Mainos / Advertisement:

Dnsmasq

Kohteesta Taisto
Versio hetkellä 21. heinäkuuta 2018 kello 07.23 – tehnyt Minh (keskustelu | muokkaukset) (→‎DNSSEC)
(ero) ← Vanhempi versio | Nykyinen versio (ero) | Uudempi versio → (ero)
Siirry navigaatioon Siirry hakuun

Dnsmasq on DHCP ja DNS palvelin pääasiassa Linux reitittimille mutta sitä voi käyttää suoraan esimerkiksi Debianissa. Dnsmasq sisältää perus DHCP palvelimen ja DNS Forwardersin. DNS palveluun on mahdollista konfiguroida omia nimiä mutta suurempaan käyttöön suositellaan bind9.

Asennus

 aptitude install dnsmasq

Konfigurointi

Konfigurointi tiedosto löytyy. Jos ei ole, luo se.

 /etc/dnsmasq.conf

Oletuksena tiedoston sisältö on kommentoitu joten sinun pitää poistaa kommentointi niistä kohdista joita haluat käyttää.

DNS Forwarder

DNS Cache ja forwarding

dns-forward-max=150
cache-size=1000
no-resolv
server=8.8.8.8
server=8.8.4.4
server=2001:4860:4860::8888
server=2001:4860:4860::8844

Conditional Forwarding

Listaa verkkotunnukset ja IP-osoite esimerkin mukaisesti minne haluat ohjaavan.

server=/example.org/192.168.1.2
server=/example.org/192.168.1.3
server=/taisto.org/192.168.1.2
server=/taisto.org/192.168.1.3

DNSSEC

Tämä toiminto lisää resolver-nimipalvelimelle DNSSEC-allekirjoituksen tarkistuksen. Varmistathan että forwarderiin on määritetty esimerkiksi Googlen tai CloudFlaren nimipalvelimet, jotka tarkistavat DNSSEC-allekirjoituksen.

dnssec
trust-anchor=.,19036,8,2,49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5
dnssec-check-unsigned

hosts tiedosto

Hosts-tiedostoon voit määrittää kustomoituja A tai AAAA ohjauksia.

no-hosts
addn-hosts=/etc/hosts

DNS Rebinding suojaus

DNS Rebinding-suojaus estää resolver-nimipalvelimen vastaamasta privaatti IP:tä kun kysellään IP-osoitetta. Tämä suojaa DNS Rebinding hyökkäykseltä.

stop-dns-rebind

Voit sallia erikseen kuitenkin verkkotunnuskohtaisesti mikäli nimipalvelimen on tarve silti vastata yksityisiä IP-osoitteita tietyille domaneille

rebind-domain-ok=example.org

Loki

log-queries
log-facility=/var/log/dnsmasq.log
Mainos / Advertisement: