Настройка DNS¶
TING предлагает широкий выбор DNS серверов и сервисов для настройки:
Unbound DNS и Dnsmasq DNS являются штатными DNS серверами
DNSCrypt-Proxy и BIND представлены в виде отдельных плагинов
а также службу OpenDNS.
Таким образом пользователь может самостоятельно принять решение о настройке и использовании одного из перечисленных DNS серверов, либо их совместном использовании.
Dnsmasq DNS¶
Dnsmasq DNS — легковесный и быстроконфигурируемый проксирующий DNS-сервер, предназначенный для небольших сетей.
Примечание
В качестве штатного DNS сервера предлагается использовать Unbound DNS.
Для настройки Dnsmasq DNS перейдите в закладку Службы -> Dnsmasq DNS -> Настройки
При работе Dnsmasq DNS использует для пересылки вышестоящие сервера DNS, указанные на закладке Система: Настройки: Общие в разделе DNS
Настройки модуля:¶
Настройки данного модуля не вызывают сложностей. Вы можете настроить порт (по умолчанию 53
), выбрать интерфейсы.
Также можете настроить регистрацию в DNS адресов, выдаваемых по DHCP.
Включение модуля осуществляется установкой соответствующего флажка.
Функция переопределения хоста позволит вашему Dnsmasq DNS отвечать определенной IP на указанное имя.
Функция переопределения домена позволит вашему Dnsmasq DNS пересылать все запросы, связанные с необходимым доменном на указанный DNS сервер.
Примечание
Данный функционал может потребоваться для настройки SSO аутентификации в двух доменах.
Unbound DNS¶
Unbound является проверяющим, рекурсивным и кэширующим DNS-сервером и позиционируется, как основной DNS сервер TING.
Настройка модуля:¶
Перейдите в закладку: Службы -> Unbound DNS -> Общие
В данной закладке вы сможете выполнить основные настройки:
Включен |
Включить модуль Unbound DNS |
Порт прослушивания |
Этот порт отвечает на DNS-запросы (по умолчанию 53) |
Сетевые интерфейсы |
Для ответов клиентам на запросы, будут использоваться IP адреса выбранных интерфейсов. При наличии на интерфейсе IPv4, IPv6, оба адреса будут использоваться. Запросы с отсутствующих интерфейсов будут отклоняться. (По умолчанию используются все имеющиеся IP адреса и интерфейсы) |
DNSSEC |
Включить DNSSEC для минимизирования атак, связанных с подменой DNS-адреса при разрешении доменных имён. |
Регистрация DHCP |
Компьютеры, которые указывают свое имя хоста при запросе аренды DHCP, будут зарегистрированы в Unbound, чтобы их имя можно было разрешить. |
Переопределение доменного имени DHCP |
Доменное имя для регистрации имени хоста DHCP. Если имя не указано, используется системное доменное имя по умолчанию. |
Статические DHCP преобразования |
Статические сопоставления DHCP будут зарегистрированы в Unbound, чтобы их имя можно было разрешить. |
IPv6 Link-local |
Зарегистрировать IPv6 link-local адресав Unbound. |
Поддержка TXT-комментариев |
Зарегистрировать описания ассоциированные с записями хоста и статическими маршрутами DHCP в соответствующие TXT записи. |
Переадресация DNS-запросов |
Настроенные системные серверы имен из раздела Система: Настройки: Общие будут использоваться для переадресации запросов. |
Тип Локальной Зоны |
Используемый тип локальной зоны (по умолчанию |
Пользовательские настройки |
В данное поле вы можете ввести непосредственно директивы для unbound. [1] |
Исходящие сетевые интерфейсы |
Используйте различные сетевые интерфейсы, которые Unbound будет использовать для отправки запросов (по умолчанию используются все интерфейсы) [2] |
Записи WPAD |
Добавить записи CNAME для узла WPAD всех настроенных доменов. |
Примечание
Если функция Unbound включена, служба DHCP (если включена) будет автоматически обслуживать IP-адрес локальной сети в качестве DNS-сервера для DHCP-клиентов, поэтому они будут использовать Unbound resolver. Если переадресация включена, Unbound будет использовать DNS-серверы, введенные в System: General setup или полученные через DHCP или PPP в WAN, если установлен флажок «Разрешить переопределение списка DNS-серверов DHCP/PPP в WAN».
После внесения необходимых изменений нажмите кнопку Сохранить.
Переопределения.¶
В данном разделе вы можете создать отдельные записи определения хоста и указать IP адрес сервера DNS, на который следует пересылать запросы.
Для создания переопределения хоста вам необходимо нажать + и заполнить соответствующие поля:
Домен [3] |
Домен для Переопределения |
IP адрес |
IP адрес DNS сервера пересылки |
Описание |
Опциональное описание |
После настройки нажмите Сохранить.
Для того, чтоб изменения вступили в силу, нажмите Сохранить и Применить изменения
Дополнительно.¶
Настройки по умолчинию Unbound DNS являются оптимальными в большинтсве случаев, но при необходимости, вы можете внести изменения в настроки.
Для этого перейдите в закладку Дополнительно и внесите необходимые изменения:
Скройте Идентификационные данные |
Если включено, запросы id.server и hostname.bind отклоняются. |
Версия скрытия |
Если включено, запросы version.serve и version.bind отклоняются. |
Поддержка предварительной выборки |
Элементы кэшей сообщений выбраны заранее до того, как они истекут, чтобы помочь держать кэш актуальным. Когда настройка включена, она может вызвать увеличение трафика DNS примерно на 10% и увеличить нагрузку сервера, но часто запрошенные элементы в кэше не истекают. |
Поддержка Ключа DNS предварительной выборки |
DNSKEY выбираются на упреждение в процессе проверки, когда встречается Подписчик делегирования. Это помогает уменьшить очередь запросов, но немного больше использует ЦП. |
Данные только DNSSEC |
Данных DNSSEC требуют основанные на доверии зоны. Если такие данные отсутствуют, зона становится ложной. Если это отключено и никакие данные DNSSEC не получены, зона делается небезопасной. |
Обслуживание просроченных ответов |
Выдавать просроченные ответы из кэша с TTL 0 без ожидания когда произойдёт реальное разрешение. |
Размер кэша сообщений |
Размер кэша сообщений. Кэш сообщений хранит DNS rcodes и статусы проверки. Кэш RRSet будет автоматически настроен на двойную величину. Кэш RRSet содержит фактические данные RR. Настройки по умолчанию – 4 мегабайта. |
Буфера исходящего TCP |
Количество буферов исходящего TCP для распределения потока согласно условиям. Значение по умолчанию – 10. Если выбрано 0, то TCP-зарпросы к полномочным серверам производятся. |
Входящие буферы TCP |
Количество буферов входящего TCP для распределения потока согласно условиям. Значение по умолчанию – 10. Если выбрано 0, то TCP-запросы от клиентов принимаются. |
Количество запросов на поток |
Количество запросов, которые каждый поток обслужит одновременно. Если придет больше запросов, которые нужно обслужить, и нет запросов, которые можно объединить, то эти запросы сбрасываются. |
Тайм-аут компрессии |
Этот тайм-аут используется, когда сервер очень занят. Защищает от отказа в обслуживания с помощью медленных запросов или запросов с высоким рейтингом. Значение по умолчанию 200 миллисекунд. |
Максимальный ТТЛ для RRsets и сообщений |
Сконфигурируйте максимальный Время жизни для RRsets и сообщений в кэше. По умолчанию – 86400 секунд (1 день). Когда внутренний TTL истекает, элемент кэша тоже истекает. Настройка может использоваться, чтобы заставить разрешатель запрашивать данные чаще и не доверять (очень большим) значениям TTL. |
Минимальный ТТЛ для RRsets и сообщения |
Сконфигурируйте минимальный Время жизни для RRsets и сообщений в кэше. По умолчанию – 0 секунд. Если включается минимальное значение, данные кэшируются на дольше, чем планирует владелец домена, и, таким образом, совершается меньше запросов для поиска данных. Значение 0 гарантирует, что в кэше имеются данные, запланированные владельцем домена. Высокие значения могут привести к проблемам, поскольку данные в кэше могут больше не соответствовать фактическим данным. |
TTL для записей кэша хоста |
Время жизни для записей в кэше хоста. Кэш хоста содержит двустороннее время прохождения пакета и информацию о поддержке EDNS. Значение по умолчанию составляет 15 минут. |
Количество кэшируемых хостов |
Количество хостов, для которых информация кэширована. Значение по умолчанию — 10000. |
Пороговое значение нежелательных ответов |
Если включен, общее количество нежелательных ответов продолжают отслеживаться в каждом потоке. Когда оно доходит до порога, принимаются защитные меры, и в журнал заносится предупреждение. Это защитное поведение служит для очистки RRSet и кэшей сообщений. По умолчанию отключён, но если включен, предлагается значение в 10 миллионов. |
Уровень детализации журнала |
Выберите уровень подробности журнала. Уровень 0 означает отсутствие подробности, только ошибки. Уровень 1 дает оперативную информацию. Уровень 2 дает подробную оперативную информацию. Уровень 3 дает информацию об уровне запроса, ответ на запрос. Уровень 4 дает информацию об уровне алгоритма. Уровень 5 регистрирует идентификацию клиента для пропусков кэша. По умолчанию уровень 1. |
После внесения необходимых изменений нажмите кнопку Сохранить.
Для того, чтоб изменения вступили в силу, нажмите Применить изменения
Списки доступа.¶
Списки доступа определяют хосты и сети, а также действия, которые им разрешены либо запрещены с данным DNS сервером.
Списки доступа для сетей, принадлежащих сконфигурированным на устройстве интерфейсам создаются автоматически и не изменяются.
Для создания списка доступа необходимо нажать кнопку Добавить в правом верхнем углу и заполнить необходимые поля:
Имя списка доступа |
Укажите имя списка доступа |
Действие |
Выберите, что делать с DNS-запросами, которые соответствуют указанным ниже условиям. [4] |
Сети |
Укажите сеть для которой создается данный список доступа. [5] |
Описание |
Описание данного списка доступа. |
Укажите действие для совпавшего запроса:
Блокировать: это действие запрещает запросы от хостов, указанных в блоке сетевых адресов ниже.
Запретить: это действие также запрещает запросы от хостов, указанных в блоке сетевых адресов ниже, но отправляет обратно клиенту сообщение об ошибке DNS rcode REFUSED.
Разрешить: это действие разрешает запросы от хостов, указанных в блоке сетевых адресов ниже.
Разрешить отслеживание: это действие разрешает рекурсивный и нерекурсивный доступ из хостов в определенном ниже блоке сетевых адресов, и используется для отслеживания кэша (в идеале должно быть настроено только для административного хоста).
Запретить нелокальный: разрешать только авторитетные запросы локальных данных от хостов в сетевом блоке, определенном ниже. Сообщения, которые запрещены, удаляются.
Отказаться от нелокальных: разрешать только авторитетные запросы локальных данных от хостов в сетевом блоке, определенном ниже. Отправляет сообщение об ошибке DNS rcode REFUSED обратно клиенту для сообщений, которые запрещены.
Вы можете указать (добавить) несколько сетей в один список доступа.
Примечание
Наиболее детально описанный список доступа считается совпавшим.
Если совпадений нет, то работает правило Блокировать.
Порядок правил не имеет значения.
После настройки нажмите Сохранить.
Для того, чтоб изменения вступили в силу, нажмите Применить изменения
Черные списки.¶
Черные списки позволяют проводить фильтрацию DNS запросов по предопределенным спискам, собственным спискам, а также создавать исключения из них.
Для этого перейдите в раздел Черный Список и выполните настройку согласно собственных требований:
Включен |
Включить использование списков блокировки DNS. |
Тип DNSBL |
Выберите типы DNSBL (возможен множественный выбор) |
URL-адреса черных списков |
URL-адрес(а), из которого будет загружен черный список. |
Белый список доменов |
Список исключений доменов (белый список). Можно использовать регулярные выражения. |
После настройки нажмите Сохранить.
Для того, чтоб изменения вступили в силу, перейдите в раздел Общие и нажмите Сохранить и Применить изменения
Прочее.¶
В данном разделе вы можете настроить Частные домены и включить функцию DNS через TLS.
Для этого перейдите в раздел Прочее
Если необходимо, введите список частных доменов. [6]
Частные домены - это домены, в которых используются частные сети. Unbound DNS по умолчанию фильтрует такие запросы.
Если необходимо настроить Unbound DNS на использование внешних серверов с использованием технологии DNS-over-HTTPS, заполните соответствующее поле в формате IP@port
(к примеру, 9.9.9.9@853)
После настройки нажмите Сохранить.
Для того, чтоб изменения вступили в силу, нажмите Применить изменения
Статистические данные.¶
Страница статистики предоставляет некоторые сведения о работающем сервере, такие как количество выполненных запросов, использование кэша и время безотказной работы.
BIND¶
BIND - открытая и распространённая реализация DNS-сервера, обеспечивающая выполнение преобразования DNS-имени в IP-адрес и наоборот.
Установка¶
Перейдите в раздел Система -> Прошивка -> Плагины
На вкладке Плагины нажмите на кнопку + напротив плагина os-bind для его установки.
Основная настройка¶
Перейдите в раздел Службы -> BIND -> Конфигурация
Настройте следующие параметры:
Включить службу BIND |
Включить службу BIND |
IP для прослушивания |
Список IP адресов, на которых служба будет принимать запросы |
Порт прослушивания |
Номер порта для прослушивания [7] |
DNS-серверы пересылки |
Список IP адресов серверов пересылки, куда BIND будет пересылать неизвестные запросы. Если поле пустое, то BIND будет выполнять резолвинг с помощью корневых серверов. |
Размер журнала в Мб |
Максимальный размер каждого файла журнала |
Максимальный размер кэша |
Размер ОЗУ (RAM) в процентах, до которого может увеличиваться кэш |
Рекурсия |
Список сетей, для которых разрешены рекурсивные запросы |
Проверка DNSSEC |
Использовать ли DNSSec проверку |
Примечание
По умолчанию номер порта 53530
. Если вы хотите использовать стандартный порт 53
, убедитесь, что другие DNS службы его не используют (выключены)
Нажмите кнопку Сохранить
Черные списки¶
Данный функционал позволяет повысить безопасность путем ограничения запросов к ресурсам, которые находятся в черных списках.
Перейдите в раздел Службы -> BIND -> DNSBL
Настройте следующие параметры:
Включить DNSBL и RPZ |
Включить DNSBL службу |
Тип DNSBL |
Выберите используемые списки |
Белый список доменов |
Список исключений доменов, которые входят в выбранные выше списки, но доступ к которым необходим |
Включить безопасный поиск Google |
Усиление безопасного поиска путем дополнительной защиты популярных сервисов |
Включить безопасный поиск DuckDuckGo |
|
Включить в Youtube ограничения для взрослых |
|
Включить строгий поиск Bing |
Нажмите кнопку Сохранить
Списки контроля доступа¶
В данной секции настраиваются списки сетей, которые используются в настроках доступа для рекурсивных запросов и для настроек доступа в настройках зон.
Перейдите в раздел Службы -> BIND -> Списки контроля доступа
Создайте список, нажав на символ +
Настройте следующие параметры:
Включен |
Включить список |
Имя |
Имя списка |
Список сети |
Список IP адресов и сетей (в формате <IP>/<маска>) |
Нажмите кнопку Сохранить
Зоны¶
Примечание
Управление зонами находится еще в экспериментальном режиме.
В данном разделе вы можете настраивать как Master
, так и Slave
зоны, которые в дальнейшем будут обслуживаться данным сервером BIND.
Для этого перейдите в раздел Службы -> BIND -> Зоны
Для создания записи зоны нажмите символ +
Настройте следующие параметры:
Включен |
Включить зону |
Имя зоны |
Имя зоны |
Тип |
Тип зоны ( |
Для зоны типа Master
настройте:
Разрешить передачу |
Список IP адресов/сетей, которые могут загружать данную зону |
Разрешить запросы |
Список IP адресов/сетей, которые могут выполнять запросы к данной зоне |
TTL |
Общее время жизни для этой зоны |
Время обновления |
Время в секундах, после которого серверы имен должны обновить информацию о зоне. |
Время повтора |
Время в секундах, после которого серверы имен должны повторить запросы, если главный сервер не отвечает. |
Время истечения |
Время в секундах, по истечении которого серверы имен должны прекратить отвечать на запросы, если главный сервер не отвечает. |
Отрицательный TTL |
Время в секундах, после которого запись для несуществующей записи должна удалиться из кэша. |
Администратор почты |
Почтовый адрес администратора зоны. Знак @ - будет автоматически заменен точкой в данных зоны. |
DNS-сервер |
DNS-сервер, на котором размещен этот файл. Обычно это должно быть полное доменное имя вашего брандмауэра, где установлен плагин BIND. |
Нажмите кнопку Сохранить
После создания Master
- зоны вы можете добавлять записи в нее.
Для этого в нижней части экрана нажмите символ +, чтобь создать запись.
Настройте следующие параметры:
Включен |
Запись включена |
Зона |
Выберите из списка зону, в которой необходимо добавить запись |
Имя |
Значение записи (к примеру, |
Тип |
Тип записи ( |
Значение |
Значение данной записи |
Нажмите кнопку Сохранить
Для зоны типа Slave
настройте:
Главный IP-адрес |
IP адрес сервера с |
Разрешить уведомления |
Список IP адресов, которым разрешено уведомление данного сервера |
Нажмите кнопку Сохранить
На этом настройка BIND DNS закончена.
OpenDNS¶
OpenDNS - интернет-служба, предоставляющая общедоступные DNS-серверы. Имеет платный и бесплатный режим, может исправлять опечатки в набираемых адресах, фильтровать фишинговые сайты и осуществлять дополнительную фильтрацию контента при поиске DNS.
Примечание
Для работы данной слубы вам необходима учетная запись OpenDNS и корректно выполненная настройка службы со стороны OpenDNS.
Для настройки OpenDNS перейдите в закладку Службы -> OpenDNS и выполните следующие настройки:
Включен |
Включить модуль. [8] |
Имя пользователя |
Имя пользователя для входа в инструментальную панель OpenDNS. |
Пароль |
Пароль пользователя. |
Сеть |
Имя сети настроенной в Networks инструментальной панели сетей OpenDNS на странице «Управление вашими сетями» |
При включении службы OpenDNS, DNS-серверы, настроенные на странице «Общие настройки», будут перезаписаны, DNS-серверы, полученные DHCP/PPP на WAN-интерфейсе, будут игнорироваться, а использоваться будут DNS-серверы из opendns.com
Примечание
После выключения службы, проверьте, что DNS-серверы, настроенные на странице «Общие настройки» вернулись к предыдущим значениям.