Como Configurar um Resolvedor DNS Local com Unbound no Rocky Linux 9

Unbound é um software de servidor DNS gratuito e de código aberto que pode ser usado para validadores, recursivos e resolvedores de cache DNS. É um servidor DNS rico em recursos que suporta DNS-over-TLS (DoT), DNS-over-HTTPS (DoH), Minimização de Nome de Consulta, o Uso Agressivo de Cache Validado por DNSSEC e suporte para zonas de autoridade. O Unbound é focado na privacidade e segurança do DNS, mas sem sacrificar a velocidade e o desempenho.

O Unbound é desenvolvido principalmente pelo NLnet Labs e distribuído sob a licença BSD, e suporta recursos modernos em padrões abertos de Servidor DNS. O Unbound foi rigorosamente auditado e pode ser executado em Linux, BSD e macOS. O Unbound está disponível para a maioria desses sistemas operacionais e pode ser instalado via o gerenciador de pacotes do sistema.

Neste tutorial, configurarei um Servidor DNS Local com Unbound em um servidor Rocky Linux 9. Você configurará o Unbound como um DNS autoritativo, validando e recursivo em cache. Além disso, você também configurará o Unbound como um resolvedor DNS para sua rede local com DNS-over-TLS (DoT) habilitado em cima disso.

Ao final deste tutorial, você também configurará os logs do Unbound via Rsyslog e Logrotate, e também configurará uma máquina cliente Linux para usar o Unbound como um resolvedor DNS e verificar toda a sua instalação a partir daí.

Pré-requisitos

Antes de começar com este tutorial, certifique-se de que você possui os seguintes requisitos:

• Um servidor com Rocky Linux 9 instalado - Este exemplo usa um Rocky Linux com o nome do host ‘unbound-rocky’ e o endereço IP ‘192.168.5.25 ‘.
• Um usuário não-root com privilégios de administrador root/sudo.
• Um SELinux em execução no modo permissivo.

E é isso. Se todos os requisitos estiverem em vigor, prossiga e comece a instalar o Unbound em seu servidor.

Instalando o Unbound

O Unbound é um software de Servidor DNS que suporta a maioria dos sistemas operacionais, incluindo Linux, BSD e macOS. No Rocky Linux, o pacote Unbound está disponível por padrão no repositório oficial do Rocky Linux AppStream.

Neste primeiro passo, você instalará o pacote Unbound em seu sistema Rocky Linux.

Agora execute o comando dnf abaixo para verificar o pacote ‘unbound‘ disponível no repositório AppStream. No momento da redação deste texto, o repositório AppStream do Rocky Linux fornece o Unbound 1.16.

sudo dnf info unbound

Saída:

Instale o Unbound via o comando dnf abaixo. Quando solicitado, insira y para confirmar e pressione ENTER para prosseguir.

sudo dnf install unbound

Saída:

Uma vez que o unbound está instalado, inicie e habilite o serviço ‘unbound’ via o utilitário de comando systemctl abaixo. Isso iniciará o Unbound em seu servidor Rocky Linux e o habilitará para ser executado automaticamente na inicialização do sistema.

sudo systemctl start unbound  
sudo systemctl enable unbound

Verifique o serviço Unbound usando o comando systemctl abaixo. A saída ‘active (running)‘ confirma que o serviço Unbound está em execução. E a saída ‘loaded ….; enabled;…‘ confirma que o serviço Unbound está habilitado.

sudo systemctl status unbound

Saída:

Seu Unbound agora está instalado e em execução com o arquivo de configuração padrão ‘/etc/unbound/unbound.conf‘. A seguir, você modificará o arquivo de configuração do Unbound ‘/etc/unbound/unbound.conf‘ e configurará o Unbound como um DNS autoritativo, validando e recursivo em cache, e também habilitará o Unbound como um resolvedor DNS com DoT habilitado.

Configurando o Unbound

Por padrão, o arquivo de configuração do Unbound está localizado em ‘/etc/unbound/unbound.conf’. Neste passo, você modificará o arquivo de configuração ‘/etc/unbound/unbound.conf’, e então configurará e otimizará a instalação do Unbound.

Você configurará o Unbound para funcionar como um DNS autoritativo, validando e recursivo em cache. Além disso, você também otimizará a instalação do Unbound para desempenho, privacidade e segurança. E por último, você configurará o Unbound como um resolvedor DNS para redes locais.

Primeiro, execute o comando wget abaixo para baixar o arquivo raiz DNS para ‘/etc/unbound/root.hints‘. Em seguida, mude a propriedade do arquivo ‘/etc/unbound/root.hints‘ para o usuário e grupo ‘unbound‘.

wget https://www.internic.net/domain/named.root -O /etc/unbound/root.hints  
sudo chown unbound:unbound /etc/unbound/root.hints

Em seguida, faça um backup do arquivo de configuração padrão do Unbound para ‘/etc/unbound/unbound.conf.orig‘ e modifique o arquivo original ‘/etc/unbound/unbound.conf‘ usando o comando do editor nano abaixo.

sudo cp -v /etc/unbound/unbound{.conf,.conf.orig}  
sudo nano /etc/unbound/unbound.conf

Agora vamos começar a configurar o Unbound.

Configuração Básica do Unbound

Primeiro, você configurará qual endereço IP e porta o serviço Unbound deve estar em execução. Em seguida, você também configurará um pacote de certificados que será usado para autenticar conexões feitas para cima e adicionar os servidores DNS raiz via o parâmetro ‘root-hints’.

Adicione as seguintes linhas dentro da seção ‘server:‘. Com essas configurações, você executará o Unbound em um endereço IP local ‘192.168.5.25‘ com a porta UDP padrão ‘53‘.

server:  
    ...  
    ...  
    # interface-automatic: no  
    do-ip6: no  
    interface: 192.168.5.25  
    port: 53  
    prefetch: yes  
  
    tls-cert-bundle: /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem  
    root-hints: /etc/unbound/root.hints

Parâmetros detalhados:

• do-ip6: use ‘yes‘ para executar o Unbound com IPv6 ou defina ‘no‘ para desativar o IPv6.
• interface: interface de rede ou endereço IP que o unbound estará em execução. Você pode usar um endereço IP ou o nome da interface, como ‘eth0’. Além disso, você pode executar em uma porta específica adicionando o formato como ‘IP-ADDRESS@PORT’.
• port: especifique a porta que o Unbound estará em execução e as conexões dos clientes serão tratadas por essa porta. A porta DNS padrão é 53.
• prefetch: defina como ‘yes‘ para habilitar a pré-busca de entradas de cache de mensagens quase expiradas.
• tls-cert-bundle: Certificados usados para autenticar conexões feitas para cima. Em distribuições baseadas em RHEL, o arquivo de certificado está localizado em ‘/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem’.
• root-hints: um arquivo que contém detalhes do servidor DNS raiz. Você baixou este arquivo para ‘/etc/unbound/root.hints’.

Habilitar Cache DNS

Agora adicione as seguintes linhas para habilitar o DNS recursivo em cache via Unbound. Isso irá armazenar em cache as consultas DNS feitas pelos clientes no servidor Unbound por um determinado período de tempo.

    cache-max-ttl: 14400  
    cache-min-ttl: 1200

Parâmetros detalhados:

• cache-max-ttl: TTL ou Tempo de Vida para RRSets e mensagens no cache DNS. O formato é em segundos.
• cache-min-ttl: Tempo de Vida mínimo para o cache. O padrão é 0, mas você pode alterar isso para o seu gosto, como ‘1200‘ segundos. Não defina isso por mais de 1 hora ou você terá problemas devido a dados obsoletos.

Fortalecendo o Unbound

Alguns parâmetros de privacidade e segurança para o Unbound estão habilitados por padrão na distribuição baseada em RHEL. Mas, você também pode adicionar mais parâmetros como estas linhas.

    hide-identity: yes  
    hide-version: yes  
    use-caps-for-id: yes

Parâmetros detalhados:

• hide-identity: defina como sim para desativar respostas de consultas bind sobre id.server ou hostname.bind.
• hide-version: defina como sim para desativar consultas version.server e version.bind.
• use-caps-for-id: defina como sim para habilitar o uso de ‘0x20-encoded’ na consulta para frustrar tentativas de spoofing.

Definindo Endereço Privado e Listas de Controle de Acesso

Em seguida, você precisará definir endereços privados e ACLs (Listas de Controle de Acesso) para suas redes locais. Certifique-se de alterar a sub-rede local nas linhas abaixo com seu ambiente de rede atual.

    private-address: 192.168.0.0/16  
    private-address: 169.254.0.0/16  
    private-address: 172.16.0.0/12  
    private-address: 10.0.0.0/8  
    private-address: fd00::/8  
    private-address: fe80::/10  
  
    # controle quais clientes têm permissão para fazer consultas (recursivas)  
    access-control: 127.0.0.1/32 allow_snoop  
    access-control: ::1 allow_snoop  
    access-control: 127.0.0.0/8 allow  
    access-control: 192.168.5.0/24 allow

Parâmetros detalhados:

• private-address: defina sub-redes de rede privada em sua infraestrutura. Apenas ‘private-domain‘ e ‘local-data‘ nomes são permitidos para ter esses endereços privados.
• access-control: defina o controle de acesso em que clientes têm permissão para fazer consultas (recursivas) ao servidor Unbound. O parâmetro ‘allow‘ habilitará recursivas, enquanto o ‘allow_snoop‘ habilitará tanto recursivas quanto não recursivas.

Configurando Nome de Domínio Local e Subdomínios

Após configurar endereços privados e listas de controle de acesso, você agora criará nomes de domínio locais via o parâmetro ‘local-zone’ do Unbound. Isso é muito útil, especialmente se você tiver várias aplicações auto-hospedadas em sua rede local. Você pode facilmente definir seu nome de domínio ou subdomínios e apontá-los para o endereço IP específico.

Neste exemplo, você configurará um domínio local ‘static‘ ‘garden.lan‘ e criará vários subdomínios via o parâmetro ‘local-data‘. Cada subdomínio será apontado para um endereço IP específico, e também você criará registros PTR via o parâmetro ‘local-data-ptr‘.

    # zona local  
    local-zone: "garden.lan." static  
  
    local-data: "firewall.garden.lan.  IN A 10.0.0.1"  
    local-data: "vault.garden.lan.    IN A 10.0.0.2"  
    local-data: "media.garden.lan.   IN A 10.0.0.3"  
    local-data: "docs.garden.lan.       IN A 10.0.0.4"  
    local-data: "wiki.garden.lan.     IN A 10.0.0.5"  
  
    local-data-ptr: "10.0.0.1  firewall.garden.lan"  
    local-data-ptr: "10.0.0.2  vault.garden.lan"  
    local-data-ptr: "10.0.0.3  media.garden.lan"  
    local-data-ptr: "10.0.0.4  docs.garden.lan"  
    local-data-ptr: "10.0.0.5  wiki.garden.lan"

Parâmetros detalhados:

• local-zone: defina o domínio local aqui.
• local-data: defina o registro A para subdomínios e qual endereço IP local será resolvido.
• local-data-ptr: defina o registro ptr para seus subdomínios.

Otimização e Ajustes do Unbound

Em seguida, adicione as seguintes linhas para otimizar sua instalação do Unbound. Você pode ajustar e modificar os parâmetros abaixo dependendo do seu ambiente atual.

    msg-cache-slabs: 8  
    rrset-cache-slabs: 8  
    infra-cache-slabs: 8  
    key-cache-slabs: 8  
    rrset-cache-size: 256m  
    msg-cache-size: 128m  
    so-rcvbuf: 8m

Parâmetros detalhados:

• msg-cache-slabs: o número de slabs a serem usados para o cache de mensagens. Defina como 8 para otimizar o Unbound para usar mais memória para cache.
• rrset-cache-slabs: o número de slabs a serem usados para o cache RRset. Defina como 8 para otimizar o Unbound para usar mais memória para o cache RRSet.
• infra-cache-slabs: o número de slabs a serem usados para o cache de Infraestrutura. Defina como 8 para otimizar o Unbound para usar mais memória para o cache de Infraestrutura.
• key-cache-slabs: o número de slabs a serem usados para o cache de chaves. Defina como 8 para otimizar o Unbound para usar mais memória para o cache de chaves.
• rrset-cache-size: especifique a quantidade de memória para o cache RRSet. Este exemplo usa 256MB, com o padrão sendo apenas 4MB.
• msg-cache-size: especifique a quantidade de memória para o cache de mensagens. Este exemplo usa 128MB, com o padrão sendo apenas 4MB.
• so-rcvbuf: configure o tamanho do buffer para a porta DNS 53/udp para 8MB.

Configurar o Unbound como um Resolvedor DNS com DNS-over-TLS (DoT)

Por último, adicione uma nova seção ‘forward-zone‘ para configurar o Unbound como um resolvedor DNS para suas redes locais. Este exemplo usa servidores DNS Quad9 com DoT (DNS-over-TLS) habilitado como um resolvedor DNS para cima.

forward-zone:  
    name: "."  
    forward-ssl-upstream: yes  
    ## Também adicione IBM IPv6 Quad9 sobre TLS  
    forward-addr: 9.9.9.9@853#dns.quad9.net  
    forward-addr: 149.112.112.112@853#dns.quad9.net

Parâmetros detalhados:

• forward-zone: defina a zona de encaminhamento para o Unbound.
• name: defina como “.” para encaminhar todas as consultas DNS.
• forward-addr: use um encaminhador específico para encaminhar todas as consultas DNS. Este exemplo usa Quad9 DNS com DNS-over-TLS (DoT) habilitado.

Agora salve e saia do arquivo ‘/etc/unbound/unbound.conf‘ quando tudo estiver concluído.

Em seguida, execute o comando abaixo para verificar as configurações do Unbound e garantir que você tenha uma configuração correta e adequada. Quando bem-sucedido, você deve obter uma saída ‘unbound-checkconf: no errors in /etc/unbound/unbound.conf‘.

unbound-checkconf

Agora reinicie o serviço Unbound via o utilitário de comando systemctl abaixo e aplique as alterações.

sudo systemctl restart unbound

Com isso, você agora terminou a configuração do Unbound e ele está agora em execução no endereço IP ‘192.168.5.25‘ com a porta UDP padrão ‘53‘.

Nos próximos passos, você configurará o firewalld para abrir a porta DNS e configurar os logs do Unbound via Rsyslog e Logrotate.

Configurando o Firewalld

Assim, o Unbound está em funcionamento na porta UDP padrão 53. Agora você deve abrir a porta DNS 53/UDP no firewalld e permitir que os clientes acessem seu Servidor DNS Unbound.

Execute o comando firewall-cmd abaixo para adicionar o novo serviço ‘dns‘. Em seguida, recarregue o firewalld para aplicar as alterações. Quando bem-sucedido, você deve obter uma saída como ‘success‘ em seu terminal.

sudo firewall-cmd --add-service=dns --permanent  
sudo firewall-cmd --reload

Em seguida, execute o comando abaixo para verificar a lista de serviços habilitados no firewalld. E você deve ver o serviço ‘dns‘ adicionado ao firewalld.

sudo firewall-cmd --list-all

Saída:

Configurando o Log do Unbound via Rsyslog e Logrotate

Após configurar o firewalld, você agora configurará um arquivo de log para o Unbound via rsyslog e logrotate. O serviço rsyslog criará um arquivo de log específico para o Unbound e o logrotate irá rotacionar o arquivo de log do Unbound em um determinado tempo.

Crie um novo arquivo de configuração ‘/etc/rsyslog.d/unbound.conf‘ usando o comando do editor nano abaixo.

sudo nano /etc/rsyslog.d/unbound.conf

Adicione as seguintes linhas ao arquivo. Com isso, o Rsyslog criará um novo arquivo de log ‘/var/log/unbound.log’ para o ‘$programname’ == ‘unbound‘.

# Log messages generated by unbound application   
if $programname == 'unbound' then /var/log/unbound.log  
# stop processing it further  
& stop

Salve e saia do arquivo ‘/etc/rsyslog.d/unbound.conf‘ quando terminar.

Em seguida, crie um novo arquivo de configuração Logrotate ‘/etc/logrotate.d/unbound‘ usando o comando do editor nano abaixo.

sudo nano /etc/logrotate.d/unbound

Adicione as seguintes linhas ao arquivo. Isso criará a rotação de logs para o arquivo de log do Unbound ‘/var/log/unbound.log‘ diariamente.

/var/log/unbound.log {  
  daily  
  rotate 7  
  missingok  
  create 0640 root adm  
  postrotate  
    /usr/lib/rsyslog/rsyslog-rotate  
  endscript  
}

Salve o arquivo e saia do editor quando terminar.

Por último, execute o seguinte comando systemctl para reiniciar os serviços Rsyslog e Logrotate e aplicar as alterações ao seu sistema.

sudo systemctl restart rsyslog  
sudo systemctl restart logrotate

Com isso, você agora terminou a instalação do Unbound. Nos próximos passos, você aprenderá como configurar uma máquina cliente local para usar o Unbound como um resolvedor DNS usando dois métodos, e então você verificará o servidor DNS Unbound a partir daí.

Configurando o Resolvedor DNS para o Cliente

Para configurar o resolvedor DNS em máquinas clientes, você pode usar diferentes métodos. Neste passo, você aprenderá como configurar resolvedores DNS via NetworkManager e via systemd-resolved combinado com NetworkManager.

Via NetworkManager

Se você deseja configurar o resolvedor DNS via NetworkManager diretamente, então você deve editar suas configurações de interface de rede, que estão armazenadas no diretório ‘/etc/NetworkManager/system-connections/‘.

Neste exemplo, a conexão principal para a máquina cliente é ‘eth0‘, então a configuração no NetworkManager deve ser ‘/etc/NetworkManager/system-connections/eth0.nmconnection‘. Você pode ter nomes de interface diferentes, como eth1 e muitos mais.

Abra o arquivo de configuração da interface do NetworkManager ‘/etc/NetworkManager/system-connections/eth0.nmconnection‘ usando o comando do editor nano abaixo.

sudo nano /etc/NetworkManager/system-connections/eth0.nmconnection

Adicione as seguintes linhas à seção ‘[ipv4]‘. Além disso, certifique-se de alterar o endereço IP no parâmetro ‘dns‘ com seu Servidor DNS Unbound.

[ipv4]  
...  
dns=192.168.5.25  
ignore-auto-dns=true

Salve e saia do arquivo quando terminar.

Em seguida, execute o comando systemctl abaixo para reiniciar o serviço NetworkManager e aplicar as alterações. Então, verifique o arquivo de configuração do resolvedor DNS ‘/etc/resolv.conf‘ via o comando cat.

sudo systemctl restart NetworkManager  
cat /etc/resolv.conf

Você deve obter uma saída que o endereço IP ‘192.168.5.25‘ está configurado como o resolvedor DNS padrão para sua máquina cliente.

Via systemd-resolved e NetworkManager

Outra maneira de configurar um resolvedor DNS é via systemd-resolved e NetworkManager. Com isso, você pode facilmente alterar o resolvedor DNS em todo o sistema e não depender de interfaces de rede em seu sistema.

Em distribuições baseadas em RHEL, o systemd-resolved ainda não está instalado. Você pode facilmente instalá-lo via o comando dnf abaixo. Quando solicitado, insira y para confirmar e pressione ENTER para prosseguir.

sudo dnf install systemd-resolved

Saída:

Após o systemd-resolved ser instalado, abra o arquivo de configuração ‘/etc/systemd/resolved.conf‘ usando o comando do editor nano abaixo.

sudo nano /etc/systemd/resolved.conf

Na seção ‘[Resolver]’, descomente o parâmetro ‘DNS‘ e adicione o endereço IP do seu servidor DNS Unbound nele.

[Resolver]  
DNS=192.168.5.25

Salve e saia do arquivo quando terminar.

Em seguida, execute o comando systemctl abaixo para iniciar e habilitar o serviço ‘systemd-resolved’.

sudo systemctl start systemd-resolved  
sudo systemctl enable systemd-resolved

Agora verifique o serviço ‘systemd-resolved‘ para garantir que o serviço está em execução. Você deve receber uma saída como ‘active (running)‘, o que confirma que o serviço está em execução. E a saída ‘Loaded ../../systemd-resolved.service; enabled;..‘ confirma que o serviço está habilitado e será iniciado automaticamente na inicialização do sistema.

sudo systemctl status systemd-resolved

Saída:

Com o systemd-resolved em execução, você irá modificar o backend DNS para o serviço NetworkManager.

Abra o arquivo de configuração do NetworkManager ‘/etc/NetworkManager/NetworkManager.conf‘ usando o comando do editor nano abaixo.

sudo nano /etc/NetworkManager/NetworkManager.conf

Sob a seção ‘[main]‘, adicione o parâmetro ‘dns‘ com o valor ‘systemd-resolved‘. Isso substituirá o servidor DNS no seu NetworkManager para usar o serviço ‘systemd-resolved‘.

[main]  
dns=systemd-resolved

Salve e saia do arquivo quando terminar.

Agora execute o comando systemctl abaixo para reiniciar o serviço NetworkManager e aplicar as alterações. O novo resolvedor DNS para o NetworkManager é escrito no arquivo ‘/run/NetworkManager/resolv.conf‘.

sudo systemctl restart NetworkManager

Execute o comando abaixo para remover o arquivo padrão ‘/etc/resolve.conf’. Em seguida, crie um novo arquivo symlink de ‘/run/NetworkManager/resolv.conf‘ para ‘/etc/resolv.conf‘.

rm -f /etc/resolv.conf  
ln -s /run/NetworkManager/resolv.conf /etc/resolv.conf

Com isso, sua máquina cliente agora está usando o systemd-resolved como o resolvedor DNS. Por trás do ‘systemd-resolved‘, você está usando o Servidor DNS Unbound.

Abaixo estão os detalhes do arquivo ‘/etc/resolv.conf‘ após usar o systemd-resolved e NetworkManager.

cat /etc/resolv.conf

Saída:

Verificando o Servidor DNS Unbound

Execute o comando dig abaixo para garantir que o DNS Unbound está funcionando como um resolvedor DNS. O parâmetro ‘@192.168.5.25‘ garante que você está usando um servidor DNS Unbound que está em execução no endereço IP ‘192.168.5.25‘.

dig @192.168.5.25

Quando bem-sucedido, você receberá uma resposta do servidor DNS raiz como a saída abaixo. Além disso, você notará a flag ‘ad‘ (dados autênticos) na saída do cabeçalho, o que significa que o DNSSEC está habilitado.

Em seguida, execute o comando abaixo para garantir que os clientes possam acessar nomes de domínio na internet.

dig google.com  
dig fb.com

Quando bem-sucedido, você deve receber uma saída detalhada dos registros DNS para o domínio ‘google.com‘ e ‘fb.com‘. Você pode ver que o resolvedor DNS que responde à consulta é ‘127.0.0.53#53‘, que é o systemd-resolved que usa o Unbound como o resolvedor padrão. Além disso, você pode ver o ‘Query time‘ para cada consulta, o ‘Query time‘ para o domínio ‘google.com‘ é ‘74ms‘ e para ‘fb.com‘ é ‘154ms‘.

Saída para google.com:

Saída para fb.com:

Se você executar novamente o comando dig acima, o ‘Query time‘ deve ser reduzido. E isso confirma que suas consultas foram armazenadas em cache, e o cache DNS está funcionando.

dig google.com  
dig fb.com

Saída:

Em seguida, verifique o domínio local ou subdomínio via o comando dig abaixo. Se bem-sucedido, cada subdomínio será apontado para o endereço IP correto conforme configurado no arquivo de configuração do Unbound ‘/etc/unbound/unbound.conf‘.

dig firewall.garden.lan +short  
dig vault.garden.lan +short  
dig media.garden.lan +short

Saída:

Agora execute o comando dig abaixo para garantir que os registros PTR estão apontando para o nome de domínio correto.

dig -x 10.0.0.1 +short  
dig -x 10.0.0.2 +short  
dig -x 10.0.0.3 +short

Saída:

Por último, você também pode verificar o DoT (DNS over TLS) via tcpdump. Instale o pacote ‘tcpdump‘ em seu servidor Unbound via o comando dnf abaixo.

sudo dnf install tcpdump

Insira y quando solicitado e pressione ENTER para prosseguir.

Agora execute o comando tcpdump abaixo para monitorar o tráfego na interface ‘eth0‘ com a porta DoT 853. Neste exemplo, o DNS Unbound está em execução no endereço IP ‘192.168.5.25‘ com a interface ‘eth0‘.

tcpdump -vv -x -X -s 1500 -i eth0 'port 853'

Mova-se para a máquina cliente e execute o comando abaixo para acessar nomes de domínio externos/internet via o comando dig abaixo.

dig twitter.com

Saída:

Depois disso, volte para o servidor Unbound e você deve agora obter uma saída semelhante a esta na saída do tcpdump.

Com isso, você agora instalou e configurou o Servidor DNS Local via Unbound. Além disso, você configurou um resolvedor DNS em clientes RHEL via systemd-resolved e NetworkManager.

Conclusão

Neste guia, você instalou o Servidor DNS Local Unbound em um servidor Rocky Linux 9. Você habilitou o cache DNS, DNSSEC (habilitado por padrão), configurou endereços privados e ACLs, adicionou um domínio local via local-zone, e então configurou o Unbound como um resolvedor DNS com DoT (DNS-over-TLS).

Além disso, você configurou privacidade e segurança básica do DNS, otimizou o Unbound e configurou logs do Unbound via rsyslog e logrotate.

Ao final deste guia, você também aprendeu como configurar um resolvedor DNS em distribuições baseadas em RHEL via NetworkManager e systemd-resolved. E também aprendeu o uso básico do comando dig para verificar o servidor DNS.