第4篇:firewalld+bind9+dnscrypt-proxy

在大部分企业应用的场合下,防火墙、路由器和DNS服务都集成在同一台设备,本篇bind9最大的用处名称缓存器,我将向您展示如何设置DnsCrypt与bind9一起使用。


ss8.png

bind9+dnscrypt组合的原理

  1. bind9将来自客户端的dns请求转发到dnscrypt-proxy
  2. dnscrypt-proxy将该dns请求负责加密转发到外部可信的dns服务器
  3. dnscrypt-proxy将从外部可信的dns服务器答应的“未污染”的DNS数据返回给bind9。
  4. bind9将该未污染的dns记录缓存到服务器的内存中。
  5. 客户端再查询相同域名,bind9从第4步的缓存中的dns记录反馈给客户端。

这样做的优点大大加快DNS查询的速度,而且bind9缓存设置非常强大,我们可以自定义缓存DNS记录时效性。

firewalld的设置状态

本篇的拓扑客户端位于internal区域,首先看看防火墙的internal区域配置,这个区域对应的是可信任网络,因此采取的target是默认,基本和ACCEPT等同。

防火墙的公网接口所在的external配置

我们external区的enp3s0是一个暴露在互联网的网络接口,我们执行下面的指令目的在于对来自外部的任何连接请求,我们采取的target动作是丢弃数据包,避免恶意攻击者使用类似nmap的网络扫描工具探测到防火墙的存在

firewall-cmd --zone=external --change-interface=enp3s0
firewall-cmd --zone=external --set-target=DROP --permanent

这样能够最大限度地保护了防火墙本身,没有任何显式放行或转发规则,target的DROP设定对任何从公网入站的数据包(即匹配0.0.0.0/0)采取丢弃的动作,我们可以使用nmap扫描工具对我们的防火墙做一个简单的安全风险测试

OK,我们从nmap返回信息,并没有在防火墙身上得到任何暴露的端口信息

本篇internal区域配置如下
因为,防火墙的DNS缓存服务主要服务internal区域(192.168.50.0/24)的任意一台计算机,因此我们我们只需开放特定的服务dns和mdns

转发规则问题排查

我们的external区域和internal区域都启用了masquerade的NAT网络地址转换,在写本文部署到生产环境前在虚拟机搭建的实验,我并没有为internal区域激活masquerade,一切端口转发的规则都正常,但当你部署到生产环境时,发现配置到external区的端口转发规则不起作用的话,可以考虑同时激活external和internal区域的masquerade。

dnscrypt-proxy 2设置

  • 可执行文件路径:/usr/local/dnscrypt-proxy/dnscrypt-proxy/dnscrypt-proxy
  • 配置文件路径:/usr/local/dnscrypt-proxy/dnscrypt-proxy.toml

在CentOS 8中,dnscrypt-proxy执行时的用户我们设定为root,试了很多方法,用其他wheel用户组的用户创建进程时基本上会出错,基本上都是因为权限的问题,网上大部份人的做法是禁用SELinux,但在生产环境中风险较高,所以这里暂时在配置文件中将user_name设定为root

  • 服务脚本: /etc/systemd/system/dnscrypt-proxy.service
[Unit]
Description=dnscrypt-proxy.service
After=network.target

[Service]
Type=simple
User=root
ExecStart=/usr/local/dnscrypt-proxy/dnscrypt-proxy
Restart=on-abort

[Install]
WantedBy=multi-user.target

创建后台进程

systemctl daemon-reload
systemctl enable dnscrypt-proxy
systemctl start dnscrypt-proxy

验证bind9的运行状态

安装dnscrypt-proxy

yum install bind bind-utils -y
systemctl enable named
systemctl start named

配置bind9服务器

options {
    listen-on port 53 { 127.0.0.1;127.0.2.1;192.168.50.0/24; };
    listen-on-v6 port 53 { ::1; };
    directory   "/var/named";
    dump-file   "/var/named/data/cache_dump.db";
    statistics-file "/var/named/data/named_stats.txt";
    memstatistics-file "/var/named/data/named_mem_stats.txt";
    secroots-file   "/var/named/data/named.secroots";
    recursing-file  "/var/named/data/named.recursing";
    max-cache-size 536870912;
    max-cache-ttl 172800;
    max-ncache-ttl 518400;
    allow-query     { 
        localhost;
        192.168.50.0/24
     };
    
    allow-query-cache{any;};
    forward first;
    forwarders {
        127.0.2.1 port 4040;
    };

    recursion yes;
    dnssec-enable yes;
    dnssec-validation yes;

    managed-keys-directory "/var/named/dynamic";

    pid-file "/run/named/named.pid";
    session-keyfile "/run/named/session.key";

    /* https://fedoraproject.org/wiki/Changes/CryptoPolicy */
    include "/etc/crypto-policies/back-ends/bind.config";
};
...

验证dnscrypt-proxy的运行状态

防火墙本体的DNS测试

名称解析的耗时0微秒,这个性能已经非常不错了


小结

bind9+dnscrypt的服务组合是一个高性能的域名解析服务,我们通过调整bind9的记录缓存的时间尽可能地长,这样可以减少bind9向dnscrypt-proxy的dns请求转发的次数,这是bind9+dnscrypt提供高性能域名解析服务的关键。

推荐阅读更多精彩内容