Как настроить локальный DNS-резолвер с Unbound на Rocky Linux 9

Unbound — это бесплатное и открытое программное обеспечение DNS-сервера, которое можно использовать для проверки, рекурсивных и кэшируемых DNS-резолверов. Это функционально насыщенный DNS-сервер, который поддерживает DNS-over-TLS (DoT), DNS-over-HTTPS (DoH), минимизацию имени запроса, агрессивное использование кэша, проверенного с помощью DNSSEC, и поддержку зон авторитета. Unbound ориентирован на конфиденциальность и безопасность DNS, но без ущерба для скорости и производительности.

Unbound в основном разрабатывается NLnet Labs и распространяется под лицензией BSD, и он поддерживает современные функции на открытых стандартах DNS-сервера. Unbound был тщательно проверен, и его можно запускать на Linux, BSD и macOS. Unbound доступен для большинства из этих ОС и может быть установлен через менеджер пакетов системы.

В этом руководстве я настрою локальный DNS-сервер с Unbound на сервере Rocky Linux 9. Вы настроите Unbound как авторитетный, проверяющий и рекурсивный кэшируемый DNS. Кроме того, вы также настроите Unbound как DNS-резолвер для вашей локальной сети с включенным DNS-over-TLS (DoT).

В конце этого руководства вы также настроите журналы Unbound через Rsyslog и Logrotate, а также настроите клиентскую машину Linux для использования Unbound в качестве DNS-резолвера и проверите всю вашу установку оттуда.

Предварительные требования

Перед тем как начать это руководство, убедитесь, что у вас есть следующие требования:

• Сервер с установленным Rocky Linux 9 — в этом примере используется Rocky Linux с именем хоста ‘unbound-rocky’ и IP-адресом ‘192.168.5.25 ‘.
• Непользователь с правами администратора root/sudo.
• SELinux работает в разрешающем режиме.

И это все. Если все требования выполнены, продолжайте и начните установку Unbound на вашем сервере.

Установка Unbound

Unbound — это программное обеспечение DNS-сервера, которое поддерживает большинство операционных систем, включая Linux, BSD и macOS. На Rocky Linux пакет Unbound доступен по умолчанию в официальном репозитории Rocky Linux AppStream.

На этом первом этапе вы установите пакет Unbound на вашу систему Rocky Linux.

Теперь выполните следующую команду dnf, чтобы проверить, доступен ли пакет ‘unbound‘ в репозитории AppStream. На момент написания этой статьи репозиторий AppStream Rocky Linux предоставляет Unbound 1.16.

sudo dnf info unbound

Вывод:

Установите Unbound с помощью следующей команды dnf. Когда будет предложено, введите y для подтверждения и нажмите ENTER для продолжения.

sudo dnf install unbound

Вывод:

После установки unbound запустите и включите службу ‘unbound’ с помощью следующей команды systemctl. Это запустит Unbound на вашем сервере Rocky Linux и позволит ему автоматически запускаться при загрузке системы.

sudo systemctl start unbound  
sudo systemctl enable unbound

Проверьте службу Unbound с помощью следующей команды systemctl. Вывод ‘active (running)‘ подтверждает, что служба Unbound работает. А вывод ‘loaded ….; enabled;…‘ подтверждает, что служба Unbound включена.

sudo systemctl status unbound

Вывод:

Ваш Unbound теперь установлен и работает с файлом конфигурации по умолчанию ‘/etc/unbound/unbound.conf‘. Далее вы измените файл конфигурации Unbound ‘/etc/unbound/unbound.conf‘ и настроите Unbound как авторитетный, проверяющий и рекурсивный кэшируемый DNS, а также включите Unbound как DNS-резолвер с включенным DoT.

Настройка Unbound

По умолчанию файл конфигурации Unbound находится по адресу ‘/etc/unbound/unbound.conf’. На этом этапе вы измените файл конфигурации ‘/etc/unbound/unbound.conf’, а затем настроите и оптимизируете установку Unbound.

Вы настроите Unbound для работы как авторитетный, проверяющий и рекурсивный кэшируемый DNS. Кроме того, вы также оптимизируете установку Unbound для производительности, конфиденциальности и безопасности. И, наконец, вы настроите Unbound как DNS-резолвер для локальных сетей.

Сначала выполните следующую команду wget, чтобы загрузить корневой файл DNS в ‘/etc/unbound/root.hints‘. Затем измените владельца файла ‘/etc/unbound/root.hints‘ на пользователя и группу ‘unbound‘.

wget https://www.internic.net/domain/named.root -O /etc/unbound/root.hints  
sudo chown unbound:unbound /etc/unbound/root.hints

Далее создайте резервную копию файла конфигурации Unbound по умолчанию в ‘/etc/unbound/unbound.conf.orig‘ и измените оригинальный файл ‘/etc/unbound/unbound.conf‘ с помощью следующей команды редактора nano.

sudo cp -v /etc/unbound/unbound{.conf,.conf.orig}  
sudo nano /etc/unbound/unbound.conf

Теперь давайте начнем настраивать Unbound.

Основная конфигурация Unbound

Сначала вы настроите, на каком IP-адресе и порту должна работать служба Unbound. Затем вы также настроите пакет сертификатов, который будет использоваться для аутентификации соединений, установленных вверх по потоку, и добавите корневые DNS-серверы через параметр ‘root-hints’.

Добавьте следующие строки в раздел ‘server:‘. С этими настройками вы будете запускать Unbound на локальном IP-адресе ‘192.168.5.25’ с портом UDP по умолчанию ‘53‘.

server:  
    ...  
    ...  
    # interface-automatic: no  
    do-ip6: no  
    interface: 192.168.5.25  
    port: 53  
    prefetch: yes  
  
    tls-cert-bundle: /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem  
    root-hints: /etc/unbound/root.hints

Подробные параметры:

• do-ip6: используйте ‘yes‘, чтобы запустить Unbound с IPv6, или установите ‘no‘, чтобы отключить IPv6.
• interface: сетевой интерфейс или IP-адрес, на котором будет работать unbound. Вы можете использовать IP-адрес или имя интерфейса, например, ‘eth0’. Также вы можете запустить на определенном порту, добавив формат, например, ‘IP-ADDRESS@PORT’.
• port: укажите порт, на котором будет работать Unbound, и соединения клиентов будут обрабатываться этим портом. Порт DNS по умолчанию — 53.
• prefetch: установите на ‘yes‘, чтобы включить предварительное извлечение почти истекших записей кэша сообщений.
• tls-cert-bundle: сертификаты, используемые для аутентификации соединений, установленных вверх по потоку. В дистрибутиве на базе RHEL файл сертификата находится по адресу ‘/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem’.
• root-hints: файл, содержащий данные о корневых DNS-серверах. Вы загрузили этот файл в ‘/etc/unbound/root.hints’.

Включение кэша DNS

Теперь добавьте следующие строки, чтобы включить рекурсивный кэшируемый DNS через Unbound. Это будет кэшировать DNS-запросы, сделанные клиентами на сервере Unbound, в течение определенного времени.

    cache-max-ttl: 14400  
    cache-min-ttl: 1200

Подробные параметры:

• cache-max-ttl: TTL или время жизни для RRSets и сообщений в кэше DNS. Формат — в секундах.
• cache-min-ttl: минимальное время жизни для кэша. По умолчанию 0, но вы можете изменить это на свой вкус, например, на ‘1200‘ секунд. Не устанавливайте это значение более чем на 1 час, иначе вы столкнетесь с проблемами из-за устаревших данных.

Укрепление Unbound

Некоторые параметры конфиденциальности и безопасности для Unbound включены по умолчанию в дистрибутиве на базе RHEL. Но вы также можете добавить больше параметров, таких как эти строки.

    hide-identity: yes  
    hide-version: yes  
    use-caps-for-id: yes

Подробные параметры:

• hide-identity: установите на yes, чтобы отключить ответы от запросов bind о id.server или hostname.bind.
• hide-version: установите на yes, чтобы отключить запросы version.server и version.bind.
• use-caps-for-id: установите на yes, чтобы включить использование ‘0x20-encoded‘ в запросе, чтобы предотвратить попытки подделки.

Определение частного адреса и списков управления доступом

Далее вам нужно определить private-address и ACL (списки управления доступом) для ваших локальных сетей. Обязательно измените локальную подсеть в следующих строках на вашу текущую сетевую среду.

    private-address: 192.168.0.0/16  
    private-address: 169.254.0.0/16  
    private-address: 172.16.0.0/12  
    private-address: 10.0.0.0/8  
    private-address: fd00::/8  
    private-address: fe80::/10  
  
    #контроль, какие клиенты могут делать (рекурсивные) запросы  
    access-control: 127.0.0.1/32 allow_snoop  
    access-control: ::1 allow_snoop  
    access-control: 127.0.0.0/8 allow  
    access-control: 192.168.5.0/24 allow

Подробные параметры:

• private-address: определите частные сетевые подсети в вашей инфраструктуре. Только ‘private-domain‘ и ‘local-data‘ имена могут иметь эти частные адреса.
• access-control: определите контроль доступа, в котором клиенты могут делать (рекурсивные) запросы к серверу Unbound. Параметр ‘allow‘ позволит рекурсивные запросы, в то время как ‘allow_snoop‘ позволит как рекурсивные, так и нерекурсивные.

Настройка локального доменного имени и поддоменов

После настройки private-address и списков управления доступом вы теперь создадите локальные доменные имена через параметр Unbound ‘local-zone’. Это очень полезно, особенно если у вас есть несколько самостоятелно размещенных приложений в вашей локальной сети. Вы можете легко определить свое доменное имя или поддомены и указать их на конкретный целевой IP-адрес.

В этом примере вы настроите ‘ статический ‘ локальный домен ‘ garden.lan ‘ и создадите несколько поддоменов через параметр ‘ local-data ‘. Каждый поддомен будет указывать на конкретный IP-адрес, а также вы создадите PTR-записи через параметр ‘ local-data-ptr ‘.

    # локальная зона  
    local-zone: "garden.lan." static  
  
    local-data: "firewall.garden.lan.  IN A 10.0.0.1"  
    local-data: "vault.garden.lan.    IN A 10.0.0.2"  
    local-data: "media.garden.lan.   IN A 10.0.0.3"  
    local-data: "docs.garden.lan.       IN A 10.0.0.4"  
    local-data: "wiki.garden.lan.     IN A 10.0.0.5"  
  
    local-data-ptr: "10.0.0.1  firewall.garden.lan"  
    local-data-ptr: "10.0.0.2  vault.garden.lan"  
    local-data-ptr: "10.0.0.3  media.garden.lan"  
    local-data-ptr: "10.0.0.4  docs.garden.lan"  
    local-data-ptr: "10.0.0.5  wiki.garden.lan"

Подробные параметры:

• local-zone: определите локальный домен здесь.
• local-data: определите A-запись для поддоменов и какой локальный IP-адрес будет разрешен.
• local-data-ptr: определите ptr-запись для ваших поддоменов.

Оптимизация и настройки Unbound

Далее добавьте следующие строки, чтобы оптимизировать вашу установку Unbound. Вы можете настроить и изменить параметры ниже в зависимости от вашей текущей среды.

    msg-cache-slabs: 8  
    rrset-cache-slabs: 8  
    infra-cache-slabs: 8  
    key-cache-slabs: 8  
    rrset-cache-size: 256m  
    msg-cache-size: 128m  
    so-rcvbuf: 8m

Подробные параметры:

• msg-cache-slabs: количество слоев, используемых для кэша сообщений. Установите его на 8, чтобы оптимизировать Unbound для использования большего объема памяти для кэширования.
• rrset-cache-slabs: количество слоев, используемых для кэша RRset. Установите его на 8, чтобы оптимизировать Unbound для использования большего объема памяти для кэша RRSet.
• infra-cache-slabs: количество слоев, используемых для инфраструктурного кэша. Установите его на 8, чтобы оптимизировать Unbound для использования большего объема памяти для инфраструктурного кэша.
• key-cache-slabs: количество слоев, используемых для кэша ключей. Установите его на 8, чтобы оптимизировать Unbound для использования большего объема памяти для кэша ключей.
• rrset-cache-size: укажите объем памяти для кэша RRSet. В этом примере используется 256MB, по умолчанию только 4MB.
• msg-cache-size: укажите объем памяти для кэша сообщений. В этом примере используется 128MB, по умолчанию только 4MB.
• so-rcvbuf: настройте размер буфера для порта DNS 53/udp на 8MB.

Настройка Unbound как DNS-резолвера с DNS-over-TLS (DoT)

Наконец, добавьте новый раздел ‘forward-zone‘, чтобы настроить Unbound как DNS-резолвер для ваших локальных сетей. В этом примере используются DNS-серверы Quad9 с включенным DoT (DNS-over-TLS) в качестве DNS-резолвера вверх по потоку.

forward-zone:  
    name: "."  
    forward-ssl-upstream: yes  
    ## Также добавьте IBM IPv6 Quad9 через TLS  
    forward-addr: 9.9.9.9@853#dns.quad9.net  
    forward-addr: 149.112.112.112@853#dns.quad9.net

Подробные параметры:

• forward-zone: определите прямую зону для Unbound.
• name: установите на “.”, чтобы перенаправить все DNS-запросы.
• forward-addr: используйте конкретный пересылатель для перенаправления всех DNS-запросов. В этом примере используется Quad9 DNS с включенным DNS-over-TLS (DoT).

Теперь сохраните и выйдите из файла ‘/etc/unbound/unbound.conf‘, когда все будет завершено.

Далее выполните следующую команду, чтобы проверить конфигурации Unbound и убедиться, что у вас правильная и корректная конфигурация. При успешном выполнении вы должны получить вывод ‘unbound-checkconf: no errors in /etc/unbound/unbound.conf‘.

unbound-checkconf

Теперь перезапустите службу Unbound с помощью команды systemctl ниже и примените изменения.

sudo systemctl restart unbound

С этим вы завершили конфигурацию Unbound, и он теперь работает на IP-адресе ‘192.168.5.25‘ с портом UDP по умолчанию ‘53‘.

На следующих этапах вы настроите firewalld для открытия порта DNS и настроите журналы Unbound через Rsyslog и Logrotate.

Настройка Firewalld

Итак, Unbound работает на порту UDP по умолчанию 53. Теперь вы должны открыть порт DNS 53/UDP на firewalld и разрешить клиентам доступ к вашему серверу DNS Unbound.

Выполните следующую команду firewall-cmd, чтобы добавить новую службу ‘dns‘. Затем перезагрузите firewalld, чтобы применить изменения. При успешном выполнении вы должны получить вывод, например, ‘success‘ в вашем терминале.

sudo firewall-cmd --add-service=dns --permanent  
sudo firewall-cmd --reload

Далее выполните следующую команду, чтобы проверить список включенных служб на firewalld. И вы должны увидеть, что служба ‘dns‘ добавлена в firewalld.

sudo firewall-cmd --list-all

Вывод:

Настройка журнала Unbound через Rsyslog и Logrotate

После настройки firewalld вы теперь настроите файл журнала для Unbound через rsyslog и logrotate. Служба rsyslog создаст конкретный файл журнала для Unbound, а logrotate будет вращать файл журнала Unbound через определенное время.

Создайте новый файл конфигурации ‘/etc/rsyslog.d/unbound.conf‘ с помощью следующей команды редактора nano.

sudo nano /etc/rsyslog.d/unbound.conf

Добавьте следующие строки в файл. С этим Rsyslog создаст новый файл журнала ‘/var/log/unbound.log’ для ‘$programname’ == ‘unbound‘.

# Журнал сообщений, сгенерированных приложением unbound   
if $programname == 'unbound' then /var/log/unbound.log  
# остановить дальнейшую обработку  
& stop

Сохраните и выйдите из файла ‘/etc/rsyslog.d/unbound.conf‘, когда закончите.

Далее создайте новый файл конфигурации Logrotate ‘/etc/logrotate.d/unbound‘ с помощью следующей команды редактора nano.

sudo nano /etc/logrotate.d/unbound

Добавьте следующие строки в файл. Это создаст вращение журнала для файла журнала Unbound ‘/var/log/unbound.log‘ на ежедневной основе.

/var/log/unbound.log {  
  daily  
  rotate 7  
  missingok  
  create 0640 root adm  
  postrotate  
    /usr/lib/rsyslog/rsyslog-rotate  
  endscript  
}

Сохраните файл и выйдите из редактора, когда закончите.

Наконец, выполните следующую команду systemctl, чтобы перезапустить службы Rsyslog и Logrotate и применить изменения к вашей системе.

sudo systemctl restart rsyslog  
sudo systemctl restart logrotate

С этим вы завершили установку Unbound. На следующем этапе вы узнаете, как настроить локальную клиентскую машину для использования Unbound в качестве DNS-резолвера, используя два метода, а затем вы проверите сервер DNS Unbound оттуда.

Настройка DNS-резолвера для клиента

Чтобы настроить DNS-резолвер на клиентских машинах, вы можете использовать разные методы. На этом этапе вы узнаете, как настроить DNS-резолверы через NetworkManager и через systemd-resolved в сочетании с NetworkManager.

Через NetworkManager

Если вы хотите настроить DNS-резолвер через NetworkManager напрямую, то вам нужно отредактировать конфигурации вашего сетевого интерфейса, которые хранятся в каталоге ‘/etc/NetworkManager/system-connections/‘.

В этом примере основное соединение для клиентской машины — ‘eth0‘, поэтому конфигурация в NetworkManager должна быть ‘/etc/NetworkManager/system-connections/eth0.nmconnection‘. У вас могут быть разные имена интерфейсов, такие как eth1 и многие другие.

Откройте файл конфигурации интерфейса NetworkManager ‘/etc/NetworkManager/system-connections/eth0.nmconnection‘ с помощью следующей команды редактора nano.

sudo nano /etc/NetworkManager/system-connections/eth0.nmconnection

Добавьте следующие строки в раздел ‘[ipv4]‘. Также убедитесь, что вы изменили IP-адрес в параметре ‘dns‘ на ваш сервер DNS Unbound.

[ipv4]  
...  
dns=192.168.5.25  
ignore-auto-dns=true

Сохраните и выйдите из файла, когда закончите.

Далее выполните следующую команду systemctl, чтобы перезапустить службу NetworkManager и применить изменения. Затем проверьте файл конфигурации DNS ‘/etc/resolv.conf‘ с помощью команды cat.

sudo systemctl restart NetworkManager  
cat /etc/resolv.conf

Вы должны получить вывод, что IP-адрес ‘192.168.5.25‘ настроен как DNS-резолвер по умолчанию для вашей клиентской машины.

Через systemd-resolved и NetworkManager

Другой способ настроить DNS-резолвер — это через systemd-resolved и NetworkManager. С этим вы можете легко изменить DNS-резолвер по всей системе и не зависеть от сетевых интерфейсов на вашей системе.

В дистрибутивах на базе RHEL systemd-resolved еще не установлен. Вы можете легко установить его с помощью команды dnf ниже. Когда будет предложено, введите y для подтверждения и нажмите ENTER для продолжения.

sudo dnf install systemd-resolved

Вывод:

После установки systemd-resolved откройте файл конфигурации ‘/etc/systemd/resolved.conf‘ с помощью следующей команды редактора nano.

sudo nano /etc/systemd/resolved.conf

В разделе ‘[Resolver]’ раскомментируйте параметр ‘DNS‘ и добавьте IP-адрес вашего сервера DNS Unbound в него.

[Resolver]  
DNS=192.168.5.25

Сохраните и выйдите из файла, когда закончите.

Далее выполните следующую команду systemctl, чтобы запустить и включить службу ‘systemd-resolved’.

sudo systemctl start systemd-resolved  
sudo systemctl enable systemd-resolved

Теперь проверьте службу ‘systemd-resolved‘, чтобы убедиться, что служба работает. Вы должны получить вывод, например, ‘active (running)‘, что подтверждает, что служба работает. А вывод ‘Loaded ../../systemd-resolved.service; enabled;..‘ подтверждает, что служба включена и будет автоматически запускаться при загрузке системы.

sudo systemctl status systemd-resolved

Вывод:

С работающим systemd-resolved вы далее измените DNS-бэкэнд для службы NetworkManager.

Откройте файл конфигурации NetworkManager ‘/etc/NetworkManager/NetworkManager.conf‘ с помощью следующей команды редактора nano.

sudo nano /etc/NetworkManager/NetworkManager.conf

В разделе ‘[main]‘ добавьте параметр ‘dns‘ со значением ‘systemd-resolved‘. Это переопределит DNS-сервер в вашем NetworkManager, чтобы использовать службу ‘systemd-resolved‘.

[main]  
dns=systemd-resolved

Сохраните и выйдите из файла, когда закончите.

Теперь выполните следующую команду systemctl, чтобы перезапустить службу NetworkManager и применить изменения. Новый DNS-резолвер для NetworkManager записан в файле ‘/run/NetworkManager/resolv.conf‘.

sudo systemctl restart NetworkManager

Выполните следующую команду, чтобы удалить файл по умолчанию ‘/etc/resolve.conf’. Затем создайте новый символический файл ‘/run/NetworkManager/resolv.conf‘ в ‘/etc/resolv.conf‘.

rm -f /etc/resolv.conf  
ln -s /run/NetworkManager/resolv.conf /etc/resolv.conf

С этим ваша клиентская машина теперь использует systemd-resolved в качестве DNS-резолвера. За ‘systemd-resolved’ вы используете сервер DNS Unbound.

Ниже приведены детали файла ‘‘/etc/resolv.conf‘ после использования systemd-resolved и NetworkManager.

cat /etc/resolv.conf

Вывод:

Проверка сервера DNS Unbound

Выполните команду dig ниже, чтобы убедиться, что Unbound DNS работает как DNS-резолвер. Параметр ‘@192.168.5.25‘ гарантирует, что вы используете сервер DNS Unbound, который работает на IP-адресе ‘192.168.5.25‘.

dig @192.168.5.25

При успешном выполнении вы получите ответ от корневого DNS-сервера, как показано ниже. Также вы заметите флаг ‘ad‘ (авторитетные данные) в заголовке вывода, что означает, что DNSSEC включен.

Далее выполните следующую команду, чтобы убедиться, что клиенты могут получать доступ к доменным именам в интернете.

dig google.com  
dig fb.com

При успешном выполнении вы должны получить вывод с деталями DNS-записи для домена ‘google.com‘ и ‘fb.com‘. Вы можете увидеть, что DNS-резолвер, который отвечает на запрос, — это ‘127.0.0.53#53‘, который является systemd-resolved, использующим Unbound в качестве резолвера по умолчанию. Также вы можете увидеть ‘Query time‘ для каждого запроса, время запроса к домену ‘google.com‘ составляет ‘74ms‘, а к ‘fb.com‘ — ‘154ms‘.

Вывод для google.com:

Вывод для fb.com:

Если вы повторно выполните команду dig выше, ‘Query time‘ должен уменьшиться. И это подтверждает, что ваши запросы были закэшированы, и кэш DNS работает.

dig google.com  
dig fb.com

Вывод:

Далее проверьте локальное доменное имя или поддомен с помощью команды dig ниже. Если все прошло успешно, каждый поддомен будет указывать на правильный IP-адрес, как настроено в файле конфигурации Unbound ‘/etc/unbound/unbound.conf‘.

dig firewall.garden.lan +short  
dig vault.garden.lan +short  
dig media.garden.lan +short

Вывод:

Теперь выполните следующую команду dig, чтобы убедиться, что PTR-записи указывают на правильное доменное имя.

dig -x 10.0.0.1 +short  
dig -x 10.0.0.2 +short  
dig -x 10.0.0.3 +short

Вывод:

Наконец, вы также можете проверить DoT (DNS через TLS) с помощью tcpdump. Установите пакет ‘tcpdump‘ на ваш сервер Unbound с помощью команды dnf ниже.

sudo dnf install tcpdump

Введите y, когда будет предложено, и нажмите ENTER для продолжения.

Теперь выполните следующую команду tcpdump, чтобы отслеживать трафик на интерфейсе ‘eth0‘ с портом DoT 853. В этом примере сервер DNS Unbound работает на IP-адресе ‘192.168.5.25‘ с интерфейсом ‘eth0‘.

tcpdump -vv -x -X -s 1500 -i eth0 'port 853'

Перейдите на клиентскую машину и выполните следующую команду, чтобы получить доступ к внешним/интернет-доменам с помощью команды dig ниже.

dig twitter.com

Вывод:

После этого вернитесь на сервер Unbound, и вы должны получить вывод, похожий на этот в выводе tcpdump.

С этим вы теперь установили и настроили локальный DNS-сервер через Unbound. Также вы настроили DNS-резолвер на клиентах RHEL через systemd-resolved и NetworkManager.

Заключение

В этом руководстве вы установили локальный DNS-сервер Unbound на сервере Rocky Linux 9. Вы включили кэш DNS, DNSSEC (включен по умолчанию), настроили private-address и ACL, добавили локальный домен через local-zone, а затем настроили Unbound как DNS-резолвер с DoT (DNS-over-TLS).

Кроме того, вы настроили базовую конфиденциальность и безопасность DNS, оптимизировали Unbound и настроили журналы Unbound через rsyslog и logrotate.

В конце этого руководства вы также узнали, как настроить DNS-резолвер на дистрибутивах на базе RHEL через NetworkManager и systemd-resolved. А также узнали основные команды использования команды dig для проверки сервера DNS.