O Unbound é um servidor DNS recursivo com caching e validação muito segura, primariamente desenvolvido por NLnet Labs, VeriSign Inc, Nominet, e Kirei. O software é distribuído gratuitamente sobre a licença BSD. Os binários são escritos com foco em alta segurança, código C enxuto e com a mente sempre pensando que o Unbound está sobre ataque ou os servidores remotos estão sempre tentando passar informações maliciosas.
No passo-a-passo a seguir iremos instalar ele inclusive já com o DNSSEC ativo; trazendo ainda mais segurança para seus clientes, evitando, por exemplo, o risco de Phishing. Basta copiar os comandos e colar no terminal, logado como root.
1. Instalar/atualizar o Ports do BSD
Para instalar o Ports pela primeira vez:
Baixa as dependências:
3. Instalando
Depois do comando abaixo é só relaxar, deve durar poucos minutos.
Baixa os arquivos de configuração e a lista atualizada dos servidores DNS raiz:
No BSD 10 há uma pequena diferença na implementação, já que o parâmetro --no-verify-peer é obrigatório:
Substitua, na linha 21 do arquivo unbound.conf, o endereço ip do Mikrotik pelo seu e, opcionalmente, a faixa de ip dos clientes - autorizando estes ips acessarem diretamente o DNS. Exemplo, caso seus clientes estejam usando o ip do gateway/mikrotik como dns, não precisa colocar a faixa dos clientes! Veja o exemplo abaixo:
5. Ativando
DICA: Edite o arquivo /etc/resolv.conf e deixe-o assim (no servidor do Unbound):
Isso fará com que também localmente o servidor resolva suas consultas DNS usando o Servidor DNS Local (Unbound)
6. Usando
Agora basta mudar os DNS do seu Mikrotik para apenas o ip do Unbound/Thunder. Lembre de limpar o cache do Mikrotik (/ip dns cache flush). Aqui é interessante combinar um Netwatch para alterar os DNS quando necessário.
Execute o comando abaixo no terminal do FreeBSD e procure pela flag "ad" no início.
Pra testar como cliente, abra algum dos sites abaixo:
http://dnssectest.sidn.nl/test.php (sóbrio)
http://test.dnssec-or-not.org/ (engraçado)
No passo-a-passo a seguir iremos instalar ele inclusive já com o DNSSEC ativo; trazendo ainda mais segurança para seus clientes, evitando, por exemplo, o risco de Phishing. Basta copiar os comandos e colar no terminal, logado como root.
1. Instalar/atualizar o Ports do BSD
Para instalar o Ports pela primeira vez:
- Código:
portsnap fetch extract
- Código:
portsnap fetch update
Baixa as dependências:
- Código:
cd /usr/ports/dns/unbound; make rmconfig-recursive; make fetch-recursive
- Código:
pkg_delete -f pkg-config-0.25_1; make config-recursive
Nas outras telas de configuração basta teclar ENTER e usaremos o padrão.ATENÇÃO: a primeira tela de configuração é a do Unbound (confira no título da janela), nela vamos marcar uma nova opção chamada LIBEVENT.
3. Instalando
Depois do comando abaixo é só relaxar, deve durar poucos minutos.
- Código:
make install clean
Baixa os arquivos de configuração e a lista atualizada dos servidores DNS raiz:
- Código:
cd /usr/local/etc/unbound
fetch -o unbound.conf http://ubuntuone.com/1Bvf4S7nUpKMrGlCNVGyYz
fetch -o root.key http://ubuntuone.com/59dYHtXj8qcJSNLpjEEE6L
fetch ftp://FTP.INTERNIC.NET/domain/named.cache
No BSD 10 há uma pequena diferença na implementação, já que o parâmetro --no-verify-peer é obrigatório:
- Código:
cd /usr/local/etc/unbound
fetch --no-verify-peer -o unbound.conf http://is.gd/A5Q4vB
fetch --no-verify-peer -o root.key http://is.gd/v9WrJy
fetch http://www.internic.net/domain/named.cache
Substitua, na linha 21 do arquivo unbound.conf, o endereço ip do Mikrotik pelo seu e, opcionalmente, a faixa de ip dos clientes - autorizando estes ips acessarem diretamente o DNS. Exemplo, caso seus clientes estejam usando o ip do gateway/mikrotik como dns, não precisa colocar a faixa dos clientes! Veja o exemplo abaixo:
- Código:
# ip do Mikrotik
access-control: 10.255.255.1 allow
# faixa de ip dos clientes (opcional), descomente a linha abaixo
# access-control: 10.0.0.0/10 allow
# access-control: 192.168.2.0/24 allow
5. Ativando
- Código:
chmod +w /etc/rc.conf
echo 'unbound_enable="YES"' >> /etc/rc.conf
service unbound start
chmod -w /etc/rc.conf
DICA: Edite o arquivo /etc/resolv.conf e deixe-o assim (no servidor do Unbound):
- Código:
nameserver 127.0.0.1
Isso fará com que também localmente o servidor resolva suas consultas DNS usando o Servidor DNS Local (Unbound)
6. Usando
Agora basta mudar os DNS do seu Mikrotik para apenas o ip do Unbound/Thunder. Lembre de limpar o cache do Mikrotik (/ip dns cache flush). Aqui é interessante combinar um Netwatch para alterar os DNS quando necessário.
7. Testando o DNSSECDICA: recomendo o Giga DNS (189.38.95.95 e 189.38.95.96) como excelente alternativa para os DNS, já que é Nacional e tem bom desempenho.
Execute o comando abaixo no terminal do FreeBSD e procure pela flag "ad" no início.
- Código:
dig com. SOA +dnssec
Pra testar como cliente, abra algum dos sites abaixo:
http://dnssectest.sidn.nl/test.php (sóbrio)
http://test.dnssec-or-not.org/ (engraçado)
Última edição por damao.tecnico em Seg 14 Jul - 21:16, editado 12 vez(es)