DNS

Введение

ОС REFOS имеет поддержку многофункционального DNS-resolver, который выполняет роль посредника между пользовательскими устройствами и DNS серверами, что позволяет устройствам осуществлять эффективный процесс преобразования доменных имен в соответствующие IP-адреса.

Благодаря DNS-resolver возможно получать быстрый и безопасный доступ к ресурсам сети, облегчая навигацию и обмен данных для пользователей.

Основные функциональные особенности:

Кэширование запросов для ускорения времени обработки повторных запросов;
Проверка запросов с применением стандартов для обеспечения надежности;
Создание авторизированных зон для переадресации или перезаписи запросов;
Организация черного списка для блокировки определенных доменных имен;
Предоставление защиты от перегрузки системы запросами.

Статус службы DNS

Служба имеет следующие состояния активности:

Служба запущена ;

Служба остановлена .

Процесс конфигурации и основные параметры

Конфигурация DNS-resolver производится на основных вкладках, обеспечивающих весь базовый функционал.

Вкладка Общие настройки представлена в таблице.

Описание параметров на вкладке **Общие настройки**
Параметр	Описание
Включен	Запуск службы DNS-resolver.
Сетевые интерфейсы	Интерфейсы, которые используются для ответа на запросы пользователям.
Исходящие сетевые интерфейсы	Интерфейсы, которые используются для ответа на запросы пользователям.
Сетевые интерфейсы	Выбор сетевого интерфейса системы, который используется для приема DNS-запросов.
DNSSEC	Запуск функции DNSSEC, которая используется для защиты от атак, связанных с подменой доменного имени.
DNS64	Запуск функции DNS64, которая используется для синтеза АААА из A записей (если актуальная AAAA запись отсутствует).
Локальная ссылка IPv6	Регистрация локальных IPv6 адресов для предотвращения недостижимого адреса при назначении нескольких интерфейсов прослушивания.
Переадресация DNS-запросов	В данном режиме все запросы будут переадресованы системному доменному серверу. Для активации режима переадресации запросов необходимо указать во вкладке Система -> Настройки -> Общие настройки IP адрес DNS сервера.
Тип локальной зоны	Задать тип локальной зоны для localhost. Параметр необходим для удовлетворения некоторых требований для NS и NOA записей и для обновления DNS.

Всего существует 11 типов локальных зон, описанных в таблице.

Описание типов локальных зон
Параметр	Описание
transparent	Если есть совпадение с локальными данными, на запрос дается ответ. В противном случае, если запрос имеет другое имя, запрос разрешается нормально. Если запрос относится к имени, указанному в локальных данных, но такой тип данных не указан в локальных данных, то возвращается ответ noerror nodata. Если локальная зона не указана, локальные данные вызывают создание прозрачной зоны по умолчанию.
deny	Ответ блокируется, запрос сбрасывается. Если есть совпадение с локальными данными, на запрос дается ответ.
inform	На запрос отвечает нормально, так же, как transparent. IP-адрес клиента (@portnumber) печатается в файл журнала. Сообщение журнала: timestamp, unbound-pid, info: zonename inform IP@port queryname class type. Эту опцию можно использовать для нормального разрешения, но машины ищущие зараженные имена, регистрируются.
inform_deny	Запрос отбрасывается, как «deny», и регистрируется, как «inform». Т.е. найти зараженные машины, не отвечая на запросы.
nodefault	Используется для отключения содержимого по умолчанию для зон AS112. Другие типы также отключают содержимое зоны по умолчанию. Параметр «nodefault» не имеет никакого другого эффекта, кроме отключения содержимого по умолчанию для данной зоны. Используйте nodefault, если вы используете именно эту зону, если вы хотите использовать подзону, используйте transparent.
refuse	Отправить ответное сообщение об ошибке с rcode REFUSED. Если есть совпадение с локальными данными, на запрос дается ответ.
static	Если есть совпадение с локальными данными, на запрос дается ответ. В противном случае на запрос отвечает nodata или nxdomain. При отрицательном ответе SOA включается в ответ, если он представлен как локальные данные для домена вершины зоны.
typetransparent	Если есть совпадение с локальными данными, на запрос дается ответ. Если запрос для другого имени или для того же имени, но для другого типа, запрос разрешается нормально. Таким образом, аналогично прозрачному, но типы, которые не указаны в локальных данных, разрешаются нормально, поэтому, если запись A находится в локальных данных, это не вызывает ответа nodata для запросов AAAA.
always_refuse	Аналогично refuse, но игнорирует локальные данные и отклоняет запрос.
always_nxdomain	Аналогичен static, но игнорирует локальные данные и возвращает для запроса nxdomain.
always_transparent	Как и transparent, но игнорирует локальные данные и разрешается нормально.

Для применения конфигурации необходимо нажать на кнопку Сохранить с последующем подтверждением применения изменений.

../../../../_images/one6.png — Стандартная настройка DNS-resolver в режиме переадресации с включенным DNSSEC

Вкладка Переопределение.

В данном разделе можно задать как переопределение непосредственно для зон и клиентов, так и переопределение всего домена в целом.

Переопределение хоста при добавлении имеет параметры, указанные в таблице.

Описание параметров переопределения хоста
Параметр	Описание
Тип записи	Указывается какой тип записи будет иметь переопределение, для хоста, или для зоны.
Хост / Тип зоны	В случае если в типе записи был указан хост, то здесь вписывается его имя без доменной части, например если домен хоста host1.nyc1.testrustel1234.com, то в запись идет только host1. В случае с зоной выбирается её тип
Домен	Указывается доменная часть хоста.
Тип	Тип ресурсной записи. Возможен выбор из: A или AAAA запись, почтовый MX сервер.
IP-адрес	IPv4 или IPv6 адрес хоста в случае записи для хоста и IP адрес зоны в случае для записи обслуживания зоны.
Описание	Условное описание правила переопределения.
Псевдонимы	Здесь по необходимости пользователь может указать дополнительных хостов которые будут использовать зоны, или хостов для переопределения.

На рисунке представлен пример использования переопределения хоста. В данном случае DNS-resolver обслуживает зону nyc1.testrustel1234.com с типом A и IP адресом 192.168.7.1 в transparent режиме. Также для этой зоны существуют записи для двух хостов host1 и host2.

../../../../_images/two7.png — Пример использования переопределения хоста

Переопределение домена указывается при помощи следующих параметров:

Указать домен для переопределения при помощи параметра Домен;
Указать IP адрес полномочного DNS сервера в параметре IP-адрес;
По желанию указать название для записи в параметре Описание;

На рисунке представлен пример использования переопределения домена. В данном случае DNS будет отправлять запросы по домену nyc1.testrustel1234.com на IP адрес 192.168.7.1.

../../../../_images/tri4.png — Пример использования переопределения домена

Важно

При создании записей переопределения, для их работы убедитесь, что не включен режим переадресации запросов во вкладке Общие настройки.

Вкладка Дополнительно

Данный используется для настройки дополнительных функций управления DNS-resolver. Для стандартной работы ответчика достаточно оставить все пункты по умолчанию. Каждый пункт описан в таблице.

Описание параметров переопределения хоста
Параметр	Описание
Скройте идентификационные данные Версия скрытия	Данные параметры позволяют отклонять запросы, в которых запрашивается информация об id или версии DNS сервера соответственно.
Поддержка предварительной выборки	Функция запускает предварительную выборку, что может влиять на производительность DNS-resolver при большом количестве запросов.
Поддержка Ключа DNS предварительной выборки	Используется для лучшего функционирования DNSSEC, а точнее ускорения работы этого механизма путем предварительного получения DNSKEY записей перед истечением их TTL (позволяет ускорить валидацию).
Жесткие данные DNSSEC	Функция используется для защиты от DNS-ответов, у которых удалены DNSSEC-сигнатуры. Если эта функция включена, сервер Unbound будет отклонять ответы без корректных DNSSEC-сигнатур для доменов, которые ожидается иметь DNSSEC.
Обслуживание просроченных ответов	Опция позволяет серверу продолжать отвечать на запросы из своего кэша, даже если время жизни TTL для записи истекло.
Размер кэша сообщений	Параметр задает размер кэша сообщения, отправляемого клиентам. Минимально влияет на производительность DNS-resolver.
Буфера исходящего TCP Входящие буферы TCP	Параметры, которые определяют максимальное количество одновременных TCP-соединений для исходящих и входящих запросов соответственно.
Тайм-аут компрессии	Функция отвечает за время ожидания (в миллисекундах) для запросов, которые ожидают ответа от удаленного сервера. Используется, когда сервер очень загружен запросами. Защищает от атак типа “Отказ в обслуживании.
Максимальный ТТЛ для RRsets и сообщений Минимальный ТТЛ для RRsets и сообщения	Функции определяют максимальное и минимальное время в секундах, в течении которого запись будет храниться в кеше после того, как она была получена.
TTL для записей кэша хоста	Определяется время жизни для записей в кэше хоста. Кэш хоста содержит двустороннее время прохождения пакета и информацию о поддержке EDNS.
Количество кэшируемых хостов	Функция определяет количество хостов, информация о которых будет храниться в кэше.
Пороговое значение нежелательных ответов	Параметр используется для защиты DNS сервера от потенциального DNS Amplifiers attack. Это количество нежелательных (не обязательно несуществующих) ответов, которые вызовут ограничения трафика на сокетах. Если это значение будет превышено, то ответы будут отбрасываться до тех пор, пока скорость не снизится.
Уровень детализации журнала	Возможность выбрать уровень детализации журналирования. Уровень 0 означает отсутствие многословия, только ошибки. Уровень 1 дает оперативную информацию. Уровень 2 дает подробную оперативную информацию. Уровень 3 предоставляет информацию об уровне запроса, выводимую для каждого запроса. Уровень 4 дает информацию об уровне алгоритма. Уровень 5 регистрирует идентификацию клиента для промахов кеша. По умолчанию используется уровень 1.
Расширенная статистика	При включении во вкладке Статистические данные появляется дополнительная статистическая информация.
Журнал запросов	При включении функции начинает выводить в журнал запросы в виде: <IP> <доменное имя> <тип> <класс>.

Вкладка Списки доступа

На данной вкладке присутствует возможность добавления дополнительных списков доступа помимо тех, что указываются по стандарту при указании интерфейсов во вкладке Общие настройки.

Для создания списка доступа необходимо:

Задать имя списка доступа в параметре Имя списка доступа;
Указать необходимое действие для сети в пункте Действие, описание каждого действия представлено в таблице;
Указать Сеть(-и). Для этого указать саму сеть и необходимый CIDR в пункте Сети, по желанию можно добавить описание для каждой сети;
По желанию добавить описание для списка доступа в параметре Описание.

Пример создания списка доступа представлен на рисунке.

../../../../_images/four6.png — Пример создания списка доступа

Описание действий списка доступа
Действие	Описание
Разрешить	Действие разрешает запросы от хостов, указанных в параметре Сети.
Запретить	Действие запрещает запросы от хостов, указанных в параметре Сети.
Отклонить	Действие запрещает запросы от хостов, указанных в параметре Сети, но отправляет обратно клиенту сообщение об ошибке DNS rcode REFUSED.
Разрешить отслеживание	Действие разрешает рекурсивный и нерекурсивный доступ из хостов в параметре Сети, и используется для отслеживания кэша (в идеале должно быть настроено только для административного хоста).
Запретить Non-local	Разрешать только авторитетные запросы локальных данных от хостов в пределах, указанных в параметре Сети. Запрещенные сообщения удаляются.
Отказаться от Non-local	Разрешать только авторитетные запросы локальных данных от хостов в пределах, указанных в параметре Сети. Отправляет сообщение об ошибке DNS rcode REFUSED обратно клиенту для запрещенных сообщений.

Вкладка Черный список.

В данной вкладке присутствует возможность управления черными списками доменов.

Для загрузки черного списка необходимо:

Указать желаемый тип черного списка в параметре Тип черного списка. Описание ;
в случае необходимости загрузки собственных списков, можно нажать на кнопку расширенный режим в левом верхнем углу, после чего появится пункт URL черных списков, в котором указывается ссылка, с которой можно загрузить пользовательский черный список;
По необходимости указать список доменов, которые будут исключены из черного списка в параметре Белый список доменов.

Важно

При любом действии с черным списком необходимо нажать кнопку применить и дождаться пока он загрузится. Обычно это занимает не более 1-2 минут. Если загрузка идет дольше, то необходимо перезагрузить страницу.

Если черный список был успешно загружен, тогда появится значок .

Если черный список не был загружен, тогда появится значок восклицательного знака , при наведении на который отобразится ошибка, связанная с загрузкой черного списка.

Пример выбора черного списка представлен на рисунке.

../../../../_images/five4.png — Пример выбора черного списка

Вкладка Прочее.

На данный момент на вкладке присутствует только функция Частные домены, которая позволяет указать список доменов, которые не должны быть отправлены на общедоступные DNS-сервера. В основном эта функция нужна для некоторых списков DNSBL, которые разрешаются в частные адреса.

Вкладки Статистические данные и Журнал.

Данные вкладки необходимы для сбора информации о работе DNS ответчика, а также статистики по обработанным запросам.

в случае необходимости возможно отключить автоматическое обновление статистических данных. Необходимо это затем, чтобы не нагружать систему, т.к. сбор статистики (особенно с включенным параметром расширения статистики) может занимать некоторое место в памяти процессора.

Также существует возможность загрузки логов журнала и его очистки.

Пример вкладки Статистические данные представлен на рисунке.

../../../../_images/six4.png — Пример вкладки Статистические данные

Пример вкладки Журнал представлен на рисунке

../../../../_images/seven2.png — Пример вкладки Журнал

Маршрутизация

Кластеризация