Ausführen von Nsd und Unbound unter OpenBSD 5.6

• ungebunden
• nsd

In diesem Artikel erfahren Sie, wie einfach und schnell es ist, einen eigenen Caching-auflösenden DNS-Server (ungebunden) sowie einen autorisierenden / Master-DNS-Server (nsd) zu haben, der lokal auf Ihrer eigenen OpenBSD Vultr-Instanz ausgeführt wird.

Informationen zur Installation von OpenBSD finden Sie im folgenden Artikel: Setup OpenBSD 5.5 64-Bit . Verwenden Sie stattdessen unbedingt das neuere 5.6 ISO-Image.

Während nsd auch in der vorherigen Version verfügbar war, wurde ungebunden mit dem Build für die Version 5.6 verknüpft. Ab Version 5.7 wird BIND vollständig aus dem Basissystem entfernt (und über Ports verfügbar).

ungebunden

Zum Auflösen von DNS verwenden Benutzer im Allgemeinen Standardeinstellungen, die von ihrer Distribution / ihrem Anbieter oder einem Dienst von Google (öffentliches DNS) und OpenDNS bereitgestellt werden. Während diese normalerweise in Ordnung sind, bietet Ihnen das Ausführen eines eigenen Systems mehr Kontrolle, bessere Leistung (sobald Sie Ihren eigenen Cache ausgefüllt haben), bessere Privatsphäre usw. Es ist sehr einfach, ein eigenes DNS-Setup für die Auflösung unter OpenBSD zu erhalten.

1. Aktivieren Sie den Dienst:

   sudo rcctl enable unbound
   

2. Starten Sie den Dienst:

   sudo rcctl start unbound
   

3. Um es zu aktivieren, geben Sie Folgendes ein /etc/resolv.conf(und löschen Sie alle anderen nameserverEinträge):

   nameserver 127.0.0.1
   

Sie können es jetzt ausprobieren:

dig google.com

Wir suchen die folgenden zwei Zeilen:

;; Query time: 35 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)

Der verwendete Server war localhost, was wir wollten. Die Abfragezeit beträgt bei einem Kaltstart 35 Sekunden. Versuchen wir den gleichen digBefehl noch einmal:

;; Query time: 1 msec

Zu diesem Zeitpunkt funktioniert das Caching und wir können mit dem autorisierenden nsd-Server fortfahren.

nsd

Im Gegensatz zu ungebunden ist nsd ein autorisierender DNS-Server, der zum Bedienen Ihrer eigenen Zonen verwendet wird. Ein Server reicht im Allgemeinen nicht aus, sodass Sie aus Redundanzgründen eine andere Vultr-Instanz als sekundären Server an einem anderen Speicherort hochfahren können.

Da das Einrichten des primären / sekundären Dienstes (obwohl nicht schwierig) nicht in den Geltungsbereich dieses Artikels fällt, wird gezeigt, wie eine einzelne Domänenzone bedient wird.

1. Zuerst bearbeiten wir die /var/nsd/etc/nsd.confDatei. Hier ist ein vollständiges Beispiel:

   server:
       hide-version: yes
       ip-address: 108.xx.xxx.xx
   
   remote-control:
       control-enable: yes
   
   zone:
       name: "example.com"
       zonefile: "example.com.zone"
   

   Hinweis: Ersetzen Sie 108.xx.xxx.xxdurch die IP-Adresse Ihrer Instanz und example.comdurch Ihre eigene Domain.

2. Zonendateien gehen in das /var/nsd/zonesVerzeichnis. Hier ist eine kurze /var/nsd/zones/example.com.zoneZonendatei:

   $ORIGIN example.com.
   $TTL 86400
   
   @       3600    SOA     a.ns.example.com. hostmaster.example.com. (
                           2014110502      ; serial
                           1800            ; refresh
                           7200            ; retry
                           1209600         ; expire
                           3600 )          ; negative
   
                   NS      a.ns.example.com.
                   NS      b.ns.example.com.
   
                   MX      0 mail.example.com.
   
   a.ns            A       108.xx.xxx.xx
   b.ns            A       108.xx.xxx.xx
   mail            A       108.xx.xxx.xx
   

3. Wir können jetzt den Dienst aktivieren und starten:

   sudo rcctl enable nsd
   sudo rcctl start nsd
   

Sie sollten jetzt sowohl einen eigenen als auch einen autorisierenden DNS-Server zum Zwischenspeichern / Auflösen haben.

Die Syntax der BIND-Zone und Details zum Ausführen Ihres eigenen Masters liegen etwas außerhalb des Geltungsbereichs dieser Kurzanleitung und werden dem Leser als Übung überlassen. Viel Spaß mit OpenBSD!