Ero sivun ”Dnsmasq” versioiden välillä
(→DNSSEC) |
|||
(3 välissä olevaa versiota samalta käyttäjältä ei näytetä) | |||
Rivi 12: | Rivi 12: | ||
Oletuksena tiedoston sisältö on kommentoitu joten sinun pitää poistaa kommentointi niistä kohdista joita haluat käyttää. | Oletuksena tiedoston sisältö on kommentoitu joten sinun pitää poistaa kommentointi niistä kohdista joita haluat käyttää. | ||
+ | |||
+ | === DNS Forwarder === | ||
+ | |||
+ | DNS Cache ja forwarding | ||
+ | |||
+ | <pre> | ||
+ | dns-forward-max=150 | ||
+ | cache-size=1000 | ||
+ | no-resolv | ||
+ | server=8.8.8.8 | ||
+ | server=8.8.4.4 | ||
+ | server=2001:4860:4860::8888 | ||
+ | server=2001:4860:4860::8844 | ||
+ | </pre> | ||
+ | |||
+ | Conditional Forwarding | ||
+ | |||
+ | Listaa verkkotunnukset ja IP-osoite esimerkin mukaisesti minne haluat ohjaavan. | ||
+ | |||
+ | <pre> | ||
+ | server=/example.org/192.168.1.2 | ||
+ | server=/example.org/192.168.1.3 | ||
+ | server=/taisto.org/192.168.1.2 | ||
+ | server=/taisto.org/192.168.1.3 | ||
+ | </pre> | ||
+ | |||
+ | === DNSSEC === | ||
+ | |||
+ | Tämä toiminto lisää resolver-nimipalvelimelle DNSSEC-allekirjoituksen tarkistuksen. Varmistathan että forwarderiin on määritetty esimerkiksi Googlen tai CloudFlaren nimipalvelimet, jotka tarkistavat DNSSEC-allekirjoituksen. | ||
+ | |||
+ | <pre> | ||
+ | dnssec | ||
+ | trust-anchor=.,19036,8,2,49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5 | ||
+ | dnssec-check-unsigned | ||
+ | </pre> | ||
+ | |||
+ | === hosts tiedosto === | ||
+ | |||
+ | Hosts-tiedostoon voit määrittää kustomoituja A tai AAAA ohjauksia. | ||
+ | |||
+ | <pre> | ||
+ | no-hosts | ||
+ | addn-hosts=/etc/hosts | ||
+ | </pre> | ||
+ | |||
+ | === DNS Rebinding suojaus === | ||
+ | |||
+ | DNS Rebinding-suojaus estää resolver-nimipalvelimen vastaamasta privaatti IP:tä kun kysellään IP-osoitetta. Tämä suojaa DNS Rebinding hyökkäykseltä. | ||
+ | |||
+ | <pre> | ||
+ | stop-dns-rebind | ||
+ | </pre> | ||
+ | |||
+ | Voit sallia erikseen kuitenkin verkkotunnuskohtaisesti mikäli nimipalvelimen on tarve silti vastata yksityisiä IP-osoitteita tietyille domaneille | ||
+ | |||
+ | <pre> | ||
+ | rebind-domain-ok=example.org | ||
+ | </pre> | ||
+ | |||
+ | === Loki === | ||
+ | |||
+ | <pre> | ||
+ | log-queries | ||
+ | log-facility=/var/log/dnsmasq.log | ||
+ | </pre> |
Nykyinen versio 21. heinäkuuta 2018 kello 07.23
Dnsmasq on DHCP ja DNS palvelin pääasiassa Linux reitittimille mutta sitä voi käyttää suoraan esimerkiksi Debianissa. Dnsmasq sisältää perus DHCP palvelimen ja DNS Forwardersin. DNS palveluun on mahdollista konfiguroida omia nimiä mutta suurempaan käyttöön suositellaan bind9.
Sisällysluettelo
Asennus
aptitude install dnsmasq
Konfigurointi
Konfigurointi tiedosto löytyy. Jos ei ole, luo se.
/etc/dnsmasq.conf
Oletuksena tiedoston sisältö on kommentoitu joten sinun pitää poistaa kommentointi niistä kohdista joita haluat käyttää.
DNS Forwarder
DNS Cache ja forwarding
dns-forward-max=150 cache-size=1000 no-resolv server=8.8.8.8 server=8.8.4.4 server=2001:4860:4860::8888 server=2001:4860:4860::8844
Conditional Forwarding
Listaa verkkotunnukset ja IP-osoite esimerkin mukaisesti minne haluat ohjaavan.
server=/example.org/192.168.1.2 server=/example.org/192.168.1.3 server=/taisto.org/192.168.1.2 server=/taisto.org/192.168.1.3
DNSSEC
Tämä toiminto lisää resolver-nimipalvelimelle DNSSEC-allekirjoituksen tarkistuksen. Varmistathan että forwarderiin on määritetty esimerkiksi Googlen tai CloudFlaren nimipalvelimet, jotka tarkistavat DNSSEC-allekirjoituksen.
dnssec trust-anchor=.,19036,8,2,49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5 dnssec-check-unsigned
hosts tiedosto
Hosts-tiedostoon voit määrittää kustomoituja A tai AAAA ohjauksia.
no-hosts addn-hosts=/etc/hosts
DNS Rebinding suojaus
DNS Rebinding-suojaus estää resolver-nimipalvelimen vastaamasta privaatti IP:tä kun kysellään IP-osoitetta. Tämä suojaa DNS Rebinding hyökkäykseltä.
stop-dns-rebind
Voit sallia erikseen kuitenkin verkkotunnuskohtaisesti mikäli nimipalvelimen on tarve silti vastata yksityisiä IP-osoitteita tietyille domaneille
rebind-domain-ok=example.org
Loki
log-queries log-facility=/var/log/dnsmasq.log