2장. 바인딩되지 않은 DNS 서버 설정

절차

1. unbound 패키지를 설치합니다.

   # yum install unbound

2. /etc/cabundle/cabundle.conf 파일을 편집하고 server 절에서 다음과 같이 변경합니다.

   1. 인터페이스 매개변수를 추가하여 바인딩되지 않은 서비스가 쿼리를 수신 대기하는 IP 주소를 구성합니다. 예를 들면 다음과 같습니다.

      interface: 127.0.0.1
      interface: 192.0.2.1
      interface: 2001:db8:1::1

      이러한 설정을 사용하면 unbound 가 지정된 IPv4 및 IPv6 주소에서만 수신 대기합니다.

      인터페이스를 필수로 제한하면 인터넷과 같은 인증되지 않은 네트워크의 클라이언트가 이 DNS 서버로 쿼리를 보낼 수 없습니다.

   2. access-control 매개변수를 추가하여 클라이언트가 DNS 서비스를 쿼리할 수 있는 서브넷에서 구성합니다. 예를 들면 다음과 같습니다.

      access-control: 127.0.0.0/8 allow
      access-control: 192.0.2.0/24 allow
      access-control: 2001:db8:1::/64 allow

3. unbound 서비스를 원격으로 관리하기 위한 개인 키 및 인증서를 생성합니다.

   # systemctl restart unbound-keygen

   이 단계를 건너뛰면 다음 단계의 구성을 확인하면 누락된 파일이 보고됩니다. 그러나 바인딩 되지 않은 서비스는 누락된 경우 파일을 자동으로 생성합니다.

4. 구성 파일을 확인합니다.

   # unbound-checkconf
   unbound-checkconf: no errors in /etc/unbound/unbound.conf

5. 들어오는 DNS 트래픽을 허용하도록 firewalld 규칙을 업데이트합니다.

   # firewall-cmd --permanent --add-service=dns
   # firewall-cmd --reload

6. unbound 서비스를 활성화하고 시작합니다.

   # systemctl enable --now unbound

검증

1. localhost 인터페이스에서 수신 대기하는 바인딩되지 않은 DNS 서버를 쿼리하여 도메인을 확인합니다.

   # dig @localhost www.example.com
   ...
   www.example.com.    86400    IN    A    198.51.100.34
   
   ;; Query time: 330 msec
   ...

   처음으로 레코드를 쿼리한 후 unbound 는 해당 캐시에 항목을 추가합니다.

2. 이전 쿼리를 반복합니다.

   # dig @localhost www.example.com
   ...
   www.example.com.    85332    IN    A    198.51.100.34
   
   ;; Query time: 1 msec
   ...

   캐시된 항목으로 인해 항목이 만료될 때까지 동일한 레코드에 대한 추가 요청이 훨씬 더 빨라집니다.