4.5.3. Dnssec-trigger 이해
unbound
가 /etc/resolv.conf
에 설치되고 구성되면 애플리케이션의 모든 DNS
쿼리는 바인딩되지 않은 .dnssec-trigger 는 트리거된 경우에만 unbound
resolver를 재구성합니다. 이는 주로 다른 Wi-Fi 네트워크에 연결되는 로밍 클라이언트 시스템에 적용됩니다. 프로세스는 다음과 같습니다.
- NetworkManager 는
DHCP
“를” 통해 새DNS
서버를 가져올 때 dnssec-trigger 를 트리거합니다. - 그런 다음 DNSSEC -trigger 는 서버에 대해 여러 테스트를 수행하고 적절하게 DNSSEC를 지원하는지 여부를 결정합니다.
- 이 경우 dnssec-trigger 는 해당
DNS
서버를 모든 쿼리에 대해 전달자로 사용하도록unbound
를 재구성합니다. - 테스트에 실패하면 dnssec-trigger 는 새
DNS
서버를 무시하고 몇 가지 사용 가능한 fall-back 방법을 시도합니다. - 무제한 포트 53(
UDP
및TCP
)을 사용할 수 있다고 결정하는 경우, 전달자를 사용하지 않고unbound
에 전체 재귀DNS
서버가 되도록 지시합니다. - 예를 들어 네트워크의
DNS
서버 자체에 도달하기를 제외하고 방화벽에서 포트 53을 차단하기 때문에 DNS를 포트 80에 사용하거나TLS
캡슐화DNS
DNS
를 실행하는 서버는/etc/dnssec-trigger/dnssec-trigger.conf
에서 구성할 수 있습니다. 주석 처리된 예제를 기본 구성 파일에서 사용할 수 있어야 합니다. - 이러한 장애 조치 방법도 실패하면 dnssec-trigger 가 비보안으로 작동하여 DNSSEC를 완전히 무시하거나 새
DNS
쿼리를 시도하지 않고 “캐시에 이미 있는 모든 항목에 대해 응답하는 캐시 전용” 모드에서 실행할 수 있습니다.
Wi-Fi 핫스팟은 인터넷에 대한 액세스 권한을 부여하기 전에 사용자를 사인온 페이지로 리디렉션합니다. 위에 설명된 프로빙 시퀀스 중에 리디렉션이 감지되면 사용자는 인터넷에 액세스해야 하는지 묻는 메시지가 표시됩니다.
dnssec-trigger
데몬은 10초마다 DNSSEC 확인자를 계속 검사합니다. dnssec-trigger 그래픽 유틸리티 사용에 대한 자세한 내용은 4.5.8절. “Dnssec-trigger 사용” 을 참조하십시오.