, убедитесь, что установлен параметр Позволить переопределить список DNS-серверов DHCP/PPP на WAN (там же).

Предупреждение

Не используйте опцию системных DNS-серверов, если у вас настроен Multi-WAN и Unbound работает вместе с несколькими DNS-серверами, настроенными в разделе с отдельными шлюзами, назначенными для них. Unbound будет использовать локально созданные маршруты для достижения системных DNS-серверов (которые не будут работать, если шлюз не работает).

Примечание

Если установлен флажок Использовать системные DNS-серверы, то системные DNS-серверы будут предпочтительней, чем любая запись в общем списке, как в Query Forwarding, там и в DNS по протоколу TLS. Это означает, что записи с определённым доменом всё равно будут перенаправлены на указанные DNS-сервер.

Можно указать следующие параметры для сервера:

Включен:

Включить перенаправление запросов для этого домена.

Домен:

Домен хоста. Все запросы с этого домена будут перенаправлены на DNS-сервер, указанный в IP-адрес сервера. Оставьте пустым, чтобы перехватывать все запросы и направлять их на DNS-сервер.

IP-адрес сервера:

Адрес DNS-сервера, который будет использоваться для рекурсивного разрешения.

Порт сервера:

Порт, используемый DNS-сервером. По умолчанию используется порт 53. Полезно, например, при настройке DNSCrypt-Proxy.

Предупреждение

При включении «Перенаправления DNS-запросов» в комбинации с DNSSEC, проверка DNSSEC не будет выполнена для переадресаций с указанным доменом, поскольку вышестоящий сервер может быть локальным контроллером. Если переадресация работает, а вышестоящий сервер не поддерживает DNSSEC, его ответы не дойдут до клиента, так как проверка DNSSEC не может быть выполнена.

DNS по протоколу TLS

Данная технология (DоT) использует ту же логику, что и при Перенаправлении запросов, за исключением того, что для передачи используется TLS.

Примечание

Следует обратить внимание на взаимодействие между Перенаправлением запросов и DNS по протоколу TLS. Поскольку действует тот же принцип, любая запись в общем списке, указанная в обоих разделах, будет считаться дублирующей зоной. В даном случае, DoT будет предпочтительнее.

Здесь доступны следующие параметры для конфигурирования:

Включен:

Включить DNS по протоколу TLS для этого домена.

Домен:

Домен хоста. Все запросы с этого домена будут перенаправлены на DNS-сервер, указанный в IP-адрес сервера. Оставьте пустым, чтобы перехватывать все запросы и направлять их на DNS-сервер.

IP-адрес сервера:

Адрес DNS-сервера, который будет использоваться для рекурсивного разрешения.

Порт сервера:

Порт, используемый DNS-сервером. Надо указывать порт 853, если нет веских причин этого не делать (например, использовании туннеля SSH).

Проверка CN:

Имя, используемое для проверки сертификата, например 445b9e.dns.nextdns.io. Используется в Ubound для проверки сертификатов аутентификации TLS. Не рекомендуется опускать это поле, так как атаки типа "человек посередине" всё равно будут возможны.

Совет

Чтобы обеспечить корректное окружение при использовании DoT, рекомендуется заблокировать весь исходящий траффик на порту 53 с помощью правил межсетевого экрана. Если клиенты сми напрямую запрашивают другие серверы имён, можно использовать правило перенаправления NAT на 127.0.0.1:53 (локальная служба Unbound), чтобы заставить эти запросы передавать по TLS.

Публичные поставщики DNS для DoT:

Провайдер

Хост

IP-адрес

Порт

Cloudflare

cloudflare-dns.com

one.one.one.one

1dot1dot1dot1.cloudflare-dns.com

1.1.1.1

853

1.0.0.1

2606:4700:4700:1111

2606:4700:4700:1001

Yandex.DNS

common.dot.dns.yandex.net

77.88.8.8

853

77.88.8.1

2a02:6b8::feed:0ff

2a02:6b8:0:1::feed:0ff

Google

dns.google.com

8.8.8.8

853

8.8.4.4

2001:4860:4860:8888

2001:4860:4860:8844

Quad9

dns.quad9.com

9.9.9.9

853

149.112.112.112

2620:fe::fe

2620:fe::9

Примечание

Больше публичных DNS-серверов можно глянуть в https://en.wikipedia.org/wiki/Public_recursive_name_server .

DNS по протоколу HTTPS

Если необходимо настроить Unbound на использование внешних серверов с использованием данной технологии (DoH (DNS-over-HTTPS), надо заполнить соответствующее поле в формате IP-адрес@Порт для HTTPS, например 77.88.8.8@443 (Yandex.DNS).

Статистические данные

На странице статистики можно получить некоторые сведения о работе сервера, такие как количество выполненных запросов, использование кэша и время работы.