Imre: Uus lehekülg: 'Kategooria:Interneti domeeninimede süsteem ===Sissejuhatus=== Üks võimalus liigitada nimeservereid või nimeserverite tarkvara on selle järgi, millised päringuid teenindatakse * pädev ehk autoriteetne (ingl. k. authoritative) - vastab päringutele ainult nimeserveri tsoonifailis kirjeldatud andmete alusel; autoriteetsed nimeserverid teenindavad reeglina resolverite päringuid * rekursiivne (ingl. k. recursive) - rekursiivne nimeserver ei sisalda nö oma tsoonifa...'

2024-03-05T21:39:26Z

Uus lehekülg: 'Kategooria:Interneti domeeninimede süsteem ===Sissejuhatus=== Üks võimalus liigitada nimeservereid või nimeserverite tarkvara on selle järgi, millised päringuid teenindatakse * pädev ehk autoriteetne (ingl. k. authoritative) - vastab päringutele ainult nimeserveri tsoonifailis kirjeldatud andmete alusel; autoriteetsed nimeserverid teenindavad reeglina resolverite päringuid * rekursiivne (ingl. k. recursive) - rekursiivne nimeserver ei sisalda nö oma tsoonifa...'

Uus lehekülg

[[Kategooria:Interneti domeeninimede süsteem]]
===Sissejuhatus===

Üks võimalus liigitada nimeservereid või nimeserverite tarkvara on selle järgi, millised päringuid teenindatakse

* pädev ehk autoriteetne (ingl. k. authoritative) - vastab päringutele ainult nimeserveri tsoonifailis kirjeldatud andmete alusel; autoriteetsed nimeserverid teenindavad reeglina resolverite päringuid
* rekursiivne (ingl. k. recursive) - rekursiivne nimeserver ei sisalda nö oma tsoonifaili, st ta ei ole mingite vastuste osas autoriteetne; rekursiivne nimeserver teenindab mingi piiratud hulga klientide päringuid lahendades neid autoriteetsete nimeserverite abil ja seetõttu nimetatakse rekursiivset nimeserverit tihti resolveriks (ingl. k. to resolve - lahendama)

Unbound http://www.unbound.net/ resolveril on selliseid omadused

* rekursiivne - lahendab nö lõppkasutaja esitatud päringuid, nt sobib seadistada töökohaarvuti nimeserveriks
* vaheladustav (ingl. k. caching) - Unbound peab kord lahendatud vastust mõnda aega meeles, mis tähendab, et järgmisele samale päringule vastab ta kliendile kohe ja ei pea omakorda pöörduma vastuse saamiseks autoriteetsete nimeserverite poole
* valideeriv - toetab DNSSEC kasutamist
* IPv6 tugi

Rekursiivse resolveri vastutus on parimal võimalikul moel anda kliendi esitatud päringule vastus, seejuures

* kasutada vastuse koostamisel mitmete pädevate nimeserverite abi
* anda õige vastus - nt mitte ennast lasta eksitada cache poisoning tehnikatest, võimalusel kasutada DNSSEC vahendeid
* vastata kiiresti

===Unbound paigaldamine===

2011 aastal leidub paljude operatsioonisüsteemide paketihalduses Unbound tarkvara.

====Debian====

Debian Squeeze sisaldab versiooni 1.4.6 ja paigaldamiseks sobib öelda

# apt-get install unbound

====OpenBSD====

OpenBSD 5.4 sisaldab binaarse paketina versiooni 1.4.9 ja paigaldamiseks sobib öelda

# pkg_add unbound
unbound-1.4.20:libldns-1.6.16p0: ok
useradd: Warning: home directory `/var/unbound' doesn't exist, and -m was not specified
unbound-1.4.20: ok
The following new rcscripts were installed: /etc/rc.d/unbound
See rc.d(8) for details.
--- +unbound-1.4.20 -------------------
You should add:

syslogd_flags="${syslogd_flags} -a /var/unbound/dev/log"

to /etc/rc.conf.local to create a syslog socket in the unbound chroot.

Selleks, et /etc/rc.d/unbound skript töötaks, peab olema seadistatud unbound-control (127.0.0.1 pealt).

===Unbound seadistamine===

Resolveri seadistusfailis tuleb näidata muu hulgas

* juurnimeserverite aadressid
* millisel aadressil resolver päringuid teenindab
* millised kliendid saavad resolverit kasutada, tavaliselt kliendi src ip aadressi täpsusega

Unbound tööd juhib seadistusfail unbound.conf

* /etc/unbound/unbound.conf - Debian
* /var/unbound/etc/unbound.conf - OpenBSD

Lihtsamal juhul võib kasutada nt sellise sisuga seadistusfaili

server:
interface: 192.168.10.190
outgoing-interface: 192.168.10.190
access-control: 192.168.1.0/24 allow
access-control: 192.168.10.0/24 allow_snoop
root-hints: "/var/unbound/etc/named.cache"

kus

* interface - millisel aadressil arvuti Unbound resolveri kliente teenindab
* outgoing-interface - milliselt aadressilt resolveri päringud autoriteetsetele nimeserveritele väljuvad
* access-control - millistelt ip aadressidelt saab Unbound resolverit kasutada; allow lubab esitada ainult rekursiivseid päringuid, nt +norec annab vaikimisi refused vastuse

$ dig +norec @nimeserver domeeni.nimi
...
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 52133

allow_snoop lubab mõlemaid (viimane on vajalik, et unbound kasutaja saaks öelda

$ dig +trace @nimeserver domeeni.nimi

* root-hints - resolver peab alati teadma interneti juurnimeserverite aadresse

Juurnimeserverite aadresse saab küsida mõnes juba seadistatud resolveriga arvutis

$ dig . ns

või kopeerida aadressilt Linuxis

$ wget ftp://FTP.INTERNIC.NET/domain/named.cache

OpenBSD keskkonnas

$ ftp ftp://FTP.INTERNIC.NET/domain/named.cache

===Unbound käivitamine===

Unbound resolver teenindab päringuid portidel 53/udp ja 53/tcp.

====Debian====

Käivitamiseks tuleb öelda

# /etc/init.d/unbound start | stop

====OpenBSD====

Selleks, et Unbound töötaks OpenBSD all chroot keskkonnas kataloogis /var/unbound kasutajana _unbound tuleb kasutada seadistusfailis rida

chroot: "/var/unbound"

Et chroot keskkonnas töötav Unbound saaks logida syslog'i tuleb syslog käivitamisel lisaks kasutada '-a /var/unbound/dev/log'

# syslogd -a /var/www/dev/log -a /var/empty/dev/log -a /var/unbound/dev/log

/etc/rc.conf.local failis sobib kasutada rida

syslogd_flags="${syslogd_flags} -a /var/unbound/dev/log"

2012 kevadel ütleb OpenBSD v. 5.1 paketihalduse unbound chroot kasutamisel kävitamisel nii

# unbound -dv
[1335943357] unbound[20534:0] notice: Start of unbound 1.4.15.
[1335943357] unbound[20534:0] warning: increased limit(open files) from 128 to 4140
[1335943357] unbound[20534:0] warning: unable to setusercontext _unbound: Bad file descriptor

Limiitide tuleb töötada sarnaselt nagu on kirjeldatud aadressil http://www.auul.pri.ee/wiki/Operatsioonis%C3%BCsteemi_OpenBSD_kasutamine#Login_class_kasutamine.

Tavalisel viisil sobib kasutada käivitusskripti

# /etc/rc.d/unbound start | stop

Vastasel korral on logis midagi sellist

Mar 13 16:03:01 unbound[28759:0] error: can't create socket: Too many open files

===Unbound kasutamine===

Unbound resolveri kasutajateks on tavaliselt arvutid, mis vajavad nimelahendust, nt kohtvõrgu arvutid, eposti serverid jt kusjuures Unbound protsess töötab selleks ettenähtud arvutis või võrgusõlmeks olevas seadmes

internet
...
|
_|_
| | OpenBSD võrgusõlm
|___| Unbound protsess
|
--|---|----------|-----------|--
| | |

dns kliendid (töökohaarvuti, serverid)

Linux keskkonnas sobib näidata nimeserveri aadress staatiliselt arvuti /etc/resolv.conf failis nt reaga

nameserver 192.168.10.190

Unbound resolveri tööd saab kontrollida nt öeldes mõnes arvutis, kus peab kõnealust resolverit saama kasutada

$ dig @192.168.10.190 kuutorvaja.eenet.ee a

ja vastus peaks sisaldama sarnaseid ridu rida

...
;; QUESTION SECTION:
;kuutorvaja.eenet.ee. IN A

;; ANSWER SECTION:
kuutorvaja.eenet.ee. 83840 IN A 193.40.0.7
..

===Nimepäringu vastuse valideerimine===

Nimepäringute vastuste valideerimiseks kasutatakse üldiselt DNSSEC tehnikat. 2011 aastal on selleks mitmeid võimalusi, kaks populaarsemat on

* signeeritud tsoonifailidega juurnimeserverite kasutamine, kõige loomulikum viis
* DLV (DNSSEC Look-aside Validation) - üleminekuaja häkk

Kui nimeteenust kasutatakse sarnaselt ülaltoodud skeemile, siis peab arvestama, et DNSSEC kontroll toimub Unbound protsessi juures, sealt edasi kliendini liigub vastus tavalise avateksina üle kohtvõrgu ja klient otsustab vastuse turvalisuse üle ad biti järgi vastuses. Seetõttu on reeglina soovitav, et Unbound töötaks nimeteenust kasutatavatele arvutitele võimalikult lähedal.

DNSSEC juurutamise kronoloogia

* 15. juuli 2010 - juurnimeserverid kasutavad signeeritud tsoone http://www.root-dnssec.org/
* ? - .org tsoon on signeeritud
* 31. märts 2011 - .com tsoon on signeeritud http://www.theregister.co.uk/2011/04/01/dnssec_com_goes_live/

Kasulikud lisamaterjalid

* http://www.theregister.co.uk/2011/04/01/dnssec_com_goes_live/
* http://blogs.pcmag.com/securitywatch/2011/03/dnssec_in_com_domain_is_a_good.php

====Signeeritud tsoonifailiga juurnimeserverite kasutamine====

Unbound seadistamiseks tuleb kasutada seadistusfailis rida

auto-trust-anchor-file: "root.key"

kusjuures fail peab olema unbound protsessile kirjutatav ning esialgselt sisaldama rida (as per http://unbound.net/documentation/howto_anchor.html)

# cat /var/unbound/etc/root.key
. IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5

# chown _unbound /var/unbound/etc
# chown _unbound:_unbound /var/unbound/etc/root.key

Peale unbound protsessi käivitamist selle faili sisu muutub automaatselt.

Kontrollimiseks sobib öelda

$ dig . ns +dnssec +multiline

; <<>> DiG 9.7.2-P3 <<>> . ns +dnssec +multiline
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4737
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 14, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;. IN NS

;; ANSWER SECTION:
. 518267 IN NS m.root-servers.net.
. 518267 IN NS g.root-servers.net.
. 518267 IN NS b.root-servers.net.
. 518267 IN NS h.root-servers.net.
. 518267 IN NS a.root-servers.net.
. 518267 IN NS e.root-servers.net.
. 518267 IN NS k.root-servers.net.
. 518267 IN NS f.root-servers.net.
. 518267 IN NS c.root-servers.net.
. 518267 IN NS j.root-servers.net.
. 518267 IN NS i.root-servers.net.
. 518267 IN NS l.root-servers.net.
. 518267 IN NS d.root-servers.net.
. 518267 IN RRSIG NS 8 0 518400 20110409000000 (
20110401230000 34525 .
De4SFgTDwpgbz1JjTlaPzu7ZNRURLSnoYmQQQIZq7Gny
RghOrsvS1soH5F43Gxr5BIi+422EBLJIrEHFnbvLy22S
LqKtSw67eDdsBZyjE5fTtDHyYhnoR8YQWswgGVMRk4Ek
iDDMIOk5pF+CvbML6TlvTWrnPCwNWXnbLFnT9SY= )

;; Query time: 0 msec
;; SERVER: 10.192.0.53#53(10.192.0.53)
;; WHEN: Sat Apr 2 18:44:16 2011
;; MSG SIZE rcvd: 397

kus tuleb tähele panna

* vastus sisaldab RRSIG kirjet
* flags: qr rd ra ad - ad tähistab, et tegu on authoritative data sisaldusega

====DLV====

DLV seadistamiseks tuleb

* kopeerida trust anchor fail kataloogi /var/unbound/etc

# cd /var/unbound/etc
# ftp http://ftp.isc.org/www/dlv/dlv.isc.org.key

* Unbound seadistusfailis kasutada rida

dlv-anchor-file: "dlv.isc.org.key

Valideeritud nimepäringu vastus näeb välja nt selline

$ dig www.kaminskybug.se a +dnssec +multiline

; <<>> DiG 9.5.1-P3 <<>> www.kaminskybug.se a +dnssec +multiline
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56069
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 4, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.kaminskybug.se. IN A

;; ANSWER SECTION:
www.kaminskybug.se. 3590 IN CNAME fou.iis.se.
www.kaminskybug.se. 3590 IN RRSIG CNAME 5 3 3600 20100205210001 (
20100126210001 13358 kaminskybug.se.
goEav1vWK49WEvGY/G1EBKOgekQk11JvjsQxE7chH6Kg
OwZNpOXwomE1z9zvLcwkD60CQAZWC9psA1z01iIwtOrt
Yq6L+2A0PLVAAuRYeY3CQnbHoHRYClCUz0dIkxhtz9f/
Um1AuC3FtqV6t9q8lLb4ooav0Ex64KuwoPPxqqs= )
fou.iis.se. 3590 IN A 212.247.204.242
fou.iis.se. 3590 IN RRSIG A 5 3 3600 20100209131501 (
20100130131501 56315 iis.se.
BOPpSETDBKu6CjOcz2ULnOnfRVoXfOXj9OjW4zwjPuWl
7vJ8630yXsuSEe89RuH/ZsuOGbeJnumQ/XmD6ftWL9yM
MPUF1ZYxCtExaBcIxhxDIFJv4E4RZAOkbb9ZdYKTglIL
zDleOOms0iVgCAnnWJSnmDpzhfvr8xoTGlh7myE= )

;; AUTHORITY SECTION:
iis.se. 3590 IN NS ns.nic.se.
iis.se. 3590 IN NS ns3.nic.se.
iis.se. 3590 IN NS ns2.nic.se.
iis.se. 3590 IN RRSIG NS 5 2 3600 20100209131501 (
20100130131501 56315 iis.se.
B3SheLIv8ouVPpFGjvM8q5fl9ZMnnPWR8x9QDD0uSxoH
iV2fYHjiKC5a2+8Znsi4zSdO2AmH+reUCP74qvYpkl1K
+NbEzndzzrJQ0XlT1icy3MC6vdvgdE7Opqjab/7iIiYV
X9UjZpHKR284EljSrKJ0z53/T+12P3K0VU/dRFE= )

;; Query time: 1 msec
;; SERVER: 10.53.67.69#53(10.53.67.69)
;; WHEN: Sun Jan 31 00:25:39 2010
;; MSG SIZE rcvd: 648

kus ad lipp annab tunnistust, et vastus on valideeritud

flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 4, ADDITIONAL: 1

====Firefox DNSSEC lisa kasutamine====

Firefox DNSSEC lisa https://addons.mozilla.org/en-us/firefox/addon/dnssec-validator/ abil saab brauseri kasutamise ajal tagasisidet kuidas käesolev nimi on lahendatud, nt

[[Pilt:Unbound-1.gif]]

Seejuures tuleb arvestada, et DNSSEC iseenest tähendab, et nimi lahendes turvaliselt, järgneva andmevahetuse turvalisus on eraldi küsimus ja nt https:// on üks viis selle saavutamiseks.

===domain-insecure tsoonid===

Kui kasutatakse signeeritud tsoonifailiga juurnimeservereid ning mõnele lokaalsele mitte-dnssec nimeserverile viitavaid stub-zone sissekandeid, siis võib olla asjakohane kasutada lisaks ridu

domain-insecure: "auul"
domain-insecure: "10.168.192.in-addr.arpa"
domain-insecure: "1.168.192.in-addr.arpa"
...

===Lokaalsed nimekirjeldused===

Lisaks sellele, et Unboundi kasutab nimede lahendamisel võrgus töötavaid autoriteetseid nimeservereid, saab kirjeldada seadistusfailis päri- ja pöördteisendusi

local-zone: "loomaaed.tartu.ee" static
local-data: "loomaaed.tartu.ee A 192.168.10.100"
..
local-data-ptr: "192.168.10.100 loomaaed.tartu.ee"

kus

* local-zone - lokaalselt unboundis kirjeldatud tsooni nimi
* static - sellel positsioonil st type parameeter määrab põhiliselt, kuidas mitte kirjeldatud nime küsimisele vastatakse
* local-data - päriteisendus
* local-data-prt - pöördteisendus

type väärtused

* static - local-data abil mitte kirjeldatud nime küsimisele vastatakse NXDOMAIN
* nodefault - AS112 tsoonide puhul vastab Unbound vaikimisi NXDOMAIN vastusega, nodefault puhul püütakse vastavaid nimesid lahendada
* transparent - local-data abil mitte kirjeldatud nimi püütakse lahenada internetist, stub-zone abil vms viisil
* redirect - kõik alamdomeenid vastatakse local-data abil näidatud väärtusega

===Stub tsoon===

Stub tsooni abil saab öelda, millist pädevat nimeserverit kasutada mõne domeeni nimelahenduseks. Praktiliselt võiks seda vaja minna kui asutuses on nt kasutusel mitte-avalik pädev nimeserver ja domeeni 'auul.' nimede lahendamiseks tuleks kasutada seda; vastasel korral püüaks Unbound neid nimesid lahendada pöördudes interneti juurnimeserverite poole.

Seadistusfailis kirjeldatakse stub tsoon selliselt

stub-zone:
name: "auul"
stub-addr: 192.168.1.251

kus

* name - domeeni nimi
* stub-addr - domeeni pädeva nimeserveri ip aadress
* stub sõna viitab asjaolule, et Unbound saab näidatud nimeserverilt otse vastuse kätte

Kui stub-zone abil on vaja teha mõne privaatsete aadressidega /24 subneti jaoks pöördteisendusi, siis tuleb tõenäoliselt kasutada koostöös selliseid direktiive

..
domain-insecure: "10.168.192.in-addr.arpa"
domain-insecure: "1.168.192.in-addr.arpa"
...

local-zone: "1.168.192.in-addr.arpa." transparent
local-zone: "2.168.192.in-addr.arpa." transparent
....

stub-zone:
name: "1.168.192.in-addr.arpa."
stub-addr: 192.168.1.247

stub-zone:
name: "10.168.192.in-addr.arpa."
stub-addr: 192.168.1.247

Oluline on panna tähele, et korrektsel juhul lahendatakse kirjeldatud tsoonid stub-addr nimeserveri poolt, muud privaatsed aadressid saavad vastuseks (vastuse genereerib Unbound ise)

$ dig -x 192.168.5.5
..
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1480
;; QUESTION SECTION:
;5.5.168.192.in-addr.arpa. IN PTR

;; AUTHORITY SECTION:
168.192.in-addr.arpa. 10800 IN SOA localhost. nobody.invalid. 1 3600 1200 604800 10800

Kui vastus on, siis midagi on valesti, sest Unbound on seda käinud internetis lahendamas

..
;; QUESTION SECTION:
;5.5.168.192.in-addr.arpa. IN PTR

;; AUTHORITY SECTION:
168.192.in-addr.arpa. 86400 IN SOA prisoner.iana.org. hostmaster.trex.fi. 1 604800 86400 2419200 86400

===Forward tsoon===

Forward tsooni abil saab öelda, millist rekursiivset nimeserverit kasutada mõne domeeni nimelahenduseks. Seadistusfailis kirjeldatakse forward tsoon selliselt

forward-zone:
name: "loomla.tartu.ee"
forward-addr: 10.172.20.10

kus

* name - domeeninimi
* forward-addr - rekursiivse nimeserveri aadress

Selleks, et suunata kõik päringud lahendamiseks edasi sobib kasutada

forward-zone:
name: "."
forward-addr: 10.172.20.10

===AS112 tsoonid===

AS112 tsoonide hulka kuuluvad sellised pöördteisenduse tsoonid, vaikimisi vastab AS112 tsooni tehtud päringutele Unbound NXDOMAIN (põhjusel, et sisemiste arvutite poolt tehtud pöördteisenduspäringud ei jõuaks avalikku võrku)

* 10.in-addr.arpa
* 16.172.in-addr.arpa
* ...
* 31.172.in-addr.arpa
* 168.192.in-addr.arpa
* 254.169.in-addr.arpa
* 2.0.192.in-addr.arpa
* 100.51.198.in-addr.arpa
* 113.0.203.in-addr.arpa

Lisaks lahendab Unbound vaikimisi mõlemas suunas localhost - 127.0.0.1 teisendust justkui oleks kirjeldatud (sarnaselt on kirjeldatud ka IPv6 ::1)

local-zone: "localhost." static
local-data: "localhost. 10800 IN NS localhost."
local-data: "localhost. 10800 IN SOA localhost. nobody.invalid. 1 3600 1200 604800 10800"
local-data: "localhost. 10800 IN A 127.0.0.1"
local-data: "localhost. 10800 IN AAAA ::1
..

local-zone: "127.in-addr.arpa." static
local-data: "127.in-addr.arpa. 10800 IN NS localhost."
local-data: "127.in-addr.arpa. 10800 IN SOA localhost. nobody.invalid. 1 3600 1200 604800 10800"
local-data: "1.0.0.127.in-addr.arpa. 10800 IN PTR localhost."

Selleks, et asutuse lokaalses autoriteetses nimeserveris kirjeldatud privaatsete aadresside pöördteisendused töötaksid tuleb kirjeldada vastava tsooni jaoks local-zone väärtusega nodefault

server:
...
local-zone: "168.192.in-addr.arpa." nodefault

ning nt 192.168.1 võrgu puhul näidata pädeva nimeserveri aadress

stub-zone:
name: "1.168.192.in-addr.arpa."
stub-addr: 192.168.1.251

===Jõudlus===

* Unbound oskab kasutada mitut protsessorit ja nö keskpärasel riistvaral suudab teenidada kümneid tuhandeid päringuid sekundis.
* Unbound on 2-3 korda kiirem kui Bind.

===Klientprogrammi unbound-host kasutamine===

Klientprogramm unbound-host võimaldab nt kontrollida, kas nimelahenduse valideerimine töötab

# unbound-host -C unbound.conf -t A -v www.kaminskybug.se
[1264938168] libunbound[2566:0] notice: init module 0: validator
[1264938168] libunbound[2566:0] notice: init module 1: iterator
www.kaminskybug.se is an alias for fou.iis.se. (secure)
fou.iis.se has address 212.247.204.242 (secure)

===Haldusprogramm unbound-control===

Haldusprogrammiga unbound-control saab juhtida Unbound resolveri tööd ja küsida statistikat. Kuna unbound-control võimaldab resolveri töötamist oluliselt mõjutada, nt laadida cache sisu tekstifailist või resolveri seisata, siis peab hoolega jälgima, et unbound-control kasutamisele oleks seatud vajalikud piirangud.

====Unbound resolveri ettevalmistamine====

unbound-control suhtleb Unbound serveriga vaikimisi üle 953/tcp pordi. Osaliste autentimiseks kasutatakse avaliku-võtme tehnikat, vajalike võtmete genereerimiseks sobib kasutada unbound-control-setup utiliiti

# unbound-control-setup
...
Signature ok
subject=/CN=unbound-control
Getting CA Private Key
Setup success. Certificates created. Enable in unbound.conf file to use

Tulemusena tekivad /var/unbound/etc kataloogi neli võtit, kask serveri ja kaks kliendi jaoks

unbound_control.key
unbound_control.pem
unbound_server.key
unbound_server.pem

unbound-control kasutamiseks tuleb vastav funktsionaalsus Unbound serveris sisse lülitada nt sektsiooniga

remote-control:
control-enable: yes
control-interface: 127.0.0.1

====unbound-control kasutamine====

Vaikimisi kasutab unbound-control Unbound serveri seadistusfaili, nt sobib alustuseks kasutada unbound serverit ja unbound-control utiliiti samas arvutis.

* Unbound resolveri oleku küsimine

# unbound-control status
version: 1.3.0
verbosity: 1
threads: 1
modules: 2 [ validator iterator ]
uptime: 1184 seconds
unbound (pid 23298) is running...

* Resolveri cacheist tsooni loomaaed.tartu.ee andmete kustutamine

# unbound-control flush_zone loomaaed.tartu.ee
ok removed 3 rrsets, 2 messages and 0 key entries

* Cache sisu esitamine

# unbound-control dump_cache

====Resolveri kasutusstatistika====

Üks unbound-control kasutusjuht on koguda resolveri kasutusstatistikat

# unbound-control stats_noreset

Praktiliselt on seda sobiv automatiseerida Munin või Cacti tarkvaraga, mida on kirjeldatud aadressil http://www.unbound.net/documentation/howto_statistics.html.

===Unbound ja NSD protsessid samas arvutis===

Unbound seadistusfailis sobib kasutada ridu

domain-insecure: "loomaaed.tartu.ee"
domain-insecure: "loomaaed.tartu.eu"
domain-insecure: "loomaaed.tartu.org"
...
stub-zone:
name: "loomaaed.tartu.ee"
stub-addr: 10.193.0.53

stub-zone:
name: "loomaaed.tartu.eu"
stub-addr: 10.193.0.53

stub-zone:
name: "loomaaed.tartu.org"
stub-addr: 10.193.0.53

===IPv6 kasutamine===

IPv6 kasutamiseks tuleb seadistusfailis näidata, millisel IPv6 aadressil protsess kuulab

interface: 2001:1530:90:11:192::53

ning lubada asjakohastest võrkudest teenuse poole pöörduda, nt

access-control: fd99::/64 allow

Lisaks tuleb arvestada seda, et nimepäringute lahendamiseks kasutab Unbound ise IPv4 ja IPv6 võrku.

===Kasulikud lisamaterjalid===

* http://unbound.net/
* http://unbound.nlnetlabs.nl/pipermail/unbound-users/
* http://www.howtoforge.com/installing-using-unbound-nameserver-on-debian-etch
* http://www.nlnetlabs.nl/publications/dnssec_howto/index.html
* http://secspider.cs.ucla.edu/islands.html
* https://itar.iana.org/
* https://ns.iana.org/dnssec/status.html
* https://dlv.isc.org/
* http://en.wikipedia.org/wiki/AS112
* [[:Pädeva nimeserveri NSD kasutamine]]

Rekursiivse resolveri Unbound kasutamine operatsioonisüsteemiga Debian - Redigeerimiste ajalugu