Rekursiivse resolveri Unbound kasutamine operatsioonisüsteemiga Debian
Sissejuhatus
Üks võimalus liigitada nimeservereid või nimeserverite tarkvara on selle järgi, millised päringuid teenindatakse
- pädev ehk autoriteetne (ingl. k. authoritative) - vastab päringutele ainult nimeserveri tsoonifailis kirjeldatud andmete alusel; autoriteetsed nimeserverid teenindavad reeglina resolverite päringuid
- rekursiivne (ingl. k. recursive) - rekursiivne nimeserver ei sisalda nö oma tsoonifaili, st ta ei ole mingite vastuste osas autoriteetne; rekursiivne nimeserver teenindab mingi piiratud hulga klientide päringuid lahendades neid autoriteetsete nimeserverite abil ja seetõttu nimetatakse rekursiivset nimeserverit tihti resolveriks (ingl. k. to resolve - lahendama)
Unbound http://www.unbound.net/ resolveril on selliseid omadused
- rekursiivne - lahendab nö lõppkasutaja esitatud päringuid, nt sobib seadistada töökohaarvuti nimeserveriks
- vaheladustav (ingl. k. caching) - Unbound peab kord lahendatud vastust mõnda aega meeles, mis tähendab, et järgmisele samale päringule vastab ta kliendile kohe ja ei pea omakorda pöörduma vastuse saamiseks autoriteetsete nimeserverite poole
- valideeriv - toetab DNSSEC kasutamist
- IPv6 tugi
Rekursiivse resolveri vastutus on parimal võimalikul moel anda kliendi esitatud päringule vastus, seejuures
- kasutada vastuse koostamisel mitmete pädevate nimeserverite abi
- anda õige vastus - nt mitte ennast lasta eksitada cache poisoning tehnikatest, võimalusel kasutada DNSSEC vahendeid
- vastata kiiresti
Unbound paigaldamine
2011 aastal leidub paljude operatsioonisüsteemide paketihalduses Unbound tarkvara.
Debian
Debian Squeeze sisaldab versiooni 1.4.6 ja paigaldamiseks sobib öelda
# apt-get install unbound
OpenBSD
OpenBSD 5.4 sisaldab binaarse paketina versiooni 1.4.9 ja paigaldamiseks sobib öelda
# pkg_add unbound
unbound-1.4.20:libldns-1.6.16p0: ok
useradd: Warning: home directory `/var/unbound' doesn't exist, and -m was not specified
unbound-1.4.20: ok
The following new rcscripts were installed: /etc/rc.d/unbound
See rc.d(8) for details.
--- +unbound-1.4.20 -------------------
You should add:
syslogd_flags="${syslogd_flags} -a /var/unbound/dev/log"
to /etc/rc.conf.local to create a syslog socket in the unbound chroot.
Selleks, et /etc/rc.d/unbound skript töötaks, peab olema seadistatud unbound-control (127.0.0.1 pealt).
Unbound seadistamine
Resolveri seadistusfailis tuleb näidata muu hulgas
- juurnimeserverite aadressid
- millisel aadressil resolver päringuid teenindab
- millised kliendid saavad resolverit kasutada, tavaliselt kliendi src ip aadressi täpsusega
Unbound tööd juhib seadistusfail unbound.conf
- /etc/unbound/unbound.conf - Debian
- /var/unbound/etc/unbound.conf - OpenBSD
Lihtsamal juhul võib kasutada nt sellise sisuga seadistusfaili
server:
interface: 192.168.10.190
outgoing-interface: 192.168.10.190
access-control: 192.168.1.0/24 allow
access-control: 192.168.10.0/24 allow_snoop
root-hints: "/var/unbound/etc/named.cache"
kus
- interface - millisel aadressil arvuti Unbound resolveri kliente teenindab
- outgoing-interface - milliselt aadressilt resolveri päringud autoriteetsetele nimeserveritele väljuvad
- access-control - millistelt ip aadressidelt saab Unbound resolverit kasutada; allow lubab esitada ainult rekursiivseid päringuid, nt +norec annab vaikimisi refused vastuse
$ dig +norec @nimeserver domeeni.nimi ... ;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 52133
allow_snoop lubab mõlemaid (viimane on vajalik, et unbound kasutaja saaks öelda
$ dig +trace @nimeserver domeeni.nimi
- root-hints - resolver peab alati teadma interneti juurnimeserverite aadresse
Juurnimeserverite aadresse saab küsida mõnes juba seadistatud resolveriga arvutis
$ dig . ns
või kopeerida aadressilt Linuxis
$ wget ftp://FTP.INTERNIC.NET/domain/named.cache
OpenBSD keskkonnas
$ ftp ftp://FTP.INTERNIC.NET/domain/named.cache
Unbound käivitamine
Unbound resolver teenindab päringuid portidel 53/udp ja 53/tcp.
Debian
Käivitamiseks tuleb öelda
# /etc/init.d/unbound start | stop
OpenBSD
Selleks, et Unbound töötaks OpenBSD all chroot keskkonnas kataloogis /var/unbound kasutajana _unbound tuleb kasutada seadistusfailis rida
chroot: "/var/unbound"
Et chroot keskkonnas töötav Unbound saaks logida syslog'i tuleb syslog käivitamisel lisaks kasutada '-a /var/unbound/dev/log'
# syslogd -a /var/www/dev/log -a /var/empty/dev/log -a /var/unbound/dev/log
/etc/rc.conf.local failis sobib kasutada rida
syslogd_flags="${syslogd_flags} -a /var/unbound/dev/log"
2012 kevadel ütleb OpenBSD v. 5.1 paketihalduse unbound chroot kasutamisel kävitamisel nii
# unbound -dv [1335943357] unbound[20534:0] notice: Start of unbound 1.4.15. [1335943357] unbound[20534:0] warning: increased limit(open files) from 128 to 4140 [1335943357] unbound[20534:0] warning: unable to setusercontext _unbound: Bad file descriptor
Limiitide tuleb töötada sarnaselt nagu on kirjeldatud aadressil http://www.auul.pri.ee/wiki/Operatsioonis%C3%BCsteemi_OpenBSD_kasutamine#Login_class_kasutamine.
Tavalisel viisil sobib kasutada käivitusskripti
# /etc/rc.d/unbound start | stop
Vastasel korral on logis midagi sellist
Mar 13 16:03:01 unbound[28759:0] error: can't create socket: Too many open files
Unbound kasutamine
Unbound resolveri kasutajateks on tavaliselt arvutid, mis vajavad nimelahendust, nt kohtvõrgu arvutid, eposti serverid jt kusjuures Unbound protsess töötab selleks ettenähtud arvutis või võrgusõlmeks olevas seadmes
internet
...
|
_|_
| | OpenBSD võrgusõlm
|___| Unbound protsess
|
--|---|----------|-----------|--
| | |
dns kliendid (töökohaarvuti, serverid)
Linux keskkonnas sobib näidata nimeserveri aadress staatiliselt arvuti /etc/resolv.conf failis nt reaga
nameserver 192.168.10.190
Unbound resolveri tööd saab kontrollida nt öeldes mõnes arvutis, kus peab kõnealust resolverit saama kasutada
$ dig @192.168.10.190 kuutorvaja.eenet.ee a
ja vastus peaks sisaldama sarnaseid ridu rida
... ;; QUESTION SECTION: ;kuutorvaja.eenet.ee. IN A ;; ANSWER SECTION: kuutorvaja.eenet.ee. 83840 IN A 193.40.0.7 ..
Nimepäringu vastuse valideerimine
Nimepäringute vastuste valideerimiseks kasutatakse üldiselt DNSSEC tehnikat. 2011 aastal on selleks mitmeid võimalusi, kaks populaarsemat on
- signeeritud tsoonifailidega juurnimeserverite kasutamine, kõige loomulikum viis
- DLV (DNSSEC Look-aside Validation) - üleminekuaja häkk
Kui nimeteenust kasutatakse sarnaselt ülaltoodud skeemile, siis peab arvestama, et DNSSEC kontroll toimub Unbound protsessi juures, sealt edasi kliendini liigub vastus tavalise avateksina üle kohtvõrgu ja klient otsustab vastuse turvalisuse üle ad biti järgi vastuses. Seetõttu on reeglina soovitav, et Unbound töötaks nimeteenust kasutatavatele arvutitele võimalikult lähedal.
DNSSEC juurutamise kronoloogia
- 15. juuli 2010 - juurnimeserverid kasutavad signeeritud tsoone http://www.root-dnssec.org/
- ? - .org tsoon on signeeritud
- 31. märts 2011 - .com tsoon on signeeritud http://www.theregister.co.uk/2011/04/01/dnssec_com_goes_live/
Kasulikud lisamaterjalid
- http://www.theregister.co.uk/2011/04/01/dnssec_com_goes_live/
- http://blogs.pcmag.com/securitywatch/2011/03/dnssec_in_com_domain_is_a_good.php
Signeeritud tsoonifailiga juurnimeserverite kasutamine
Unbound seadistamiseks tuleb kasutada seadistusfailis rida
auto-trust-anchor-file: "root.key"
kusjuures fail peab olema unbound protsessile kirjutatav ning esialgselt sisaldama rida (as per http://unbound.net/documentation/howto_anchor.html)
# cat /var/unbound/etc/root.key . IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5
# chown _unbound /var/unbound/etc # chown _unbound:_unbound /var/unbound/etc/root.key
Peale unbound protsessi käivitamist selle faili sisu muutub automaatselt.
Kontrollimiseks sobib öelda
$ dig . ns +dnssec +multiline
; <<>> DiG 9.7.2-P3 <<>> . ns +dnssec +multiline
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4737
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 14, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;. IN NS
;; ANSWER SECTION:
. 518267 IN NS m.root-servers.net.
. 518267 IN NS g.root-servers.net.
. 518267 IN NS b.root-servers.net.
. 518267 IN NS h.root-servers.net.
. 518267 IN NS a.root-servers.net.
. 518267 IN NS e.root-servers.net.
. 518267 IN NS k.root-servers.net.
. 518267 IN NS f.root-servers.net.
. 518267 IN NS c.root-servers.net.
. 518267 IN NS j.root-servers.net.
. 518267 IN NS i.root-servers.net.
. 518267 IN NS l.root-servers.net.
. 518267 IN NS d.root-servers.net.
. 518267 IN RRSIG NS 8 0 518400 20110409000000 (
20110401230000 34525 .
De4SFgTDwpgbz1JjTlaPzu7ZNRURLSnoYmQQQIZq7Gny
RghOrsvS1soH5F43Gxr5BIi+422EBLJIrEHFnbvLy22S
LqKtSw67eDdsBZyjE5fTtDHyYhnoR8YQWswgGVMRk4Ek
iDDMIOk5pF+CvbML6TlvTWrnPCwNWXnbLFnT9SY= )
;; Query time: 0 msec
;; SERVER: 10.192.0.53#53(10.192.0.53)
;; WHEN: Sat Apr 2 18:44:16 2011
;; MSG SIZE rcvd: 397
kus tuleb tähele panna
- vastus sisaldab RRSIG kirjet
- flags: qr rd ra ad - ad tähistab, et tegu on authoritative data sisaldusega
DLV
DLV seadistamiseks tuleb
- kopeerida trust anchor fail kataloogi /var/unbound/etc
# cd /var/unbound/etc # ftp http://ftp.isc.org/www/dlv/dlv.isc.org.key
- Unbound seadistusfailis kasutada rida
dlv-anchor-file: "dlv.isc.org.key
Valideeritud nimepäringu vastus näeb välja nt selline
$ dig www.kaminskybug.se a +dnssec +multiline
; <<>> DiG 9.5.1-P3 <<>> www.kaminskybug.se a +dnssec +multiline
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56069
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 4, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.kaminskybug.se. IN A
;; ANSWER SECTION:
www.kaminskybug.se. 3590 IN CNAME fou.iis.se.
www.kaminskybug.se. 3590 IN RRSIG CNAME 5 3 3600 20100205210001 (
20100126210001 13358 kaminskybug.se.
goEav1vWK49WEvGY/G1EBKOgekQk11JvjsQxE7chH6Kg
OwZNpOXwomE1z9zvLcwkD60CQAZWC9psA1z01iIwtOrt
Yq6L+2A0PLVAAuRYeY3CQnbHoHRYClCUz0dIkxhtz9f/
Um1AuC3FtqV6t9q8lLb4ooav0Ex64KuwoPPxqqs= )
fou.iis.se. 3590 IN A 212.247.204.242
fou.iis.se. 3590 IN RRSIG A 5 3 3600 20100209131501 (
20100130131501 56315 iis.se.
BOPpSETDBKu6CjOcz2ULnOnfRVoXfOXj9OjW4zwjPuWl
7vJ8630yXsuSEe89RuH/ZsuOGbeJnumQ/XmD6ftWL9yM
MPUF1ZYxCtExaBcIxhxDIFJv4E4RZAOkbb9ZdYKTglIL
zDleOOms0iVgCAnnWJSnmDpzhfvr8xoTGlh7myE= )
;; AUTHORITY SECTION:
iis.se. 3590 IN NS ns.nic.se.
iis.se. 3590 IN NS ns3.nic.se.
iis.se. 3590 IN NS ns2.nic.se.
iis.se. 3590 IN RRSIG NS 5 2 3600 20100209131501 (
20100130131501 56315 iis.se.
B3SheLIv8ouVPpFGjvM8q5fl9ZMnnPWR8x9QDD0uSxoH
iV2fYHjiKC5a2+8Znsi4zSdO2AmH+reUCP74qvYpkl1K
+NbEzndzzrJQ0XlT1icy3MC6vdvgdE7Opqjab/7iIiYV
X9UjZpHKR284EljSrKJ0z53/T+12P3K0VU/dRFE= )
;; Query time: 1 msec
;; SERVER: 10.53.67.69#53(10.53.67.69)
;; WHEN: Sun Jan 31 00:25:39 2010
;; MSG SIZE rcvd: 648
kus ad lipp annab tunnistust, et vastus on valideeritud
flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 4, ADDITIONAL: 1
Firefox DNSSEC lisa kasutamine
Firefox DNSSEC lisa https://addons.mozilla.org/en-us/firefox/addon/dnssec-validator/ abil saab brauseri kasutamise ajal tagasisidet kuidas käesolev nimi on lahendatud, nt
Seejuures tuleb arvestada, et DNSSEC iseenest tähendab, et nimi lahendes turvaliselt, järgneva andmevahetuse turvalisus on eraldi küsimus ja nt https:// on üks viis selle saavutamiseks.
domain-insecure tsoonid
Kui kasutatakse signeeritud tsoonifailiga juurnimeservereid ning mõnele lokaalsele mitte-dnssec nimeserverile viitavaid stub-zone sissekandeid, siis võib olla asjakohane kasutada lisaks ridu
domain-insecure: "auul" domain-insecure: "10.168.192.in-addr.arpa" domain-insecure: "1.168.192.in-addr.arpa" ...
Lokaalsed nimekirjeldused
Lisaks sellele, et Unboundi kasutab nimede lahendamisel võrgus töötavaid autoriteetseid nimeservereid, saab kirjeldada seadistusfailis päri- ja pöördteisendusi
local-zone: "loomaaed.tartu.ee" static local-data: "loomaaed.tartu.ee A 192.168.10.100" .. local-data-ptr: "192.168.10.100 loomaaed.tartu.ee"
kus
- local-zone - lokaalselt unboundis kirjeldatud tsooni nimi
- static - sellel positsioonil st type parameeter määrab põhiliselt, kuidas mitte kirjeldatud nime küsimisele vastatakse
- local-data - päriteisendus
- local-data-prt - pöördteisendus
type väärtused
- static - local-data abil mitte kirjeldatud nime küsimisele vastatakse NXDOMAIN
- nodefault - AS112 tsoonide puhul vastab Unbound vaikimisi NXDOMAIN vastusega, nodefault puhul püütakse vastavaid nimesid lahendada
- transparent - local-data abil mitte kirjeldatud nimi püütakse lahenada internetist, stub-zone abil vms viisil
- redirect - kõik alamdomeenid vastatakse local-data abil näidatud väärtusega
Stub tsoon
Stub tsooni abil saab öelda, millist pädevat nimeserverit kasutada mõne domeeni nimelahenduseks. Praktiliselt võiks seda vaja minna kui asutuses on nt kasutusel mitte-avalik pädev nimeserver ja domeeni 'auul.' nimede lahendamiseks tuleks kasutada seda; vastasel korral püüaks Unbound neid nimesid lahendada pöördudes interneti juurnimeserverite poole.
Seadistusfailis kirjeldatakse stub tsoon selliselt
stub-zone:
name: "auul"
stub-addr: 192.168.1.251
kus
- name - domeeni nimi
- stub-addr - domeeni pädeva nimeserveri ip aadress
- stub sõna viitab asjaolule, et Unbound saab näidatud nimeserverilt otse vastuse kätte
Kui stub-zone abil on vaja teha mõne privaatsete aadressidega /24 subneti jaoks pöördteisendusi, siis tuleb tõenäoliselt kasutada koostöös selliseid direktiive
.. domain-insecure: "10.168.192.in-addr.arpa" domain-insecure: "1.168.192.in-addr.arpa" ... local-zone: "1.168.192.in-addr.arpa." transparent local-zone: "2.168.192.in-addr.arpa." transparent .... stub-zone: name: "1.168.192.in-addr.arpa." stub-addr: 192.168.1.247 stub-zone: name: "10.168.192.in-addr.arpa." stub-addr: 192.168.1.247
Oluline on panna tähele, et korrektsel juhul lahendatakse kirjeldatud tsoonid stub-addr nimeserveri poolt, muud privaatsed aadressid saavad vastuseks (vastuse genereerib Unbound ise)
$ dig -x 192.168.5.5 .. ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 1480 ;; QUESTION SECTION: ;5.5.168.192.in-addr.arpa. IN PTR ;; AUTHORITY SECTION: 168.192.in-addr.arpa. 10800 IN SOA localhost. nobody.invalid. 1 3600 1200 604800 10800
Kui vastus on, siis midagi on valesti, sest Unbound on seda käinud internetis lahendamas
.. ;; QUESTION SECTION: ;5.5.168.192.in-addr.arpa. IN PTR ;; AUTHORITY SECTION: 168.192.in-addr.arpa. 86400 IN SOA prisoner.iana.org. hostmaster.trex.fi. 1 604800 86400 2419200 86400
Forward tsoon
Forward tsooni abil saab öelda, millist rekursiivset nimeserverit kasutada mõne domeeni nimelahenduseks. Seadistusfailis kirjeldatakse forward tsoon selliselt
forward-zone: name: "loomla.tartu.ee" forward-addr: 10.172.20.10
kus
- name - domeeninimi
- forward-addr - rekursiivse nimeserveri aadress
Selleks, et suunata kõik päringud lahendamiseks edasi sobib kasutada
forward-zone: name: "." forward-addr: 10.172.20.10
AS112 tsoonid
AS112 tsoonide hulka kuuluvad sellised pöördteisenduse tsoonid, vaikimisi vastab AS112 tsooni tehtud päringutele Unbound NXDOMAIN (põhjusel, et sisemiste arvutite poolt tehtud pöördteisenduspäringud ei jõuaks avalikku võrku)
- 10.in-addr.arpa
- 16.172.in-addr.arpa
- ...
- 31.172.in-addr.arpa
- 168.192.in-addr.arpa
- 254.169.in-addr.arpa
- 2.0.192.in-addr.arpa
- 100.51.198.in-addr.arpa
- 113.0.203.in-addr.arpa
Lisaks lahendab Unbound vaikimisi mõlemas suunas localhost - 127.0.0.1 teisendust justkui oleks kirjeldatud (sarnaselt on kirjeldatud ka IPv6 ::1)
local-zone: "localhost." static local-data: "localhost. 10800 IN NS localhost." local-data: "localhost. 10800 IN SOA localhost. nobody.invalid. 1 3600 1200 604800 10800" local-data: "localhost. 10800 IN A 127.0.0.1" local-data: "localhost. 10800 IN AAAA ::1 .. local-zone: "127.in-addr.arpa." static local-data: "127.in-addr.arpa. 10800 IN NS localhost." local-data: "127.in-addr.arpa. 10800 IN SOA localhost. nobody.invalid. 1 3600 1200 604800 10800" local-data: "1.0.0.127.in-addr.arpa. 10800 IN PTR localhost."
Selleks, et asutuse lokaalses autoriteetses nimeserveris kirjeldatud privaatsete aadresside pöördteisendused töötaksid tuleb kirjeldada vastava tsooni jaoks local-zone väärtusega nodefault
server: ... local-zone: "168.192.in-addr.arpa." nodefault
ning nt 192.168.1 võrgu puhul näidata pädeva nimeserveri aadress
stub-zone:
name: "1.168.192.in-addr.arpa."
stub-addr: 192.168.1.251
Jõudlus
- Unbound oskab kasutada mitut protsessorit ja nö keskpärasel riistvaral suudab teenidada kümneid tuhandeid päringuid sekundis.
- Unbound on 2-3 korda kiirem kui Bind.
Klientprogrammi unbound-host kasutamine
Klientprogramm unbound-host võimaldab nt kontrollida, kas nimelahenduse valideerimine töötab
# unbound-host -C unbound.conf -t A -v www.kaminskybug.se [1264938168] libunbound[2566:0] notice: init module 0: validator [1264938168] libunbound[2566:0] notice: init module 1: iterator www.kaminskybug.se is an alias for fou.iis.se. (secure) fou.iis.se has address 212.247.204.242 (secure)
Haldusprogramm unbound-control
Haldusprogrammiga unbound-control saab juhtida Unbound resolveri tööd ja küsida statistikat. Kuna unbound-control võimaldab resolveri töötamist oluliselt mõjutada, nt laadida cache sisu tekstifailist või resolveri seisata, siis peab hoolega jälgima, et unbound-control kasutamisele oleks seatud vajalikud piirangud.
Unbound resolveri ettevalmistamine
unbound-control suhtleb Unbound serveriga vaikimisi üle 953/tcp pordi. Osaliste autentimiseks kasutatakse avaliku-võtme tehnikat, vajalike võtmete genereerimiseks sobib kasutada unbound-control-setup utiliiti
# unbound-control-setup ... Signature ok subject=/CN=unbound-control Getting CA Private Key Setup success. Certificates created. Enable in unbound.conf file to use
Tulemusena tekivad /var/unbound/etc kataloogi neli võtit, kask serveri ja kaks kliendi jaoks
unbound_control.key unbound_control.pem unbound_server.key unbound_server.pem
unbound-control kasutamiseks tuleb vastav funktsionaalsus Unbound serveris sisse lülitada nt sektsiooniga
remote-control:
control-enable: yes
control-interface: 127.0.0.1
unbound-control kasutamine
Vaikimisi kasutab unbound-control Unbound serveri seadistusfaili, nt sobib alustuseks kasutada unbound serverit ja unbound-control utiliiti samas arvutis.
- Unbound resolveri oleku küsimine
# unbound-control status version: 1.3.0 verbosity: 1 threads: 1 modules: 2 [ validator iterator ] uptime: 1184 seconds unbound (pid 23298) is running...
- Resolveri cacheist tsooni loomaaed.tartu.ee andmete kustutamine
# unbound-control flush_zone loomaaed.tartu.ee ok removed 3 rrsets, 2 messages and 0 key entries
- Cache sisu esitamine
# unbound-control dump_cache
Resolveri kasutusstatistika
Üks unbound-control kasutusjuht on koguda resolveri kasutusstatistikat
# unbound-control stats_noreset
Praktiliselt on seda sobiv automatiseerida Munin või Cacti tarkvaraga, mida on kirjeldatud aadressil http://www.unbound.net/documentation/howto_statistics.html.
Unbound ja NSD protsessid samas arvutis
Unbound seadistusfailis sobib kasutada ridu
domain-insecure: "loomaaed.tartu.ee"
domain-insecure: "loomaaed.tartu.eu"
domain-insecure: "loomaaed.tartu.org"
...
stub-zone:
name: "loomaaed.tartu.ee"
stub-addr: 10.193.0.53
stub-zone:
name: "loomaaed.tartu.eu"
stub-addr: 10.193.0.53
stub-zone:
name: "loomaaed.tartu.org"
stub-addr: 10.193.0.53
IPv6 kasutamine
IPv6 kasutamiseks tuleb seadistusfailis näidata, millisel IPv6 aadressil protsess kuulab
interface: 2001:1530:90:11:192::53
ning lubada asjakohastest võrkudest teenuse poole pöörduda, nt
access-control: fd99::/64 allow
Lisaks tuleb arvestada seda, et nimepäringute lahendamiseks kasutab Unbound ise IPv4 ja IPv6 võrku.
Kasulikud lisamaterjalid
- http://unbound.net/
- http://unbound.nlnetlabs.nl/pipermail/unbound-users/
- http://www.howtoforge.com/installing-using-unbound-nameserver-on-debian-etch
- http://www.nlnetlabs.nl/publications/dnssec_howto/index.html
- http://secspider.cs.ucla.edu/islands.html
- https://itar.iana.org/
- https://ns.iana.org/dnssec/status.html
- https://dlv.isc.org/
- http://en.wikipedia.org/wiki/AS112
- Pädeva nimeserveri NSD kasutamine
