Unbound es un servidor de almacenamiento en caché DNS recursivo, validador y muy seguro que se distribuye de forma gratuita bajo la licencia BSD. Unbound admite DNS sobre TLS y DNS sobre HTTPS para aumentar la privacidad en línea al permitir que los clientes cifren su conexión. Según la configuración de su red, Unbound puede admitir tanto IPV4 como IPV6. La instalación y configuración de Unbound en las distribuciones de Linux es bastante simple y directa. El paquete Unbound está disponible en la mayoría de los sistemas operativos modernos, incluidos CentOS, Ubuntu, Fedora. Las empresas que usan su propio dominio para servir aplicaciones o sitios web internamente pueden utilizar unbound como servidor DNS.
Aquí en LinuxAPT, como parte de nuestros Servicios de Administración de Servidores, ayudamos regularmente a nuestros Clientes a realizar consultas relacionadas con los Sistemas Linux.
En este contexto, veremos cómo instalar y configurar un servidor Unbound en Ubuntu 20.04.
¿Cómo instalar un servidor Unbound en Ubuntu?
Para instalar el servidor de resolución de nombres Unbound en Ubuntu 20.04, ejecute el siguiente comando:
$ sudo apt install unbound -y
Además, ejecute el siguiente comando para instalar paquetes adicionales que usaremos para verificar las configuraciones del servidor DNS
$ sudo apt install bind-utils net-tools -y
Una vez completada la instalación, se puede encontrar el contenido del archivo de configuración mediante el comando:
$ cat /etc/unbound/unbound.conf
Aquí verá que todos los archivos .conf se cargarán desde el directorio unbound.conf.d.
A continuación, crearemos un nuevo archivo de configuración en el directorio /etc/unbound/unbound.conf.d.
Aquí, hemos creado un archivo unbound_test.conf.
Ahora, abra el archivo usando el editor de texto y agregue la siguiente configuración de muestra. Puede modificar los parámetros en consecuencia.
$ sudo nano /etc/unbound/unbound.conf.d/unbound_test.conf
server:
port: 53
verbosity: 0
num-threads: 2
outgoing-range: 512
num-queries-per-thread: 1024
msg-cache-size: 32m
interface: 127.0.0.1
interface: 192.168.5.5
rrset-cache-size: 64m
cache-max-ttl: 86400
infra-host-ttl: 60
infra-lame-ttl: 120
outgoing-interface: 192.168.0.2
access-control: 127.0.0.0/8 allow
access-control: 192.168.5.0/24 allow
username: unbound
directory: "/etc/unbound"
logfile: "/var/log/unbound.log"
use-syslog: no
hide-version: yes
so-rcvbuf: 4m
so-sndbuf: 4m
do-ip4: yes
do-ip6: no
do-udp: yes
do-tcp: yes
Además, cree un archivo de registro y asigne permisos para escribir registros con los comandos:
$ sudo touch /var/log/unbound.log
$ sudo chown unbound:unbound /var/log/unbound.log
Reinicie el servicio Unbound y cargue la configuración:
$ sudo service unbound restart
Use el siguiente comando para habilitar el servicio:
$ sudo service unbound enable
Verifique si el servicio independiente se está ejecutando o no usando el comando:
$ sudo service unbound status
Ejecute el siguiente comando para comprobar en qué puerto está escuchando Unbound:
$ sudo netstat -anlpt | grep LIST
El resultado mostrará que el servicio Unbound está escuchando en el puerto 53 para aceptar las solicitudes.
Términos del archivo de configuración del servicio sin vincular
- puerto:puerto de escucha para Unbound.
- hide-version:no muestra la versión de Unbound.
- use-syslog:especifique si desea escribir registros en syslog.
- nombre de usuario:Usuario, bajo el cual se ejecuta el desvinculado.
- verbosidad:nivel de registro que varía de 0 a 4 y 4 es el nivel de registro de depuración.
- interfaz:interfaces en las que se escucharán las solicitudes independientes.
- interfaz saliente:Interfaz a través de la cual llega Internet.
- num-threads:número de subprocesos, recomendado para especificar el mismo número de núcleos de procesador.
¿Cómo abrir el puerto DNS en el firewall?
Una vez que se crea el archivo de configuración, debe abrir un puerto DNS para permitir que sus clientes LAN locales se conecten a su servidor DNS de caché Unbound solamente:
$ sudo ufw allow from any to any port 53 proto tcp
$ sudo ufw allow from any to any port 53 proto udp
Para verificar la regla de firewall, ejecute el siguiente comando:
$ sudo ufw status
Ahora hemos llegado al punto final para probar nuestro nuevo servidor DNS Unbound. Para probar podemos usar el comando dig que viene con el paquete bind-utils instalado previamente. Realice algunas consultas DNS en el servidor DNS real. Aquí, hemos consultado kernel.org para realizar pruebas:
$ dig kernel.org @localhost
El tiempo de respuesta es de 4 mseg en la primera consulta.
Dado que hemos configurado el servidor DNS independiente, la consulta ahora se almacena en caché.
Para verificar el caché de dns, ejecute la siguiente consulta con el mismo nombre de dominio:
$ dig kernel.org @localhost
Ahora puede encontrar que el tiempo de consulta es 0 mseg.
Si desea probar la configuración del servidor DNS independiente desde los clientes LAN, consulte la respuesta DNS que apunta a la IP del servidor DNS independiente. (En nuestro caso, la IP del servidor DNS independiente es 192.168.178.100):
$ dig kernel.org @192.168.178.100
¿Cómo optimizar Unbound?
La configuración predeterminada de Unbound funciona bien para usuarios limitados, pero en caso de que haya una gran cantidad de usuarios a los que se les brinde el servicio, es necesario realizar ciertas optimizaciones.
Estas son algunas opciones de optimización que puede implementar para obtener un alto rendimiento:
- num-threads:coloque la misma cantidad de núcleos de CPU en el sistema, por ejemplo, coloque el valor 4 para 2 CPU con 2 núcleos cada una.
- so-reuseport:sí En Linux, esto ayuda a mejorar el rendimiento de UDP.
- rango de salida:puede establecer el valor lo más grande posible dependiendo de la cantidad de núcleos.
- so-sndbuf:este valor se puede establecer en un valor mayor de 4m u 8m para un servidor ocupado.
- Para obtener más detalles, puede consultar https://nlnetlabs.nl/documentation/unbound/howto-optimise/.