歡迎光臨
每天分享高質量文章

Dnsmasq 進階技巧 | Linux 中國

今天我們將介紹進階配置檔案管理、如何測試你的配置、一些基礎的安全知識、DNS 泛域名、快速 DNS 配置,以及其他一些技巧與竅門。
— Carla Schroder


致謝
編譯自 | https://www.linux.com/learn/intro-to-linux/2018/2/advanced-dnsmasq-tips-and-tricks 
 作者 | Carla Schroder
 譯者 | yixunx ? ? 共計翻譯:6 篇 貢獻時間:86 天

許多人熟知並熱愛 Dnsmasq,併在他們的本地域名服務上使用它。今天我們將介紹進階配置檔案管理、如何測試你的配置、一些基礎的安全知識、DNS 泛域名、快速 DNS 配置,以及其他一些技巧與竅門。下個星期我們將繼續詳細講解如何配置 DNS 和 DHCP。

測試配置

當你測試新的配置的時候,你應該從命令列執行 Dnsmasq,而不是使用守護行程。下麵的例子演示瞭如何不用守護行程執行它,同時顯示指令的輸出並保留執行日誌:

  1. # dnsmasq --no-daemon --log-queries

  2. dnsmasq: started, version 2.75 cachesize 150

  3. dnsmasq: compile time options: IPv6 GNU-getopt

  4. DBus i18n IDN DHCP DHCPv6 no-Lua TFTP conntrack

  5. ipset auth DNSSEC loop-detect inotify

  6. dnsmasq: reading /etc/resolv.conf

  7. dnsmasq: using nameserver 192.168.0.1#53

  8. dnsmasq: read /etc/hosts - 9 addresses

在這個小例子中你能看到許多有用的資訊,包括版本、編譯引數、系統名字服務檔案,以及它的監聽地址。可以使用 Ctrl+C 停止行程。在預設情況下,Dnsmasq 沒有自己的日誌檔案,所以日誌會被記錄到 /var/log 目錄下的多個地方。你可以使用經典的 grep 來找到 Dnsmasq 的日誌檔案。下麵這條指令會遞迴式地搜尋 /var/log,在每個匹配的檔案名之後顯示匹配的行號,並忽略 /var/log/dist-upgrade 裡的內容:

  1. # grep -ir --exclude-dir=dist-upgrade dnsmasq /var/log/

使用 grep --exclude-dir= 時有一個有趣的小陷阱需要註意:不要使用完整路徑,而應該只寫目錄名稱。

你可以使用如下的命令列引數來讓 Dnsmasq 使用你指定的檔案作為它專屬的日誌檔案:

  1. # dnsmasq --no-daemon --log-queries --log-facility=/var/log/dnsmasq.log

或者在你的 Dnsmasq 配置檔案中加上 log-facility=/var/log/dnsmasq.log

配置檔案

Dnsmasq 的配置檔案位於 /etc/dnsmasq.conf。你的 Linux 發行版也可能會使用 /etc/default/dnsmasq/etc/dnsmasq.d/,或者 /etc/dnsmasq.d-available/(不,我們不能統一標準,因為這違反了 Linux 七嘴八舌秘密議會Linux Cat Herd Ruling Cabal的旨意)。你有很多自由來隨意安置你的配置檔案。

/etc/dnsmasq.conf 是德高望重的老大。Dnsmasq 在啟動時會最先讀取它。/etc/dnsmasq.conf 可以使用 conf-file= 選項來呼叫其他的配置檔案,例如 conf-file=/etc/dnsmasqextrastuff.conf,或使用 conf-dir= 選項來呼叫目錄下的所有檔案,例如 conf-dir=/etc/dnsmasq.d

每當你對配置檔案進行了修改,你都必須重啟 Dnsmasq。

你也可以根據副檔名來包含或忽略配置檔案。星號表示包含,不加星號表示排除:

  1. conf-dir=/etc/dnsmasq.d/, *.conf, *.foo

  2. conf-dir=/etc/dnsmasq.d, .old, .bak, .tmp

你可以用 --addn-hosts= 選項來把你的主機配置分佈在多個檔案中。

Dnsmasq 包含了一個語法檢查器:

  1. $ dnsmasq --test

  2. dnsmasq: syntax check OK.

實用配置

永遠加入這幾行:

  1. domain-needed

  2. bogus-priv

它們可以避免含有格式出錯的域名或私有 IP 地址的資料包離開你的網路。

讓你的名字服務只使用 Dnsmasq,而不去使用 /etc/resolv.conf 或任何其他的名字服務檔案:

  1. no-resolv

使用其他的域名伺服器。第一個例子是隻對於某一個域名使用不同的域名伺服器。第二個和第三個例子是 OpenDNS 公用伺服器:

  1. server=/fooxample.com/192.168.0.1

  2. server=208.67.222.222

  3. server=208.67.220.220

你也可以將某些域名限製為只能本地解析,但不影響其他域名。這些被限制的域名只能從 /etc/hosts 或 DHCP 解析:

  1. local=/mehxample.com/

  2. local=/fooxample.com/

限制 Dnsmasq 監聽的網路介面:

  1. interface=eth0

  2. interface=wlan1

Dnsmasq 在預設設定下會讀取並使用 /etc/hosts。這是一個又快又好的配置大量域名的方法,並且 /etc/hosts 只需要和 Dnsmasq 在同一臺電腦上。你還可以讓這個過程再快一些,可以在 /etc/hosts 檔案中只寫主機名,然後用 Dnsmasq 來新增域名。/etc/hosts 看上去是這樣的:

  1. 127.0.0.1 localhost

  2. 192.168.0.1 host2

  3. 192.168.0.2 host3

  4. 192.168.0.3 host4

然後把下麵這幾行寫入 dnsmasq.conf(當然,要換成你自己的域名):

  1. expand-hosts

  2. domain=mehxample.com

Dnsmasq 會自動把這些主機名擴充套件為完整的域名,比如 host2 會變為 host2.mehxample.com

DNS 泛域名

一般來說,使用 DNS 泛域名不是一個好習慣,因為它們太容易被誤用了。但它們有時會很有用,比如在你的區域網的嚴密保護之下的時候。一個例子是使用 DNS 泛域名會讓 Kubernetes 叢集變得容易管理許多,除非你喜歡給你成百上千的應用寫 DNS 記錄。假設你的 Kubernetes 域名是 mehxample.com,那麼下麵這行配置可以讓 Dnsmasq 解析所有對 mehxample.com 的請求:

  1. address=/mehxample.com/192.168.0.5

這裡使用的地址是你的叢集的公網 IP 地址。這會響應對 mehxample.com 的所有主機名和子域名的請求,除非請求的標的地址已經在 DHCP 或者 /etc/hosts 中配置過。

下星期我們將探索更多的管理 DNS 和 DHCP 的細節,包括對不同的子網路使用不同的設定,以及提供權威域名伺服器。

更多參考

◈ 使用 Dnsmasq 進行 DNS 偽裝[1]
◈ 使用 Dnsmasq 配置簡單的區域網域名服務[2]
◈ Dnsmasq[3]

via: https://www.linux.com/learn/intro-to-linux/2018/2/advanced-dnsmasq-tips-and-tricks

作者:CARLA SCHRODER[5] 譯者:yixunx 校對:wxy

本文由 LCTT 原創編譯,Linux中國 榮譽推出

贊(0)

分享創造快樂