第3章 アンバウンド DNS サーバーのセットアップ

手順

1. unbound されているパッケージをインストールします。

   # dnf install unbound

2. /etc/unbound/unbound.conf ファイルを編集し、server 句で次の変更を行います。

   1. interface パラメーターを追加して、unbound されているサービスがクエリーをリッスンする IP アドレスを設定します。次に例を示します。

      interface: 127.0.0.1
      interface: 192.0.2.1
      interface: 2001:db8:1::1

      これらの設定では、unbound は指定された IPv4 および IPv6 アドレスでのみリッスンします。

      インターフェイスを必要なものに制限することで、インターネットなどの承認されていないネットワークからのクライアントがこの DNS サーバーにクエリーを送信するのを防ぎます。

   2. access-control パラメーターを追加して、クライアントが DNS サービスを照会できるサブネットを設定します。次に例を示します。

      access-control: 127.0.0.0/8 allow
      access-control: 192.0.2.0/24 allow
      access-control: 2001:db8:1::/64 allow

3. unbound されているサービスをリモートで管理するための秘密鍵と証明書を作成します。

   # systemctl restart unbound-keygen

   注記

   この手順を省略した場合、次の手順で設定を確認すると、不足しているファイルが報告されます。ただし、unbound されているサービスは、ファイルが見つからない場合に自動的に作成します。

4. 設定ファイルを確認します。

   # unbound-checkconf

   unbound-checkconf: no errors in /etc/unbound/unbound.conf

5. 着信 DNS トラフィックを許可するように firewalld ルールを更新します。

   # firewall-cmd --permanent --add-service=dns
   # firewall-cmd --reload

6. unbound されているサービスを有効にして開始します。

   # systemctl enable --now unbound

検証

1. localhost インターフェイスでリッスンしている unbound されている DNS サーバーにクエリーを実行して、ドメインを解決します。

   # dig @localhost www.example.com

   ...
   __www.example.com.__    __86400__    IN    A    __198.51.100.34__
   
   ;; Query time: __330 msec__
   ...

   初めてレコードをクエリーした後、unbound はエントリーをそのキャッシュに追加します。

2. 最後のクエリーを繰り返します。

   # dig @localhost www.example.com

   ...
   __www.example.com.__    __85332__    IN    A    __198.51.100.34__
   
   ;; Query time: __1 msec__
   ...

   エントリーがキャッシュされるため、エントリーの有効期限が切れるまで、同じレコードに対するそれ以降のリクエストは大幅に高速化されます。

   詳細は、お使いのシステムの unbound.conf(5) の man ページを参照してください。