第4篇:firewalld+bind9+dnscrypt-proxy

在大部分企业应用的场合下,防火墙、路由器和DNS服务都集成在同一台设备，本篇bind9最大的用处名称缓存器，我将向您展示如何设置DnsCrypt与bind9一起使用。

ss8.png

bind9+dnscrypt组合的原理

1. bind9将来自客户端的dns请求转发到dnscrypt-proxy
2. dnscrypt-proxy将该dns请求负责加密转发到外部可信的dns服务器
3. dnscrypt-proxy将从外部可信的dns服务器答应的“未污染”的DNS数据返回给bind9。
4. bind9将该未污染的dns记录缓存到服务器的内存中。
5. 客户端再查询相同域名，bind9从第4步的缓存中的dns记录反馈给客户端。

这样做的优点大大加快DNS查询的速度，而且bind9缓存设置非常强大，我们可以自定义缓存DNS记录时效性。

firewalld的设置状态

本篇的拓扑客户端位于internal区域，首先看看防火墙的internal区域配置，这个区域对应的是可信任网络，因此采取的target是默认，基本和ACCEPT等同。

防火墙的公网接口所在的external配置

我们external区的enp3s0是一个暴露在互联网的网络接口,我们执行下面的指令目的在于对来自外部的任何连接请求，我们采取的target动作是丢弃数据包，避免恶意攻击者使用类似nmap的网络扫描工具探测到防火墙的存在。

firewall-cmd --zone=external --change-interface=enp3s0
firewall-cmd --zone=external --set-target=DROP --permanent

这样能够最大限度地保护了防火墙本身，没有任何显式放行或转发规则,target的DROP设定对任何从公网入站的数据包(即匹配0.0.0.0/0)采取丢弃的动作，我们可以使用nmap扫描工具对我们的防火墙做一个简单的安全风险测试

OK,我们从nmap返回信息，并没有在防火墙身上得到任何暴露的端口信息

本篇internal区域配置如下
因为,防火墙的DNS缓存服务主要服务internal区域(192.168.50.0/24)的任意一台计算机，因此我们我们只需开放特定的服务dns和mdns

转发规则问题排查

我们的external区域和internal区域都启用了masquerade的NAT网络地址转换，在写本文部署到生产环境前在虚拟机搭建的实验，我并没有为internal区域激活masquerade，一切端口转发的规则都正常，但当你部署到生产环境时,发现配置到external区的端口转发规则不起作用的话，可以考虑同时激活external和internal区域的masquerade。

dnscrypt-proxy 2设置

• 可执行文件路径:/usr/local/dnscrypt-proxy/dnscrypt-proxy/dnscrypt-proxy
• 配置文件路径:/usr/local/dnscrypt-proxy/dnscrypt-proxy.toml

在CentOS 8中,dnscrypt-proxy执行时的用户我们设定为root,试了很多方法,用其他wheel用户组的用户创建进程时基本上会出错,基本上都是因为权限的问题，网上大部份人的做法是禁用SELinux,但在生产环境中风险较高,所以这里暂时在配置文件中将user_name设定为root

• 服务脚本: /etc/systemd/system/dnscrypt-proxy.service

[Unit]
Description=dnscrypt-proxy.service
After=network.target

[Service]
Type=simple
User=root
ExecStart=/usr/local/dnscrypt-proxy/dnscrypt-proxy
Restart=on-abort

[Install]
WantedBy=multi-user.target

创建后台进程

systemctl daemon-reload
systemctl enable dnscrypt-proxy
systemctl start dnscrypt-proxy

验证bind9的运行状态

安装dnscrypt-proxy

yum install bind bind-utils -y
systemctl enable named
systemctl start named

配置bind9服务器

options {
    listen-on port 53 { 127.0.0.1;127.0.2.1;192.168.50.0/24; };
    listen-on-v6 port 53 { ::1; };
    directory   "/var/named";
    dump-file   "/var/named/data/cache_dump.db";
    statistics-file "/var/named/data/named_stats.txt";
    memstatistics-file "/var/named/data/named_mem_stats.txt";
    secroots-file   "/var/named/data/named.secroots";
    recursing-file  "/var/named/data/named.recursing";
    max-cache-size 536870912;
    max-cache-ttl 172800;
    max-ncache-ttl 518400;
    allow-query     { 
        localhost;
        192.168.50.0/24
     };
    
    allow-query-cache{any;};
    forward first;
    forwarders {
        127.0.2.1 port 4040;
    };

    recursion yes;
    dnssec-enable yes;
    dnssec-validation yes;

    managed-keys-directory "/var/named/dynamic";

    pid-file "/run/named/named.pid";
    session-keyfile "/run/named/session.key";

    /* https://fedoraproject.org/wiki/Changes/CryptoPolicy */
    include "/etc/crypto-policies/back-ends/bind.config";
};
...

验证dnscrypt-proxy的运行状态

防火墙本体的DNS测试

名称解析的耗时0微秒，这个性能已经非常不错了

小结

bind9+dnscrypt的服务组合是一个高性能的域名解析服务，我们通过调整bind9的记录缓存的时间尽可能地长，这样可以减少bind9向dnscrypt-proxy的dns请求转发的次数，这是bind9+dnscrypt提供高性能域名解析服务的关键。