16.03.2016

DNSLeak - Unbound

Установка


apt-get install unbound
cd /etc/unbound
wget ftp://ftp.internic.net/domain/named.cache # Это список корневых DNS-серверов
unbound-control-setup # генерируем ключи
chown unbound:root unbound_* # хозяин
chmod 440 unbound_*
cp /usr/share/doc/unbound/examples/unbound.conf /etc/unbound/unbound.conf.default
nano /etc/unbound/unbound.conf

 

 

 

Конфигурация

/etc/unbound/unbound.conf
include: "/etc/unbound/unbound.conf.d/*.conf"
module-config: "validator iterator"

server:
  identity: "DNS" 
 version: "1.0" 
 hide-identity: yes 
 hide-version: yes 
 harden-glue: yes

 num-threads: 1 # Количество потоков
 msg-cache-size: 32m # размер кеша полученных DNS ответов
 rrset-cache-size: 64m #        кеша DNS записей
 key-cache-size: 20m # размер памяти для хранения DNSSEC ключей
 cache-max-ttl: 2678400 # максимальный срок жизни записей в кеше (24ч.*31)
 # сколько одновременных клиентских запросов сможет обработать один поток
 num-queries-per-thread: 1024
 # срок жизни записей из внутреннего кеша "неработающих" и "неправильных" DNS серверов
 infra-host-ttl: 60 
 infra-lame-ttl: 120
 # сколько различных случайных портов может использовать при проведении запросов
 outgoing-range: 512 

 verbosity: 1 # Степень вывода логов 1-4
 logfile: "/var/log/unbound.log"
 use-syslog: no

#Кому разрешено посылать рекурсивные запросы (пользоваться кешем)
access-control: 0.0.0.0/0 allow
private-address: 10.0.0.0/24 
port: 53
interface: 127.0.0.1                 # Интерфейс на котором будем слушать 53-й порт
interface: 10.10.10.10               #
interface-automatic: no              # Определять интерфейсы автоматически
outgoing-interface: 10.10.10.10      # ip адрес интерфейса, который подключен к интернет
do-not-query-localhost: no 
do-ip4: yes
do-ip6: no
do-udp: yes
do-tcp: yes

forward-zone: 
    name: "." 
#    forward-addr: 127.0.0.1@40 # dnscrypt-proxy
#    forward-addr: 127.0.0.1@41 # dnscrypt-proxy
    forward-addr: 8.8.8.8@53    # google
    forward-addr: 77.88.8.8@53  # yandex

remote-control: 
    control-enable: yes 
    control-interface: 127.0.0.1 
#    control-interface: 10.10.10.10 
    control-port: 953

server-key-file: "/etc/unbound/unbound_server.key"
server-cert-file: "/etc/unbound/unbound_server.pem"
control-key-file: "/etc/unbound/unbound_control.key"
control-cert-file: "/etc/unbound/unbound_control.pem"



Запуск и всяческие проверки

unbound-checkconf /etc/unbound/unbound.conf
service unbound restart
ps auxw | grep unbound      # процесс
netstat -anp | grep unbound # порты
nslookup mail.ru 10.10.10.10
drill -D mail.ru @127.0.0.1
drill india.com @10.10.10.10 ### 1-ое обращение
# Обращаем внимание на "Query time" при первом и последующем запуске
drill india.com @10.10.10.10 ### 2-ое обращение
elinks ya.ru    # браузер
dig ya.ru       # и как там чё?
unbound-control status
unbound-control lookup mail.ru
unbound-control stats
unbound-control dump_cache /tmp/DNS_cache.txt
unbound-control list_forwards
unbound-control forward


DNSSEC

Unbound, умеет DNSSEC, а 8.8.8.8, как и очень многие другие, в свою очередь, умеют и DNSSEC и верифицировать записи, что означает, что в случае невалидной подписи они не резолвят адреса. И тут есть подвох. Включая эту опцию (а зачем от неё отказываться?), мы должны проследить за тем. что бы наш резолвер умел работать с DNSSEC. 
dig -t any +dnssec 8.8.8.8
Отключить DNSSEC в Unbound можно следующим образом:
  1. server:        val-permissive-mode: yes 
  2. Убрать запись auto-trust-anchor-file: "/var/lib/unbound/root.key", которая находится в файле /etc/unbound/unbound.conf.d.root-auto-trust-anchor-file.conf
  3. server:        module-config: "iterator"
Плагин для Firefox: DNSSEC/TLSA Validator

 

 Косяки

И тут нас ждал косяк. Список форвардов (две крайние команды) - пуст.
А вернее, получаем вот такой ответ:
# unbound-control forward
off (using root hints)

Оказалось, что необходимо проделать следующее:
chmod -x /etc/resolvconf/update.d/unbound
Или установить RESOLVCONF_FORWARDERS=false в /etc/default/unbound

Ага, список в самом верху - это надежда выудить где и как прячется тот самый false или true, отвечающий за включение форварда. Можно сделать кастыль, отредактировав  
/etc/init.d/unbound и добавив в секцию start строку
unbound-control forward 8.8.8.8 8.8.4.4
Но окончательно психанув, я решил напрячь других, как "настоящий взрослый мужчина".
Там то мне и подсказали.

Ну и ещё при запуске демона можем получить предупреждение:
Warning: /etc/resolv.conf is not a symbolic link to /run/resolvconf/resolv.conf
Избавимся от него:
rm /etc/resolv.conf
ln -s /run/resolvconf/resolv.conf /etc/resolv.conf

Комментариев нет: