unbound配置cache服务器

安装unbound

以下是将DNS over TLS（DoT）配置到RHEL 8中的步骤：

# 安装unbound 
yum install unbound -y

# 备份配置
cp /etc/unbound/unbound.conf{,.bak}

# cd到unbound配置目录
cd /etc/unbound/

# 过滤所有的注释和空行
grep -Ev "#|^$" /etc/unbound/unbound.conf

配置unbound

下方链接是以配置好的精简优化配置

# 下载配置
## -P 指定保存目录
wget -P /etc/unbound/ https://raw.githubusercontent.com/omaidb/qiaofei_notes/main/config_bak/unbound/unbound.conf

监听哪个IP

如果要监听0.0.0.0，interface-automatic(自动选择网路接口)这个值要设置为yes

允许哪些客户端查询

unbound拒绝递归查询，除了localhost
allow是允许查询的网段
refuse是拒绝查询的网段
deny是不响应

配置转发

name: "." 表示匹配所有，都进行转发

# 将hk域转发到指定DNS解析
# 转发cn域名
forward-zone:
	name: "hk."
	forward-addr: 114.114.114.114
	forward-addr: 223.5.5.5

DNSSEC

DNSSEC（Domain Name System Security Extensions）是一种用于增强 DNS 安全性的扩展协议。它通过数字签名的方式对 DNS 数据进行验证，从而防止 DNS 缓存污染和 DNS 欺骗攻击等安全问题。

DNSSEC 通过向 DNS 记录中添加数字签名来实现验证。数字签名包含了 DNS 记录的完整性信息，如果 DNS 记录被篡改，数字签名就会失效，从而使得 DNS 查询结果无效。

开启domain-insecure

如果某网站没有使用DNSSEC，那么客户端将不能收到解析的IP地址,而造成无法访问。
那就需要domain-insecure为该域名创建安全例外规则

# 为baidu.com创建DNSSEC例外规则
domain-insecure: baidu.com

生成密钥

生成.key

# 生成.key
unbound-control-setup

检查配置

# 检查配置文件是否有误
unbound-checkconf

查看缓存

# 先使用客户端ping一下google
ping google.com

# 然后从缓存中过滤google
unbound-control dump_cache |grep google.com

启动Unbound服务：

# 开机自启
systemctl enable --now unbound

# 修改完配置后重新加载配置文件
systemctl reload unbound

请注意，一些防火墙或网络配置可能会阻止DoT解析器端口（通常为853）上的出站流量，因此您可能需要配置防火墙或网络设置以允许此流量。

结果验证

使用带有+dnssec和+short选项的dig命令验证Unbound解析，例如：

# +dnssec: 启用 DNSSEC 功能，表示查询结果需要进行数字签名验证
# +short: 显示查询结果中的简洁信息，只显示域名和 IP 地址
dig +dnssec +short google.com 

如果输出显示来自DoT解析器的响应，则Unbound成功地使用了DoT解析器。

方法1：

使用dig验证DNSSEC

# 检查本地DNS是否支持DNSSEC
dig SOA com. @127.0.0.1

如果flags带有ad，就是支持DNSSEC

方法2:

在线访问 http://dnssec-or-not.com/ ，用来在线检查是否支持DNSSEC