Настройка DNS

TING поставляется с двумя штатными DNS серверами Unbound DNS и Dnsmasq DNS, DNSCrypt-Proxy в качестве отдельного плагина, а также службу OpenDNS .

Таким образом пользователь может самостоятельно принять решение о настройке и использовании одного из перечисленных DNS серверов, либо их совместном использовании.

Dnsmasq DNS

Dnsmasq DNS — легковесный и быстроконфигурируемый проксирующий DNS-сервер, предназначенный для небольших сетей.

Примечание

В качестве штатного DNS сервера предлагается использовать Unbound DNS.

Для настройки Dnsmasq DNS перейдите в закладку Службы -> Dnsmasq DNS -> Настройки

При работе Dnsmasq DNS использует для пересылки вышестоящие сервера DNS, указанные на закладке Система: Настройки: Общие в разделе DNS

Настройки модуля:

Настройки данного модуля не вызывают сложностей. Вы можете настроить порт (по умолчанию 53 ), выбрать интерфейсы.

Также можете настроить регистрацию в DNS адресов, выдаваемых по DHCP.

Включение модуля осуществляется установкой соответствующего флажка.

Функция переопределения хоста позволит вашему Dnsmasq DNS отвечать определенной IP на указанное имя.

Функция переопределения домена позволит вашему Dnsmasq DNS пересылать все запросы, связанные с необходимым доменном на указанный DNS сервер.

Примечание

Данный функционал может потребоваться для настройки SSO аутентификации в двух доменах.

Unbound DNS

Unbound является проверяющим, рекурсивным и кэширующим DNS-сервером и позиционируется, как основной DNS сервер TING.

Настройка модуля:

Перейдите в закладку: Службы -> Unbound DNS -> Общие

В данной закладке вы сможете выполнить основные настройки:

Включен

Включить модуль Unbound DNS

Порт прослушивания

Этот порт отвечает на DNS-запросы (по умолчанию 53)

Сетевые интерфейсы

Для ответов клиентам на запросы, будут использоваться IP адреса выбранных интерфейсов. При наличии на интерфейсе IPv4, IPv6, оба адреса будут использоваться. Запросы с отсутствующих интерфейсов будут отклоняться. (По умолчанию используются все имеющиеся IP адреса и интерфейсы)

DNSSEC

Включить DNSSEC для минимизирования атак, связанных с подменой DNS-адреса при разрешении доменных имён.

Регистрация DHCP

Компьютеры, которые указывают свое имя хоста при запросе аренды DHCP, будут зарегистрированы в Unbound, чтобы их имя можно было разрешить.

Переопределение доменного имени DHCP

Доменное имя для регистрации имени хоста DHCP. Если имя не указано, используется системное доменное имя по умолчанию.

Статические DHCP преобразования

Статические сопоставления DHCP будут зарегистрированы в Unbound, чтобы их имя можно было разрешить.

IPv6 Link-local

Зарегистрировать IPv6 link-local адресав Unbound.

Поддержка TXT-комментариев

Зарегистрировать описания ассоциированные с записями хоста и статическими маршрутами DHCP в соответствующие TXT записи.

Переадресация DNS-запросов

Настроенные системные серверы имен из раздела Система: Настройки: Общие будут использоваться для переадресации запросов.

Тип Локальной Зоны

Используемый тип локальной зоны (по умолчанию transparent). 1

Пользовательские настройки

В данное поле вы можете ввести непосредственно директивы для unbound. 1

Исходящие сетевые интерфейсы

Используйте различные сетевые интерфейсы, которые Unbound будет использовать для отправки запросов (по умолчанию используются все интерфейсы) 2

Записи WPAD

Добавить записи CNAME для узла WPAD всех настроенных доменов.

1(1,2)

детали в unbound.conf

2

Обратите внимание, что установка явных исходящих интерфейсов работает только тогда, когда они настроены статически.

Примечание

Если функция Unbound включена, служба DHCP (если включена) будет автоматически обслуживать IP-адрес локальной сети в качестве DNS-сервера для DHCP-клиентов, поэтому они будут использовать Unbound resolver. Если переадресация включена, Unbound будет использовать DNS-серверы, введенные в System: General setup или полученные через DHCP или PPP в WAN, если установлен флажок «Разрешить переопределение списка DNS-серверов DHCP/PPP в WAN».

После внесения необходимых изменений нажмите кнопку Сохранить.

Переопределения.

В данном разделе вы можете создать отдельные записи определения хоста и указать IP адрес сервера DNS, на который следует пересылать запросы.

Для создания переопределения хоста вам необходимо нажать + и заполнить соответствующие поля:

Домен 3

Домен для Переопределения

IP адрес

IP адрес DNS сервера пересылки

Описание

Опциональное описание

3

возможно применение как доменов вида mycompany.localdomain, так и вида обратных зон 1.168.192.in-addr.arpa

Дополнительно.

Настройки по умолчинию Unbound DNS являются оптимальными в большинтсве случаев, но при необходимости, вы можете внести изменения в настроки.

Для этого перейдите в закладку Дополнительно и внесите необходимые изменения:

Скройте Идентификационные данные

Если включено, запросы id.server и hostname.bind отклоняются.

Версия скрытия

Если включено, запросы version.serve и version.bind отклоняются.

Поддержка предварительной выборки

Элементы кэшей сообщений выбраны заранее до того, как они истекут, чтобы помочь держать кэш актуальным. Когда настройка включена, она может вызвать увеличение трафика DNS примерно на 10% и увеличить нагрузку сервера, но часто запрошенные элементы в кэше не истекают.

Поддержка Ключа DNS предварительной выборки

DNSKEY выбираются на упреждение в процессе проверки, когда встречается Подписчик делегирования. Это помогает уменьшить очередь запросов, но немного больше использует ЦП.

Данные только DNSSEC

Данных DNSSEC требуют основанные на доверии зоны. Если такие данные отсутствуют, зона становится ложной. Если это отключено и никакие данные DNSSEC не получены, зона делается небезопасной.

Обслуживание просроченных ответов

Выдавать просроченные ответы из кэша с TTL 0 без ожидания когда произойдёт реальное разрешение.

Размер кэша сообщений

Размер кэша сообщений. Кэш сообщений хранит DNS rcodes и статусы проверки. Кэш RRSet будет автоматически настроен на двойную величину. Кэш RRSet содержит фактические данные RR. Настройки по умолчанию – 4 мегабайта.

Буфера исходящего TCP

Количество буферов исходящего TCP для распределения потока согласно условиям. Значение по умолчанию – 10. Если выбрано 0, то TCP-зарпросы к полномочным серверам производятся.

Входящие буферы TCP

Количество буферов входящего TCP для распределения потока согласно условиям. Значение по умолчанию – 10. Если выбрано 0, то TCP-запросы от клиентов принимаются.

Количество запросов на поток

Количество запросов, которые каждый поток обслужит одновременно. Если придет больше запросов, которые нужно обслужить, и нет запросов, которые можно объединить, то эти запросы сбрасываются.

Тайм-аут компрессии

Этот тайм-аут используется, когда сервер очень занят. Защищает от отказа в обслуживания с помощью медленных запросов или запросов с высоким рейтингом. Значение по умолчанию 200 миллисекунд.

Максимальный ТТЛ для RRsets и сообщений

Сконфигурируйте максимальный Время жизни для RRsets и сообщений в кэше. По умолчанию – 86400 секунд (1 день). Когда внутренний TTL истекает, элемент кэша тоже истекает. Настройка может использоваться, чтобы заставить разрешатель запрашивать данные чаще и не доверять (очень большим) значениям TTL.

Минимальный ТТЛ для RRsets и сообщения

Сконфигурируйте минимальный Время жизни для RRsets и сообщений в кэше. По умолчанию – 0 секунд. Если включается минимальное значение, данные кэшируются на дольше, чем планирует владелец домена, и, таким образом, совершается меньше запросов для поиска данных. Значение 0 гарантирует, что в кэше имеются данные, запланированные владельцем домена. Высокие значения могут привести к проблемам, поскольку данные в кэше могут больше не соответствовать фактическим данным.

TTL для записей кэша хоста

Время жизни для записей в кэше хоста. Кэш хоста содержит двустороннее время прохождения пакета и информацию о поддержке EDNS. Значение по умолчанию составляет 15 минут.

Количество кэшируемых хостов

Количество хостов, для которых информация кэширована. Значение по умолчанию — 10000.

Пороговое значение нежелательных ответов

Если включен, общее количество нежелательных ответов продолжают отслеживаться в каждом потоке. Когда оно доходит до порога, принимаются защитные меры, и в журнал заносится предупреждение. Это защитное поведение служит для очистки RRSet и кэшей сообщений. По умолчанию отключён, но если включен, предлагается значение в 10 миллионов.

Уровень детализации журнала

Выберите уровень подробности журнала. Уровень 0 означает отсутствие подробности, только ошибки. Уровень 1 дает оперативную информацию. Уровень 2 дает подробную оперативную информацию. Уровень 3 дает информацию об уровне запроса, ответ на запрос. Уровень 4 дает информацию об уровне алгоритма. Уровень 5 регистрирует идентификацию клиента для пропусков кэша. По умолчанию уровень 1.

После внесения необходимых изменений нажмите кнопку Сохранить.

Списки доступа.

Списки доступа определяют хосты и сети, а также действия, которые им разрешены либо запрещены с данным DNS сервером.

Списки доступа для сетей, принадлежащих сконфигурированным на устройстве интерфейсам создаются автоматически и не изменяются.

Для создания списка доступа необходимо нажать кнопку Добавить в правом верхнем углу и заполнить необходимые поля:

Имя списка доступа

Укажите имя списка доступа

Действие

Выберите, что делать с DNS-запросами, которые соответствуют указанным ниже условиям. 4

Сети

Укажите сеть для которой создается данный список доступа. 5

Описание

Описание данного списка доступа.

4

Укажите действие для совпавшего запроса:

  • Блокировать: это действие запрещает запросы от хостов, указанных в блоке сетевых адресов ниже.

  • Запретить: это действие также запрещает запросы от хостов, указанных в блоке сетевых адресов ниже, но отправляет обратно клиенту сообщение об ошибке DNS rcode REFUSED.

  • Разрешить: это действие разрешает запросы от хостов, указанных в блоке сетевых адресов ниже.

  • Разрешить отслеживание: это действие разрешает рекурсивный и нерекурсивный доступ из хостов в определенном ниже блоке сетевых адресов, и используется для отслеживания кэша (в идеале должно быть настроено только для административного хоста).

  • Запретить нелокальный: разрешать только авторитетные запросы локальных данных от хостов в сетевом блоке, определенном ниже. Сообщения, которые запрещены, удаляются.

  • Отказаться от нелокальных: разрешать только авторитетные запросы локальных данных от хостов в сетевом блоке, определенном ниже. Отправляет сообщение об ошибке DNS rcode REFUSED обратно клиенту для сообщений, которые запрещены.

5

Вы можете указать (добавить) несколько сетей в один список доступа.

Примечание

Наиболее детально описанный список доступа считается совпавшим.

Если совпадений нет, то работает правило Блокировать.

Порядок правил не имеет значения.

Статистические данные.

Страница статистики предоставляет некоторые сведения о работающем сервере, такие как количество выполненных запросов, использование кэша и время безотказной работы.

OpenDNS

OpenDNS - интернет-служба, предоставляющая общедоступные DNS-серверы. Имеет платный и бесплатный режим, может исправлять опечатки в набираемых адресах, фильтровать фишинговые сайты и осуществлять дополнительную фильтрацию контента при поиске DNS.

Примечание

Для работы данной слубы вам необходима учетная запись OpenDNS и корректно выполненная настройка службы со стороны OpenDNS.

Для настройки OpenDNS перейдите в закладку Службы -> OpenDNS и выполните следующие настройки:

Включен

Включить модуль. 6

Имя пользователя

Имя пользователя для входа в инструментальную панель OpenDNS.

Пароль

Пароль пользователя.

Сеть

Имя сети настроенной в Networks инструментальной панели сетей OpenDNS на странице «Управление вашими сетями»

6

При включении службы OpenDNS, DNS-серверы, настроенные на странице «Общие настройки», будут перезаписаны, DNS-серверы, полученные DHCP/PPP на WAN-интерфейсе, будут игнорироваться, а использоваться будут DNS-серверы из opendns.com

Примечание

После выключения службы, проверьте, что DNS-серверы, настроенные на странице «Общие настройки» вернулись к предыдущим значениям.