Unbound to lekki, szybki i bezpieczny serwer DNS z funkcją cachowania.
Dzięki lokalnemu resolverowi przyspieszysz zapytania DNS systemu
i zredukujesz ruch sieciowy. Ten poradnik krok-po-kroku pokaże,
jak uruchomić Unbound na Ubuntu 22.04 — niezależnie od tego,
czy pracujesz na
serwerze VPS,
serwerze dedykowanym
czy elastycznym VPS Linux
NetCloud24.
1 · Wymagania wstępne
- Ubuntu 22.04 LTS 64-bit.
- Użytkownik z uprawnieniami
sudo. - Port
53UDP/TCP wolny na interfejsie lo (localhost).
W produkcji najlepiej uruchomić resolver na
serwerze VPS lub serwerze dedykowanym
z niskim opóźnieniem sieciowym. Oferta VPS Linux
NetCloud24 zapewni szybkie NVMe, snapshoty i skalowanie RAM,
co zwiększy wydajność cache DNS.
2 · Instalacja Unbound i aktualizacja systemu
sudo apt update && sudo apt upgrade -y
sudo apt install -y unboundPo instalacji Unbound tworzy usługę systemd i domyślną konfigurację.
3 · Konfiguracja podstawowa
Utwórz własny plik w /etc/unbound/unbound.conf.d/:
sudo nano /etc/unbound/unbound.conf.d/local.confserver:
verbosity: 1
interface: 127.0.0.1 # nasłuch tylko na localhost
port: 53
do-ip4: yes
do-ip6: no # wyłącz IPv6, jeśli nieużywane
do-tcp: yes
prefetch: yes # inteligentne odświeżanie cache
cache-max-ttl: 86400
cache-min-ttl: 60
hide-identity: yes
hide-version: yes
forward-zone:
name: "."
forward-tls-upstream: yes
forward-addr: 1.1.1.1@853#cloudflare-dns.com
forward-addr: 9.9.9.9@853#dns.quad9.netKonfiguracja przekazuje zapytania do Cloudflare i Quad9 po DoT (443/853),
a Unbound przechowuje odpowiedzi w local cache.
4 · Weryfikacja i uruchomienie
sudo unbound-checkconf
sudo systemctl restart unbound
sudo systemctl status unboundJeśli status to active (running), konfiguracja jest poprawna.
5 · Integracja z systemd-resolved (opcjonalna)
sudo sed -i 's/^DNS=.*/DNS=127.0.0.1/' /etc/systemd/resolved.conf
sudo sed -i 's/^#?DNSStubListener=.*/DNSStubListener=no/' /etc/systemd/resolved.conf
sudo systemctl restart systemd-resolvedZmiana przekierowuje wszystkie zapytania systemowe przez Unbound,
a port 53 na 127.0.0.53 zostaje zwolniony.
6 · Test wydajności i prywatności
dig @127.0.0.1 example.com +nocookie +noedns
dig @127.0.0.1 example.com +nocookie +noedns | grep "Query time"Drugie zapytanie powinno zwrócić „Query time: 0 msec”
— oznacza to, że domena pochodzi z cache.
7 · Tuning zaawansowany
msg-cache-sizeirrset-cache-sizezwiększ do 128-256 MiB przy dużym ruchu.prefetch-key: yesaktywuje pre-validację DNSSEC.- Zmień
do-ip6nayes, jeśli używasz IPv6 w swoim serwerze VPS.
8 · Podsumowanie
Twój lokalny resolver DNS działa — zapytania są szybsze, a ruch wychodzący szyfrowany.
Na VPS Linux,
serwerze VPS lub
serwerze dedykowanym
NetCloud24 możesz łatwo dodać load-balancing i backupy snapshotowe,
by zapewnić wysoką dostępność DNS.
Potrzebujesz pomocy przy hardeningu, DNSSEC lub monitoringu resolvera?
Sprawdź moje usługi DevOps na
bodziony.net.pl
.