DNS Setup · 17 min read · Sep 08, 2025
Come configurare un risolutore DNS locale con Unbound su Rocky Linux 9
Unbound è un software server DNS gratuito e open-source che può essere utilizzato per risolutori DNS validanti, ricorsivi e di caching. È un server DNS ricco di funzionalità che supporta DNS-over-TLS (DoT), DNS-over-HTTPS (DoH), minimizzazione del nome della query, uso aggressivo della cache validata da DNSSEC e supporto per zone autoritative. Unbound è focalizzato sulla privacy e sulla sicurezza del DNS, ma senza sacrificare la velocità e le prestazioni.
Unbound è sviluppato principalmente da NLnet Labs e distribuito sotto la licenza BSD, e supporta funzionalità moderne su standard aperti di server DNS. Unbound è stato rigorosamente auditato e può essere eseguito su Linux, BSD e macOS. Unbound è disponibile per la maggior parte di questi sistemi operativi e può essere installato tramite il gestore di pacchetti del sistema.
In questo tutorial, configurerò un server DNS locale con Unbound su un server Rocky Linux 9. Configurerai Unbound come un DNS autoritativo, validante e di caching ricorsivo. Inoltre, configurerai Unbound come risolutore DNS per la tua rete locale con DNS-over-TLS (DoT) abilitato.
Alla fine di questo tutorial, configurerai anche i log di Unbound tramite Rsyslog e Logrotate, e configurerai anche una macchina client Linux per utilizzare Unbound come risolutore DNS e verificare l’intera installazione da lì.
Prerequisiti
Prima di iniziare con questo tutorial, assicurati di avere i seguenti requisiti:
- Un server con Rocky Linux 9 installato - Questo esempio utilizza un Rocky Linux con il nome host ‘unbound-rocky’ e l’indirizzo IP ‘192.168.5.25 ‘.
- Un utente non root con privilegi di amministratore root/sudo.
- Un SELinux in esecuzione in modalità permissiva.
E questo è tutto. Se tutti i requisiti sono soddisfatti, procedi e inizia a installare Unbound sul tuo server.
Installazione di Unbound
Unbound è un software server DNS che supporta la maggior parte dei sistemi operativi, inclusi Linux, BSD e macOS. Su Rocky Linux, il pacchetto Unbound è disponibile per impostazione predefinita nel repository ufficiale di Rocky Linux AppStream.
In questo primo passaggio, installerai il pacchetto Unbound sul tuo sistema Rocky Linux.
Ora esegui il comando dnf qui sotto per verificare il pacchetto ‘unbound‘ disponibile nel repository AppStream. Al momento della scrittura, il repository AppStream di Rocky Linux fornisce Unbound 1.16.
sudo dnf info unboundOutput:
Installa Unbound tramite il comando dnf qui sotto. Quando richiesto, inserisci y per confermare e premi INVIO per procedere.
sudo dnf install unboundOutput:
Una volta installato Unbound, avvia e abilita il servizio ‘unbound’ tramite il comando utility systemctl qui sotto. Questo avvierà Unbound sul tuo server Rocky Linux e lo abiliterà a essere eseguito automaticamente all’avvio del sistema.
sudo systemctl start unbound
sudo systemctl enable unboundVerifica il servizio Unbound utilizzando il comando systemctl qui sotto. L’output ‘active (running)‘ conferma che il servizio Unbound è in esecuzione. E l’output ‘loaded ….; enabled;…‘ conferma che il servizio Unbound è abilitato.
sudo systemctl status unboundOutput:
Il tuo Unbound è ora installato e in esecuzione con il file di configurazione predefinito ‘/etc/unbound/unbound.conf‘. Successivamente, modificherai il file di configurazione di Unbound ‘/etc/unbound/unbound.conf‘ e configurerai Unbound come un DNS autoritativo, validante e di caching ricorsivo, e abiliterai anche Unbound come risolutore DNS con DoT abilitato.
Configurazione di Unbound
Per impostazione predefinita, il file di configurazione di Unbound si trova in ‘/etc/unbound/unbound.conf‘. In questo passaggio, modificherai il file di configurazione ‘/etc/unbound/unbound.conf‘, quindi configurerai e ottimizzerai l’installazione di Unbound.
Configurerai Unbound per funzionare come DNS autoritativo, validante e di caching ricorsivo. Inoltre, ottimizzerai l’installazione di Unbound per prestazioni, privacy e sicurezza. Infine, configurerai Unbound come risolutore DNS per le reti locali.
Per prima cosa, esegui il comando wget qui sotto per scaricare il file DNS root in ‘/etc/unbound/root.hints‘. Quindi, cambia la proprietà del file ‘/etc/unbound/root.hints‘ all’utente e al gruppo ‘unbound‘.
wget https://www.internic.net/domain/named.root -O /etc/unbound/root.hints
sudo chown unbound:unbound /etc/unbound/root.hintsSuccessivamente, esegui il backup del file di configurazione predefinito di Unbound in ‘/etc/unbound/unbound.conf.orig‘ e modifica il file originale ‘/etc/unbound/unbound.conf‘ utilizzando il comando dell’editor nano qui sotto.
sudo cp -v /etc/unbound/unbound{.conf,.conf.orig}
sudo nano /etc/unbound/unbound.confOra iniziamo a configurare Unbound.
Configurazione di base di Unbound
Per prima cosa, imposterai quale indirizzo IP e porta il servizio Unbound dovrebbe utilizzare. Quindi, imposterai anche un pacchetto di certificati che verrà utilizzato per autenticare le connessioni effettuate a monte e aggiungerai i server DNS root tramite il parametro ‘root-hints’.
Aggiungi le seguenti righe all’interno della sezione ‘server:‘. Con queste impostazioni, eseguirai Unbound su un indirizzo IP locale ‘192.168.5.25‘ con la porta UDP predefinita ‘53‘.
server:
...
...
# interface-automatic: no
do-ip6: no
interface: 192.168.5.25
port: 53
prefetch: yes
tls-cert-bundle: /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
root-hints: /etc/unbound/root.hintsParametri dettagliati:
- do-ip6: usa ‘yes‘ per eseguire Unbound con IPv6 o imposta ‘no‘ per disabilitare IPv6.
- interface: interfaccia di rete o indirizzo IP su cui Unbound verrà eseguito. Puoi utilizzare un indirizzo IP o il nome dell’interfaccia come ‘eth0‘. Inoltre, puoi eseguire su una porta specifica aggiungendo un formato come ‘IP-ADDRESS@PORT‘.
- port: specifica la porta su cui Unbound verrà eseguito e le connessioni dei client saranno gestite da questa porta. La porta DNS predefinita è 53.
- prefetch: impostato su ‘yes‘ per abilitare il prefetching delle voci di cache dei messaggi quasi scaduti.
- tls-cert-bundle: certificati utilizzati per autenticare le connessioni effettuate a monte. Su distribuzioni basate su RHEL, il file cert si trova in ‘/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem‘.
- root-hints: un file che contiene i dettagli del server DNS root. Hai scaricato questo file in ‘/etc/unbound/root.hints‘.
Abilitare la cache DNS
Ora aggiungi le seguenti righe per abilitare il DNS di caching ricorsivo tramite Unbound. Questo memorizzerà nella cache le query DNS effettuate dai client sul server Unbound per un certo periodo di tempo.
cache-max-ttl: 14400
cache-min-ttl: 1200Parametri dettagliati:
- cache-max-ttl: TTL o Time To Live per RRSets e messaggi nella cache DNS. Il formato è in secondi.
- cache-min-ttl: tempo minimo di vita per la cache. Il valore predefinito è 0, ma puoi cambiarlo a tuo piacimento, ad esempio ‘1200‘ secondi. Non impostare questo valore per più di 1 ora o potresti avere problemi a causa di dati obsoleti.
Indurire Unbound
Alcuni parametri di privacy e sicurezza per Unbound sono abilitati per impostazione predefinita sulle distribuzioni basate su RHEL. Ma puoi anche aggiungere ulteriori parametri come queste righe.
hide-identity: yes
hide-version: yes
use-caps-for-id: yesParametri dettagliati:
- hide-identity: impostato su yes per disabilitare le risposte dalle query bind riguardo a id.server o hostname.bind.
- hide-version: impostato su yes per disabilitare le query version.server e version.bind.
- use-caps-for-id: impostato su yes per abilitare l’uso di ‘0x20-encoded‘ nella query per ostacolare i tentativi di spoofing.
Definire indirizzi privati e liste di controllo degli accessi
Successivamente, dovrai definire indirizzi privati e ACL (liste di controllo degli accessi) per le tue reti locali. Assicurati di cambiare la subnet locale nelle righe qui sotto con il tuo attuale ambiente di rete.
private-address: 192.168.0.0/16
private-address: 169.254.0.0/16
private-address: 172.16.0.0/12
private-address: 10.0.0.0/8
private-address: fd00::/8
private-address: fe80::/10
# controlla quali client sono autorizzati a effettuare query (ricorsive)
access-control: 127.0.0.1/32 allow_snoop
access-control: ::1 allow_snoop
access-control: 127.0.0.0/8 allow
access-control: 192.168.5.0/24 allowParametri dettagliati:
- private-address: definire le subnet di rete private sulla tua infrastruttura. Solo i nomi ‘private-domain‘ e ‘local-data‘ sono autorizzati ad avere questi indirizzi privati.
- access-control: definire il controllo degli accessi in cui i client sono autorizzati a effettuare query (ricorsive) al server Unbound. Il parametro ‘allow‘ abiliterà la ricorsione, mentre ‘allow_snoop‘ abiliterà sia la ricorsione che la non ricorsione.
Impostare nomi di dominio locali e sottodomini
Dopo aver configurato indirizzi privati e liste di controllo degli accessi, ora creerai nomi di dominio locali tramite il parametro ‘local-zone’ di Unbound. Questo è molto utile, specialmente se hai più applicazioni auto-ospitate sulla tua rete locale. Puoi facilmente definire il tuo nome di dominio o sottodomini e puntarli a un indirizzo IP specifico.
In questo esempio, configurerai un dominio locale ‘static‘ ‘garden.lan‘ e creerai più sottodomini tramite il parametro ‘local-data‘. Ogni sottodominio sarà puntato a un indirizzo IP specifico e creerai anche record PTR tramite il parametro ‘local-data-ptr‘.
# zona locale
local-zone: "garden.lan." static
local-data: "firewall.garden.lan. IN A 10.0.0.1"
local-data: "vault.garden.lan. IN A 10.0.0.2"
local-data: "media.garden.lan. IN A 10.0.0.3"
local-data: "docs.garden.lan. IN A 10.0.0.4"
local-data: "wiki.garden.lan. IN A 10.0.0.5"
local-data-ptr: "10.0.0.1 firewall.garden.lan"
local-data-ptr: "10.0.0.2 vault.garden.lan"
local-data-ptr: "10.0.0.3 media.garden.lan"
local-data-ptr: "10.0.0.4 docs.garden.lan"
local-data-ptr: "10.0.0.5 wiki.garden.lan"Parametri dettagliati:
- local-zone: definire il dominio locale qui.
- local-data: definire il record A per i sottodomini e quale indirizzo IP locale sarà risolto.
- local-data-ptr: definire il record ptr per i tuoi sottodomini.
Ottimizzazione e regolazioni di Unbound
Successivamente, aggiungi le seguenti righe per ottimizzare la tua installazione di Unbound. Puoi regolare e modificare i parametri qui sotto a seconda del tuo attuale ambiente.
msg-cache-slabs: 8
rrset-cache-slabs: 8
infra-cache-slabs: 8
key-cache-slabs: 8
rrset-cache-size: 256m
msg-cache-size: 128m
so-rcvbuf: 8mParametri dettagliati:
- msg-cache-slabs: il numero di lastre da utilizzare per la cache dei messaggi. Impostalo su 8 per ottimizzare Unbound per utilizzare più memoria per la cache.
- rrset-cache-slabs: il numero di lastre da utilizzare per la cache RRset. Impostalo su 8 per ottimizzare Unbound per utilizzare più memoria per la cache RRSet.
- infra-cache-slabs: il numero di lastre da utilizzare per la cache delle infrastrutture. Impostalo su 8 per ottimizzare Unbound per utilizzare più memoria per la cache delle infrastrutture.
- key-cache-slabs: il numero di lastre da utilizzare per la cache delle chiavi. Impostalo su 8 per ottimizzare Unbound per utilizzare più memoria per la cache delle chiavi.
- rrset-cache-size: specifica la quantità di memoria per la cache RRSet. Questo esempio utilizza 256MB, mentre il valore predefinito è solo 4MB.
- msg-cache-size: specifica la quantità di memoria per la cache dei messaggi. Questo esempio utilizza 128MB, mentre il valore predefinito è solo 4MB.
- so-rcvbuf: imposta la dimensione del buffer per la porta DNS 53/udp a 8MB.
Impostare Unbound come risolutore DNS con DNS-over-TLS (DoT)
Infine, aggiungi una nuova sezione ‘forward-zone‘ per impostare Unbound come risolutore DNS per le tue reti locali. Questo esempio utilizza i server DNS Quad9 con DoT (DNS-over-TLS) abilitato come risolutore DNS a monte.
forward-zone:
name: "."
forward-ssl-upstream: yes
## Aggiungi anche IBM IPv6 Quad9 su TLS
forward-addr: 9.9.9.9@853#dns.quad9.net
forward-addr: 149.112.112.112@853#dns.quad9.netParametri dettagliati:
- forward-zone: definire la zona di inoltro per Unbound.
- name: impostato su “.” per inoltrare tutte le query DNS.
- forward-addr: utilizzare un inoltratore specifico per inoltrare tutte le query DNS. Questo esempio utilizza i DNS Quad9 con DNS-over-TLS (DoT) abilitato.
Ora salva e esci dal file ‘/etc/unbound/unbound.conf‘ quando hai finito.
Successivamente, esegui il comando qui sotto per verificare le configurazioni di Unbound e assicurarti di avere una configurazione corretta e appropriata. Quando avrai successo, dovresti ottenere un output ‘unbound-checkconf: no errors in /etc/unbound/unbound.conf‘.
unbound-checkconf
Ora riavvia il servizio Unbound tramite il comando utility systemctl qui sotto e applica le modifiche.
sudo systemctl restart unboundCon questo, hai ora terminato la configurazione di Unbound e ora è in esecuzione all’indirizzo IP ‘192.168.5.25‘ con la porta UDP predefinita ‘53‘.
Nei passaggi successivi, configurerai il firewalld per aprire la porta DNS e configurare il logging di Unbound tramite Rsyslog e Logrotate.
Configurazione di Firewalld
Quindi, Unbound è attivo e in esecuzione sulla porta UDP predefinita 53. Ora devi aprire la porta DNS 53/UDP su firewalld e consentire ai client di accedere al tuo server DNS Unbound.
Esegui il comando firewall-cmd qui sotto per aggiungere il nuovo servizio ‘dns‘. Quindi, ricarica il firewalld per applicare le modifiche. Quando avrai successo, dovresti ottenere un output come ‘success‘ nel tuo terminale.
sudo firewall-cmd --add-service=dns --permanent
sudo firewall-cmd --reloadSuccessivamente, esegui il comando qui sotto per verificare l’elenco dei servizi abilitati su firewalld. E dovresti vedere il servizio ‘dns‘ aggiunto al firewalld.
sudo firewall-cmd --list-allOutput:
Configurazione del log di Unbound tramite Rsyslog e Logrotate
Dopo aver configurato il firewalld, ora configurerai un file di log per Unbound tramite rsyslog e logrotate. Il servizio rsyslog creerà un file di log specifico per Unbound e il logrotate ruoterà il file di log di Unbound in un certo tempo.
Crea un nuovo file di configurazione ‘/etc/rsyslog.d/unbound.conf‘ utilizzando il comando dell’editor nano qui sotto.
sudo nano /etc/rsyslog.d/unbound.confAggiungi le seguenti righe al file. Con questo, Rsyslog creerà un nuovo file di log ‘/var/log/unbound.log‘ per il ‘$programname’ == ‘unbound‘.
# Log messaggi generati dall'applicazione unbound
if $programname == 'unbound' then /var/log/unbound.log
# interrompi l'elaborazione ulteriore
& stopSalva e esci dal file ‘/etc/rsyslog.d/unbound.conf‘ quando hai finito.
Successivamente, crea un nuovo file di configurazione Logrotate ‘/etc/logrotate.d/unbound‘ utilizzando il comando dell’editor nano qui sotto.
sudo nano /etc/logrotate.d/unboundAggiungi le seguenti righe al file. Questo creerà la rotazione dei log per il file di log di Unbound ‘/var/log/unbound.log‘ su base giornaliera.
/var/log/unbound.log {
daily
rotate 7
missingok
create 0640 root adm
postrotate
/usr/lib/rsyslog/rsyslog-rotate
endscript
}Salva il file e esci dall’editor quando hai finito.
Infine, esegui il seguente comando systemctl per riavviare sia i servizi Rsyslog che Logrotate e applicare le modifiche al tuo sistema.
sudo systemctl restart rsyslog
sudo systemctl restart logrotateCon questo, hai ora terminato l’installazione di Unbound. Nei passaggi successivi, imparerai come configurare una macchina client locale per utilizzare Unbound come risolutore DNS utilizzando due metodi, quindi verificherai il server DNS Unbound da lì.
Configurazione del risolutore DNS per il client
Per configurare il risolutore DNS sulle macchine client, puoi utilizzare diversi metodi. In questo passaggio, imparerai come configurare i risolutori DNS tramite NetworkManager e tramite systemd-resolved combinato con NetworkManager.
Tramite NetworkManager
Se desideri configurare il risolutore DNS direttamente tramite NetworkManager, devi modificare le configurazioni della tua interfaccia di rete, che sono memorizzate nella directory ‘/etc/NetworkManager/system-connections/‘.
In questo esempio, la connessione principale per la macchina client è ‘eth0‘, quindi la configurazione su NetworkManager dovrebbe essere ‘/etc/NetworkManager/system-connections/eth0.nmconnection‘. Potresti avere nomi di interfaccia diversi come eth1 e molti altri.
Apri il file di configurazione dell’interfaccia NetworkManager ‘/etc/NetworkManager/system-connections/eth0.nmconnection‘ utilizzando il comando dell’editor nano qui sotto.
sudo nano /etc/NetworkManager/system-connections/eth0.nmconnectionAggiungi le seguenti righe alla sezione ‘[ipv4]‘. Inoltre, assicurati di cambiare l’indirizzo IP nel parametro ‘dns‘ con il tuo server DNS Unbound.
[ipv4]
...
dns=192.168.5.25
ignore-auto-dns=trueSalva e esci dal file quando hai finito.
Successivamente, esegui il comando systemctl qui sotto per riavviare il servizio NetworkManager e applicare le modifiche. Quindi, verifica il file di configurazione del risolutore DNS ‘/etc/resolv.conf‘ tramite il comando cat.
sudo systemctl restart NetworkManager
cat /etc/resolv.confDovresti ottenere un output che l’indirizzo IP ‘192.168.5.25‘ è configurato come risolutore DNS predefinito per la tua macchina client.
Tramite systemd-resolved e NetworkManager
Un altro modo per configurare un risolutore DNS è tramite systemd-resolved e NetworkManager. Con questo, puoi facilmente cambiare il risolutore DNS a livello di sistema e non dipendere dalle interfacce di rete sul tuo sistema.
Su distribuzioni basate su RHEL, systemd-resolved non è ancora installato. Puoi facilmente installarlo tramite il comando dnf qui sotto. Quando richiesto, inserisci y per confermare e premi INVIO per procedere.
sudo dnf install systemd-resolvedOutput:
Dopo che systemd-resolved è installato, apri il file di configurazione ‘/etc/systemd/resolved.conf‘ utilizzando il comando dell’editor nano qui sotto.
sudo nano /etc/systemd/resolved.confNella sezione ‘[Resolver]’, decommenta il parametro ‘DNS‘ e aggiungi l’indirizzo IP del tuo server DNS Unbound.
[Resolver]
DNS=192.168.5.25Salva e esci dal file quando hai finito.
Successivamente, esegui il comando systemctl qui sotto per avviare e abilitare il servizio ‘systemd-resolved’.
sudo systemctl start systemd-resolved
sudo systemctl enable systemd-resolved
Ora verifica il servizio ‘systemd-resolved‘ per assicurarti che il servizio sia in esecuzione. Dovresti ricevere un output come ‘active (running)‘, che conferma che il servizio è in esecuzione. E l’output ‘Loaded ../../systemd-resolved.service; enabled;..‘ conferma che il servizio è abilitato e si avvierà automaticamente all’avvio del sistema.
sudo systemctl status systemd-resolvedOutput:
Con systemd-resolved in esecuzione, dovrai successivamente modificare il backend DNS per il servizio NetworkManager.
Apri il file di configurazione di NetworkManager ‘/etc/NetworkManager/NetworkManager.conf‘ utilizzando il comando dell’editor nano qui sotto.
sudo nano /etc/NetworkManager/NetworkManager.confSotto la sezione ‘[main]‘, aggiungi il parametro ‘dns‘ con il valore ‘systemd-resolved‘. Questo sovrascriverà il server DNS sul tuo NetworkManager per utilizzare il servizio ‘systemd-resolved‘.
[main]
dns=systemd-resolvedSalva e esci dal file quando hai finito.
Ora esegui il comando systemctl qui sotto per riavviare il servizio NetworkManager e applicare le modifiche. Il nuovo risolutore DNS per NetworkManager è scritto nel file ‘/run/NetworkManager/resolv.conf‘.
sudo systemctl restart NetworkManagerEsegui il comando qui sotto per rimuovere il file predefinito ‘/etc/resolve.conf‘. Quindi, crea un nuovo file symlink di ‘/run/NetworkManager/resolv.conf‘ a ‘/etc/resolv.conf‘.
rm -f /etc/resolv.conf
ln -s /run/NetworkManager/resolv.conf /etc/resolv.confCon questo, la tua macchina client ora utilizza systemd-resolved come risolutore DNS. Dietro il ‘systemd-resolved‘, stai utilizzando il server DNS Unbound.
Di seguito sono riportati i dettagli del file ‘/etc/resolv.conf‘ dopo aver utilizzato systemd-resolved e NetworkManager.
cat /etc/resolv.confOutput:
Verifica del server DNS Unbound
Esegui il comando dig qui sotto per assicurarti che Unbound DNS funzioni come risolutore DNS. Il parametro ‘@192.168.5.25‘ assicura che stai utilizzando un server DNS Unbound che funziona all’indirizzo IP ‘192.168.5.25‘.
dig @192.168.5.25Quando avrai successo, riceverai una risposta dal server DNS root come l’output qui sotto. Inoltre, noterai il flag ‘ad‘ (dati autentici) nell’output dell’intestazione, il che significa che DNSSEC è abilitato.
Successivamente, esegui il comando qui sotto per assicurarti che i client possano accedere ai nomi di dominio su Internet.
dig google.com
dig fb.comQuando avrai successo, dovresti ricevere un output dettagliato dei record DNS per il dominio ‘google.com‘ e ‘fb.com‘. Puoi vedere che il risolutore DNS che risponde alla query è ‘127.0.0.53#53‘, che è il systemd-resolved che utilizza Unbound come risolutore predefinito. Inoltre, puoi vedere il ‘Query time‘ per ogni query, il ‘Query time‘ per il dominio ‘google.com‘ è ‘74ms‘ e per ‘fb.com‘ è ‘154ms‘.
Output per google.com:
Output per fb.com:
Se riesegui il comando dig sopra, il ‘Query time‘ dovrebbe essere ridotto. E questo conferma che le tue query sono state memorizzate nella cache e che la cache DNS sta funzionando.
dig google.com
dig fb.comOutput:
Successivamente, verifica il dominio locale o il sottodominio tramite il comando dig qui sotto. Se avrai successo, ogni sottodominio sarà puntato all’indirizzo IP corretto come configurato nel file di configurazione di Unbound ‘/etc/unbound/unbound.conf‘.
dig firewall.garden.lan +short
dig vault.garden.lan +short
dig media.garden.lan +shortOutput:
Ora esegui il comando dig qui sotto per assicurarti che i record PTR siano puntati al nome di dominio corretto.
dig -x 10.0.0.1 +short
dig -x 10.0.0.2 +short
dig -x 10.0.0.3 +shortOutput:
Infine, puoi anche verificare DoT (DNS over TLS) tramite tcpdump. Installa il pacchetto ‘tcpdump‘ sul tuo server Unbound tramite il comando dnf qui sotto.
sudo dnf install tcpdumpInserisci y quando richiesto e premi INVIO per procedere.
Ora esegui il comando tcpdump qui sotto per monitorare il traffico sull’interfaccia ‘eth0‘ con la porta DoT 853. In questo esempio, il DNS Unbound è in esecuzione all’indirizzo IP ‘192.168.5.25‘ con l’interfaccia ‘eth0‘.
tcpdump -vv -x -X -s 1500 -i eth0 'port 853'Sposta sulla macchina client ed esegui il comando qui sotto per accedere ai nomi di dominio esterni/internet tramite il comando dig qui sotto.
dig twitter.comOutput:
Dopo di che, torna al server Unbound e dovresti ora ottenere un output simile a questo nell’output di tcpdump.
Con questo, hai ora installato e configurato un server DNS locale tramite Unbound. Inoltre, hai configurato un risolutore DNS sui client RHEL tramite systemd-resolved e NetworkManager.
Conclusione
In questa guida, hai installato il server DNS locale Unbound su un server Rocky Linux 9. Hai abilitato la cache DNS, DNSSEC (abilitato per impostazione predefinita), configurato indirizzi privati e ACL, aggiunto un dominio locale tramite local-zone, quindi configurato Unbound come risolutore DNS con DoT (DNS-over-TLS).
In aggiunta a ciò, hai configurato la privacy e la sicurezza di base del DNS, ottimizzato Unbound e configurato i log di Unbound tramite rsyslog e logrotate.
Alla fine di questa guida, hai anche imparato come configurare un risolutore DNS su distribuzioni basate su RHEL tramite NetworkManager e systemd-resolved. E hai anche appreso l’uso di base del comando dig per controllare il server DNS.
Ricevi i nuovi post nella tua casella di posta.
Nessuno spam. Disiscriviti in qualsiasi momento.