在大部分企业应用的场合下,防火墙、路由器和DNS服务都集成在同一台设备,本篇bind9最大的用处名称缓存器,我将向您展示如何设置DnsCrypt与bind9一起使用。
bind9+dnscrypt组合的原理
- bind9将来自客户端的dns请求转发到dnscrypt-proxy
- dnscrypt-proxy将该dns请求负责加密转发到外部可信的dns服务器
- dnscrypt-proxy将从外部可信的dns服务器答应的“未污染”的DNS数据返回给bind9。
- bind9将该未污染的dns记录缓存到服务器的内存中。
- 客户端再查询相同域名,bind9从第4步的缓存中的dns记录反馈给客户端。
这样做的优点大大加快DNS查询的速度,而且bind9缓存设置非常强大,我们可以自定义缓存DNS记录时效性。
firewalld的设置状态
本篇的拓扑客户端位于internal区域,首先看看防火墙的internal区域配置,这个区域对应的是可信任网络,因此采取的target是默认,基本和ACCEPT等同。
防火墙的公网接口所在的external配置
我们external区的enp3s0是一个暴露在互联网的网络接口,我们执行下面的指令目的在于对来自外部的任何连接请求,我们采取的target动作是丢弃数据包,避免恶意攻击者使用类似nmap的网络扫描工具探测到防火墙的存在。
firewall-cmd --zone=external --change-interface=enp3s0
firewall-cmd --zone=external --set-target=DROP --permanent
这样能够最大限度地保护了防火墙本身,没有任何显式放行或转发规则,target的DROP设定对任何从公网入站的数据包(即匹配0.0.0.0/0)采取丢弃的动作,我们可以使用nmap扫描工具对我们的防火墙做一个简单的安全风险测试
OK,我们从nmap返回信息,并没有在防火墙身上得到任何暴露的端口信息
本篇internal区域配置如下
因为,防火墙的DNS缓存服务主要服务internal区域(192.168.50.0/24)的任意一台计算机,因此我们我们只需开放特定的服务dns和mdns
转发规则问题排查
我们的external区域和internal区域都启用了masquerade的NAT网络地址转换,在写本文部署到生产环境前在虚拟机搭建的实验,我并没有为internal区域激活masquerade,一切端口转发的规则都正常,但当你部署到生产环境时,发现配置到external区的端口转发规则不起作用的话,可以考虑同时激活external和internal区域的masquerade。
dnscrypt-proxy 2设置
- 可执行文件路径:/usr/local/dnscrypt-proxy/dnscrypt-proxy/dnscrypt-proxy
- 配置文件路径:/usr/local/dnscrypt-proxy/dnscrypt-proxy.toml
在CentOS 8中,dnscrypt-proxy执行时的用户我们设定为root,试了很多方法,用其他wheel用户组的用户创建进程时基本上会出错,基本上都是因为权限的问题,网上大部份人的做法是禁用SELinux,但在生产环境中风险较高,所以这里暂时在配置文件中将user_name设定为root
- 服务脚本: /etc/systemd/system/dnscrypt-proxy.service
[Unit]
Description=dnscrypt-proxy.service
After=network.target
[Service]
Type=simple
User=root
ExecStart=/usr/local/dnscrypt-proxy/dnscrypt-proxy
Restart=on-abort
[Install]
WantedBy=multi-user.target
创建后台进程
systemctl daemon-reload
systemctl enable dnscrypt-proxy
systemctl start dnscrypt-proxy
验证bind9的运行状态
安装dnscrypt-proxy
yum install bind bind-utils -y
systemctl enable named
systemctl start named
配置bind9服务器
options {
listen-on port 53 { 127.0.0.1;127.0.2.1;192.168.50.0/24; };
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
secroots-file "/var/named/data/named.secroots";
recursing-file "/var/named/data/named.recursing";
max-cache-size 536870912;
max-cache-ttl 172800;
max-ncache-ttl 518400;
allow-query {
localhost;
192.168.50.0/24
};
allow-query-cache{any;};
forward first;
forwarders {
127.0.2.1 port 4040;
};
recursion yes;
dnssec-enable yes;
dnssec-validation yes;
managed-keys-directory "/var/named/dynamic";
pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
/* https://fedoraproject.org/wiki/Changes/CryptoPolicy */
include "/etc/crypto-policies/back-ends/bind.config";
};
...
验证dnscrypt-proxy的运行状态
防火墙本体的DNS测试
名称解析的耗时0微秒,这个性能已经非常不错了
小结
bind9+dnscrypt的服务组合是一个高性能的域名解析服务,我们通过调整bind9的记录缓存的时间尽可能地长,这样可以减少bind9向dnscrypt-proxy的dns请求转发的次数,这是bind9+dnscrypt提供高性能域名解析服务的关键。
