Настройка DNS

TING предлагает широкий выбор DNS серверов и сервисов для настройки:

Таким образом пользователь может самостоятельно принять решение о настройке и использовании одного из перечисленных DNS серверов, либо их совместном использовании.

Dnsmasq DNS

Dnsmasq DNS — легковесный и быстроконфигурируемый проксирующий DNS-сервер, предназначенный для небольших сетей.

Примечание

В качестве штатного DNS сервера предлагается использовать Unbound DNS.

Для настройки Dnsmasq DNS перейдите в закладку Службы -> Dnsmasq DNS -> Настройки

При работе Dnsmasq DNS использует для пересылки вышестоящие сервера DNS, указанные на закладке Система: Настройки: Общие в разделе DNS

Настройки модуля:

Настройки данного модуля не вызывают сложностей. Вы можете настроить порт (по умолчанию 53 ), выбрать интерфейсы.

Также можете настроить регистрацию в DNS адресов, выдаваемых по DHCP.

Включение модуля осуществляется установкой соответствующего флажка.

Функция переопределения хоста позволит вашему Dnsmasq DNS отвечать определенной IP на указанное имя.

Функция переопределения домена позволит вашему Dnsmasq DNS пересылать все запросы, связанные с необходимым доменном на указанный DNS сервер.

Примечание

Данный функционал может потребоваться для настройки SSO аутентификации в двух доменах.

Unbound DNS

Unbound является проверяющим, рекурсивным и кэширующим DNS-сервером и позиционируется, как основной DNS сервер TING.

Настройка модуля:

Перейдите в закладку: Службы -> Unbound DNS -> Общие

В данной закладке вы сможете выполнить основные настройки:

Включен

Включить модуль Unbound DNS

Порт прослушивания

Этот порт отвечает на DNS-запросы (по умолчанию 53)

Сетевые интерфейсы

Для ответов клиентам на запросы, будут использоваться IP адреса выбранных интерфейсов. При наличии на интерфейсе IPv4, IPv6, оба адреса будут использоваться. Запросы с отсутствующих интерфейсов будут отклоняться. (По умолчанию используются все имеющиеся IP адреса и интерфейсы)

DNSSEC

Включить DNSSEC для минимизирования атак, связанных с подменой DNS-адреса при разрешении доменных имён.

Регистрация DHCP

Компьютеры, которые указывают свое имя хоста при запросе аренды DHCP, будут зарегистрированы в Unbound, чтобы их имя можно было разрешить.

Переопределение доменного имени DHCP

Доменное имя для регистрации имени хоста DHCP. Если имя не указано, используется системное доменное имя по умолчанию.

Статические DHCP преобразования

Статические сопоставления DHCP будут зарегистрированы в Unbound, чтобы их имя можно было разрешить.

IPv6 Link-local

Зарегистрировать IPv6 link-local адресав Unbound.

Поддержка TXT-комментариев

Зарегистрировать описания ассоциированные с записями хоста и статическими маршрутами DHCP в соответствующие TXT записи.

Переадресация DNS-запросов

Настроенные системные серверы имен из раздела Система: Настройки: Общие будут использоваться для переадресации запросов.

Тип Локальной Зоны

Используемый тип локальной зоны (по умолчанию transparent). [1]

Пользовательские настройки

В данное поле вы можете ввести непосредственно директивы для unbound. [1]

Исходящие сетевые интерфейсы

Используйте различные сетевые интерфейсы, которые Unbound будет использовать для отправки запросов (по умолчанию используются все интерфейсы) [2]

Записи WPAD

Добавить записи CNAME для узла WPAD всех настроенных доменов.

Примечание

Если функция Unbound включена, служба DHCP (если включена) будет автоматически обслуживать IP-адрес локальной сети в качестве DNS-сервера для DHCP-клиентов, поэтому они будут использовать Unbound resolver. Если переадресация включена, Unbound будет использовать DNS-серверы, введенные в System: General setup или полученные через DHCP или PPP в WAN, если установлен флажок «Разрешить переопределение списка DNS-серверов DHCP/PPP в WAN».

После внесения необходимых изменений нажмите кнопку Сохранить.

Переопределения.

В данном разделе вы можете создать отдельные записи определения хоста и указать IP адрес сервера DNS, на который следует пересылать запросы.

Для создания переопределения хоста вам необходимо нажать + и заполнить соответствующие поля:

Домен [3]

Домен для Переопределения

IP адрес

IP адрес DNS сервера пересылки

Описание

Опциональное описание

После настройки нажмите Сохранить.

Для того, чтоб изменения вступили в силу, нажмите Сохранить и Применить изменения

Дополнительно.

Настройки по умолчинию Unbound DNS являются оптимальными в большинтсве случаев, но при необходимости, вы можете внести изменения в настроки.

Для этого перейдите в закладку Дополнительно и внесите необходимые изменения:

Скройте Идентификационные данные

Если включено, запросы id.server и hostname.bind отклоняются.

Версия скрытия

Если включено, запросы version.serve и version.bind отклоняются.

Поддержка предварительной выборки

Элементы кэшей сообщений выбраны заранее до того, как они истекут, чтобы помочь держать кэш актуальным. Когда настройка включена, она может вызвать увеличение трафика DNS примерно на 10% и увеличить нагрузку сервера, но часто запрошенные элементы в кэше не истекают.

Поддержка Ключа DNS предварительной выборки

DNSKEY выбираются на упреждение в процессе проверки, когда встречается Подписчик делегирования. Это помогает уменьшить очередь запросов, но немного больше использует ЦП.

Данные только DNSSEC

Данных DNSSEC требуют основанные на доверии зоны. Если такие данные отсутствуют, зона становится ложной. Если это отключено и никакие данные DNSSEC не получены, зона делается небезопасной.

Обслуживание просроченных ответов

Выдавать просроченные ответы из кэша с TTL 0 без ожидания когда произойдёт реальное разрешение.

Размер кэша сообщений

Размер кэша сообщений. Кэш сообщений хранит DNS rcodes и статусы проверки. Кэш RRSet будет автоматически настроен на двойную величину. Кэш RRSet содержит фактические данные RR. Настройки по умолчанию – 4 мегабайта.

Буфера исходящего TCP

Количество буферов исходящего TCP для распределения потока согласно условиям. Значение по умолчанию – 10. Если выбрано 0, то TCP-зарпросы к полномочным серверам производятся.

Входящие буферы TCP

Количество буферов входящего TCP для распределения потока согласно условиям. Значение по умолчанию – 10. Если выбрано 0, то TCP-запросы от клиентов принимаются.

Количество запросов на поток

Количество запросов, которые каждый поток обслужит одновременно. Если придет больше запросов, которые нужно обслужить, и нет запросов, которые можно объединить, то эти запросы сбрасываются.

Тайм-аут компрессии

Этот тайм-аут используется, когда сервер очень занят. Защищает от отказа в обслуживания с помощью медленных запросов или запросов с высоким рейтингом. Значение по умолчанию 200 миллисекунд.

Максимальный ТТЛ для RRsets и сообщений

Сконфигурируйте максимальный Время жизни для RRsets и сообщений в кэше. По умолчанию – 86400 секунд (1 день). Когда внутренний TTL истекает, элемент кэша тоже истекает. Настройка может использоваться, чтобы заставить разрешатель запрашивать данные чаще и не доверять (очень большим) значениям TTL.

Минимальный ТТЛ для RRsets и сообщения

Сконфигурируйте минимальный Время жизни для RRsets и сообщений в кэше. По умолчанию – 0 секунд. Если включается минимальное значение, данные кэшируются на дольше, чем планирует владелец домена, и, таким образом, совершается меньше запросов для поиска данных. Значение 0 гарантирует, что в кэше имеются данные, запланированные владельцем домена. Высокие значения могут привести к проблемам, поскольку данные в кэше могут больше не соответствовать фактическим данным.

TTL для записей кэша хоста

Время жизни для записей в кэше хоста. Кэш хоста содержит двустороннее время прохождения пакета и информацию о поддержке EDNS. Значение по умолчанию составляет 15 минут.

Количество кэшируемых хостов

Количество хостов, для которых информация кэширована. Значение по умолчанию — 10000.

Пороговое значение нежелательных ответов

Если включен, общее количество нежелательных ответов продолжают отслеживаться в каждом потоке. Когда оно доходит до порога, принимаются защитные меры, и в журнал заносится предупреждение. Это защитное поведение служит для очистки RRSet и кэшей сообщений. По умолчанию отключён, но если включен, предлагается значение в 10 миллионов.

Уровень детализации журнала

Выберите уровень подробности журнала. Уровень 0 означает отсутствие подробности, только ошибки. Уровень 1 дает оперативную информацию. Уровень 2 дает подробную оперативную информацию. Уровень 3 дает информацию об уровне запроса, ответ на запрос. Уровень 4 дает информацию об уровне алгоритма. Уровень 5 регистрирует идентификацию клиента для пропусков кэша. По умолчанию уровень 1.

После внесения необходимых изменений нажмите кнопку Сохранить.

Для того, чтоб изменения вступили в силу, нажмите Применить изменения

Списки доступа.

Списки доступа определяют хосты и сети, а также действия, которые им разрешены либо запрещены с данным DNS сервером.

Списки доступа для сетей, принадлежащих сконфигурированным на устройстве интерфейсам создаются автоматически и не изменяются.

Для создания списка доступа необходимо нажать кнопку Добавить в правом верхнем углу и заполнить необходимые поля:

Имя списка доступа

Укажите имя списка доступа

Действие

Выберите, что делать с DNS-запросами, которые соответствуют указанным ниже условиям. [4]

Сети

Укажите сеть для которой создается данный список доступа. [5]

Описание

Описание данного списка доступа.

Примечание

Наиболее детально описанный список доступа считается совпавшим.

Если совпадений нет, то работает правило Блокировать.

Порядок правил не имеет значения.

После настройки нажмите Сохранить.

Для того, чтоб изменения вступили в силу, нажмите Применить изменения

Черные списки.

Черные списки позволяют проводить фильтрацию DNS запросов по предопределенным спискам, собственным спискам, а также создавать исключения из них.

Для этого перейдите в раздел Черный Список и выполните настройку согласно собственных требований:

Включен

Включить использование списков блокировки DNS.

Тип DNSBL

Выберите типы DNSBL (возможен множественный выбор)

URL-адреса черных списков

URL-адрес(а), из которого будет загружен черный список.

Белый список доменов

Список исключений доменов (белый список). Можно использовать регулярные выражения.

После настройки нажмите Сохранить.

Для того, чтоб изменения вступили в силу, перейдите в раздел Общие и нажмите Сохранить и Применить изменения

Прочее.

В данном разделе вы можете настроить Частные домены и включить функцию DNS через TLS.

Для этого перейдите в раздел Прочее

Если необходимо, введите список частных доменов. [6]

Если необходимо настроить Unbound DNS на использование внешних серверов с использованием технологии DNS-over-HTTPS, заполните соответствующее поле в формате IP@port (к примеру, 9.9.9.9@853)

После настройки нажмите Сохранить.

Для того, чтоб изменения вступили в силу, нажмите Применить изменения

Статистические данные.

Страница статистики предоставляет некоторые сведения о работающем сервере, такие как количество выполненных запросов, использование кэша и время безотказной работы.

BIND

BIND - открытая и распространённая реализация DNS-сервера, обеспечивающая выполнение преобразования DNS-имени в IP-адрес и наоборот.

Установка

Перейдите в раздел Система -> Прошивка -> Плагины

На вкладке Плагины нажмите на кнопку + напротив плагина os-bind для его установки.

Основная настройка

Перейдите в раздел Службы -> BIND -> Конфигурация

Настройте следующие параметры:

Включить службу BIND

Включить службу BIND

IP для прослушивания

Список IP адресов, на которых служба будет принимать запросы

Порт прослушивания

Номер порта для прослушивания [7]

DNS-серверы пересылки

Список IP адресов серверов пересылки, куда BIND будет пересылать неизвестные запросы. Если поле пустое, то BIND будет выполнять резолвинг с помощью корневых серверов.

Размер журнала в Мб

Максимальный размер каждого файла журнала

Максимальный размер кэша

Размер ОЗУ (RAM) в процентах, до которого может увеличиваться кэш

Рекурсия

Список сетей, для которых разрешены рекурсивные запросы

Проверка DNSSEC

Использовать ли DNSSec проверку

Нажмите кнопку Сохранить

Черные списки

Данный функционал позволяет повысить безопасность путем ограничения запросов к ресурсам, которые находятся в черных списках.

Перейдите в раздел Службы -> BIND -> DNSBL

Настройте следующие параметры:

Включить DNSBL и RPZ

Включить DNSBL службу

Тип DNSBL

Выберите используемые списки

Белый список доменов

Список исключений доменов, которые входят в выбранные выше списки, но доступ к которым необходим

Включить безопасный поиск Google

Усиление безопасного поиска путем дополнительной защиты популярных сервисов

Включить безопасный поиск DuckDuckGo

Включить в Youtube ограничения для взрослых

Включить строгий поиск Bing

Нажмите кнопку Сохранить

Списки контроля доступа

В данной секции настраиваются списки сетей, которые используются в настроках доступа для рекурсивных запросов и для настроек доступа в настройках зон.

Перейдите в раздел Службы -> BIND -> Списки контроля доступа

Создайте список, нажав на символ +

Настройте следующие параметры:

Включен

Включить список

Имя

Имя списка

Список сети

Список IP адресов и сетей (в формате <IP>/<маска>)

Нажмите кнопку Сохранить

Зоны

Примечание

Управление зонами находится еще в экспериментальном режиме.

В данном разделе вы можете настраивать как Master, так и Slave зоны, которые в дальнейшем будут обслуживаться данным сервером BIND.

Для этого перейдите в раздел Службы -> BIND -> Зоны

Для создания записи зоны нажмите символ +

Настройте следующие параметры:

Включен

Включить зону

Имя зоны

Имя зоны

Тип

Тип зоны (Master | Slave)

Для зоны типа Master настройте:

Разрешить передачу

Список IP адресов/сетей, которые могут загружать данную зону

Разрешить запросы

Список IP адресов/сетей, которые могут выполнять запросы к данной зоне

TTL

Общее время жизни для этой зоны

Время обновления

Время в секундах, после которого серверы имен должны обновить информацию о зоне.

Время повтора

Время в секундах, после которого серверы имен должны повторить запросы, если главный сервер не отвечает.

Время истечения

Время в секундах, по истечении которого серверы имен должны прекратить отвечать на запросы, если главный сервер не отвечает.

Отрицательный TTL

Время в секундах, после которого запись для несуществующей записи должна удалиться из кэша.

Администратор почты

Почтовый адрес администратора зоны. Знак @ - будет автоматически заменен точкой в данных зоны.

DNS-сервер

DNS-сервер, на котором размещен этот файл. Обычно это должно быть полное доменное имя вашего брандмауэра, где установлен плагин BIND.

Нажмите кнопку Сохранить

После создания Master- зоны вы можете добавлять записи в нее.

Для этого в нижней части экрана нажмите символ +, чтобь создать запись.

Настройте следующие параметры:

Включен

Запись включена

Зона

Выберите из списка зону, в которой необходимо добавить запись

Имя

Значение записи (к примеру, www)

Тип

Тип записи (A | MX | CNAME и др.)

Значение

Значение данной записи

Нажмите кнопку Сохранить

Для зоны типа Slave настройте:

Главный IP-адрес

IP адрес сервера с Master зоной

Разрешить уведомления

Список IP адресов, которым разрешено уведомление данного сервера

Нажмите кнопку Сохранить

На этом настройка BIND DNS закончена.

OpenDNS

OpenDNS - интернет-служба, предоставляющая общедоступные DNS-серверы. Имеет платный и бесплатный режим, может исправлять опечатки в набираемых адресах, фильтровать фишинговые сайты и осуществлять дополнительную фильтрацию контента при поиске DNS.

Примечание

Для работы данной слубы вам необходима учетная запись OpenDNS и корректно выполненная настройка службы со стороны OpenDNS.

Для настройки OpenDNS перейдите в закладку Службы -> OpenDNS и выполните следующие настройки:

Включен

Включить модуль. [8]

Имя пользователя

Имя пользователя для входа в инструментальную панель OpenDNS.

Пароль

Пароль пользователя.

Сеть

Имя сети настроенной в Networks инструментальной панели сетей OpenDNS на странице «Управление вашими сетями»

Примечание

После выключения службы, проверьте, что DNS-серверы, настроенные на странице «Общие настройки» вернулись к предыдущим значениям.