为了进行本地DNSSECvalidation,我使用Raspian Jessie设置了一个Raspberry Pi(具有静态IP),并且解除绑定,为我的局域网提供DNS服务器。
在我查阅了一些教程和howtos之后,我想出了这个似乎可行的configuration:
# Unbound configuration file for Debian. # # See the unbound.conf(5) man page. # # See /usr/share/doc/unbound/examples/unbound.conf for a commented # reference config file. # # The following line includes additional configuration files from the # /etc/unbound/unbound.conf.d directory. include: "/etc/unbound/unbound.conf.d/*.conf" server: verbosity: 1 interface: 0.0.0.0 interface: ::0 access-control: 192.168.0.0/24 allow hide-identity: yes hide-version: yes harden-glue: yes harden-dnssec-stripped: yes 我使用dig来针对DNSSECfunction运行一些testing,validation按预期工作。
由于我以前build立了一个DNSSECvalidation服务器,我想知道哪些上游服务器未绑定用来处理DNS请求。 正如你可以在我的configuration中看到的,我没有设置任何上游/委托服务器,它似乎仍然工作。
有没有绑定的硬编码根服务器查询到所请求的DNS数据或这是如何工作的?
我的DHCP服务器(也是我的路由器)设置为使用树莓派作为DNS服务器,并提供给它的客户端。
我还检查了/etc/resolv.conf但它只列出了由resolvconf生成的localhost (IPv4和IPv6)。
有趣的是, resolvconf似乎在/var/cache/unbound/resolvconf_resolvers.conf中创build了一个文件,在那里它写入了我正在寻找的转发区域,尽pipeforward-addr不应该工作,因为它是路由器的地址,将请求转发给Pi。 我检查了通过停止未绑定的服务,导致该地址不再返回任何结果,并将其重新打开,它再次返回结果。
这是该文件的内容:
# Generated by resolvconf forward-zone: name: "." forward-addr: 2001:beef:beef: ... :abcd # my router's IPv6 address
它使用根服务器,并从那里开始工作。