DNS Çözümleyici (Resolver) Modu

Çözümleyici modunda (varsayılan) DNS Çözümleyicisi, istemciler tarafından gönderilen sorgulara yanıt aramak için doğrudan kök DNS sunucuları ve diğer yetkili sunucularla iletişim kurar. Bu, eksik veya yanlış yerel DNS yapılandırması olan kullanıcıların genellikle karşılaştığı sorunları ortadan kaldırır çünkü çalışmak için yönlendirme DNS sunucularına ihtiyaç duymaz. Çözümleyici modu ayrıca DNS sonuçlarını daha güvenilir ve doğrulanabilir hale getiren Alan Adı Sistemi Güvenlik Uzantıları'nın (DNSSEC) kullanımını da sağlar.

Not

Bazı ISS'ler bu tür DNS sorgularını engeller veya oranlarını sınırlar ve bunun yerine kullanıcıların yönlendiricilerle iletişim kurmasını tercih eder. Çözümleyici modu çalışmıyorsa yönlendirme modunu kullanın.

Bu mod önceden bilinemeyen sunucularla iletişim kurduğu için, giden bağlantılar yapmak için güvenlik duvarındaki varsayılan rotayı kullanmalıdır. Bu, birden fazla WAN ile en iyi çözüm olmayabilir, ancak varsayılan ağ geçidi için devralma yapılandırması gibi bu sınırlamayı aşmanın yolları vardır. Arayüz ve DNS Yapılandırması'na bakın.

 

 

pfSense DNS Resolver'i Ayarla

pfSense DNS Resolversünü ayarlamak için Hizmetler >> DNS Resolver'ye gitmemiz gerekir. DNS Resolversüyle kullanılabilen seçeneklerden bazıları şunlardır:
pfSense DNS Resolversündeki Seçenekler

1. Enable: Etkinleştirmek için bu seçeneğin yanındaki kutuyu işaretlememiz gerekir. Ve işaretini kaldırmak hizmeti devre dışı bırakacaktır.

2. Listen Port: DNS Resolversü bu TCP ve UDP bağlantı noktasındaki istemci isteklerini dinleyecektir. Varsayılan olarak 53 olacaktır.

3. Enable SSL/TLS Service: DNS Resolversünü DNS over TLS sunucusu gibi davranacak ve DNS over TLS istemcilerinden gelen sorguları yanıtlayacak şekilde yapılandırır.

4. SSL/TLS Certificate: SSL/TLS sunucusu olarak çalışırken kullanılacak sunucu sertifikası budur.

5. SSL/TLS Listen Port: DNS Resolversünün DNS over TLS istemci sorgularını dinleyeceği TCP ve UDP bağlantı noktaları. Bu varsayılan olarak 853 numaralı bağlantı noktasıdır.

6. Network Interfaces: Resolver, istemci isteklerini dinlerken bu ağ arabirimlerine bağlanacaktır.

7. Outgoing Network Interfaces: Güvenlik duvarının diğer DNS sunucularına sorgu göndermek için kullanacağı arabirimleri belirtir.

8. System Domain Local Zone Type: Bu seçenek, sistem etki alanı için unbound'da yapılandırılan bölge türünü belirtir.

9. DNSSEC: İstemcilerin Etki Alanı Adı Sistem Güvenlik Uzantılarını (DNSSEC) etkinleştirerek DNS yanıtlarının kökenine ve içeriğine güvenmesini sağlar. Varsayılan olarak etkindir.

10. Python Module: DNS Resolver Python modülü etkindir. Bu işlevsellik, sorgular veya sonuçlar üzerinde işlem yapmak için bir Python betiği kullanır.

11. DNS Query Forwarding: DNS Resolvernün modunu denetler.

12. DHCP Registration: Dahili DHCP istemci makine adlarının DNS Resolver'de kaydedilip kaydedilmeyeceğini denetler.

13. Static DHCP: Bu seçenek, DHCP kiralamalarını DNS Resolversüne kaydet seçeneğine benzer, ancak DHCP statik eşleme adreslerini kaydeder.

14. OpenVPN Client: Bu ayar, OpenVPN istemci adlarının DNS Resolversüne kaydedilip kaydedilmeyeceğini belirler.

15. Custom Options: GUI'nin yerel olarak desteklemediği ek bağımsız yönergeler için bir metin alanı.

Enable / Etkinleştir:

DNS Çözücüsünün etkin olup olmadığını kontrol eder. DNS Çözücü hizmetini etkinleştirmek için kutuyu işaretleyin, hizmeti devre dışı bırakmak için işaretini kaldırın.

İki DNS hizmeti aynı anda aynı bağlantı noktalarında etkin olamaz. Buna DNS Çözücü, DNS Yönlendirici ve BIND paketi dahildir, ancak bunlarla sınırlı değildir. DNS Çözücüsünü etkinleştirmeye çalışmadan önce diğer hizmetlerin devre dışı bırakıldığından veya farklı bağlantı noktalarına taşındığından emin olun.

Listen Port: Dinleme Bağlantı Noktası:

DNS Çözücüsünün istemcilerden gelen sorguları dinleyeceği TCP ve UDP bağlantı noktası. Varsayılan olarak bu bağlantı noktası 53'tür. Bu, istemcilerin beklediği bağlantı noktası olduğu için herhangi bir DNS sunucusu için normal bağlantı noktasıdır.

Bazı kullanım durumları, DNS Çözücüsünü 5353 veya 54 gibi başka bir Dinleme Bağlantı Noktasına taşımayı içerebilir ve ardından belirli kaynaklar bağlantı noktası yönlendirmeleri aracılığıyla oraya yönlendirilebilir.

Enable SSL/TLS Service: SSL/TLS Hizmetini Etkinleştir:

DNS Çözücüsünü, DNS over TLS istemcilerinden gelen sorguları yanıtlayabilen bir DNS over TLS sunucusu gibi davranacak şekilde yapılandırır.

Not

Bu seçeneği etkinleştirmek otomatik arayüz yanıt yönlendirme davranışını devre dışı bırakır, bu nedenle belirli arayüz bağlamalarıyla en iyi şekilde çalışır.

SSL/TLS Certificate: SSL/TLS Sertifikası:

SSL/TLS sunucusu olarak hareket ederken kullanılacak sunucu sertifikası.

İstemcilerin sunucuyu düzgün bir şekilde doğrulaması için bu sertifikaya güvenmeleri gerekir. Bunu kolayca başarmanın bir yolu ACME paketi tarafından oluşturulan bir sertifika kullanmaktır.

SSL/TLS Listen Port:SSL/TLS Dinleme Bağlantı Noktası:

DNS Çözücüsünün DNS over TLS istemcilerinden gelen sorguları dinleyeceği TCP ve UDP bağlantı noktası. Varsayılan olarak bu bağlantı noktası 853'tür.

Network Interfaces: Ağ Arabirimleri:

DNS Çözücüsünün istemcilerden gelen sorguları dinlerken bağlanacağı ağ arabirimi(leri).

Varsayılan olarak DNS Çözücüsü her kullanılabilir arabirimi ve IPv4 ve IPv6 adresini dinler. Bu seçenek, DNS Çözücüsünün sorguları kabul edeceği ve yanıtlayacağı arabirimleri sınırlar. Bu, güvenlik duvarı kurallarına ek olarak güvenliği artırmak için kullanılabilir.

Belirli arayüzler seçilirse, bu arayüzlerdeki hem IPv4 hem de IPv6 adresleri sorguları yanıtlamak için kullanılır. Ek olarak, bağlanmamış daemon yalnızca seçili arayüzlere bağlanır. Güvenlik duvarındaki diğer IP adreslerine gönderilen sorgular sessizce atılır.

Outgoing Network Interfaces: Giden Ağ Arayüzleri:

Güvenlik duvarının kendi sorgularını diğer DNS sunucularına gönderirken hangi arayüzleri kullanacağını kontrol eder.

Varsayılan olarak DNS Çözücü, giden sorgular için tüm arayüzleri kullanır, böylece sorguyu yönlendirme açısından hedef sunucuya en yakın olan arayüzden ve IP adresinden alır. Belirli arayüzleri seçmek, seçenekleri yalnızca sorgu kaynağı olarak kullanılabilecek belirli arayüzlerle sınırlar.

System Domain Local Zone Type:Sistem Etki Alanı Yerel Bölge Türü:

Bu seçenek, sistem etki alanı için bağlanmamış olarak yapılandırılan yerel bölge türünü belirler. Bölge türü, Ana Bilgisayar Geçersiz Kılma, DHCP ana bilgisayarları vb. gibi yerel verilerde eşleşme olmadığında istemcilere verilen yanıt türünü yönetir. Her durumda, yerel bir eşleşme varsa, sorgu normal şekilde yanıtlanır. Eşleşmeyen yanıtları yönetmek için kullanılabilen türler şunlardır:

Deny: Reddet:

Sorguyu bırakır ve istemciye yanıt vermez.

Refuse: Reddet:

İstemciye sorgunun reddedildiğini bildirir (rcode REFUSED kullanılarak).

Static: Statik:

İstemciye bir NODATA veya NXDOMAIN yanıtı döndürür.

Transparent: Şeffaf:

Bu varsayılan davranıştır. Sorgu yerel olarak mevcut olmayan bir ad içinse, her zamanki gibi çözümlenir. Adın yerel bir eşleşmesi varsa ancak tür farklıysa, istemciye bir NOERROR, NODATA yanıtı gönderilir.

Type Transparent:Şeffaf Tür:

Şeffaf'a benzer ancak adın eşleştiği ancak türün eşleşmediği sorguları da geçirir. Örneğin, bir istemci bir AAAA kaydı için sorgu yaparsa ancak yalnızca bir A kaydı varsa, olumsuz bir yanıtla sonuçlanmak yerine AAAA sorgusu iletilir.

Redirect:Yönlendir:

Yerel verilerden gelen sorguları işler ve yerel bölgenin altındaki bölgeler (ör. alt etki alanları) için sorguları yönlendirir. Bu, belirtilen etki alanı altındaki tüm alt etki alanları için sorguları kontrol etmek için kullanılabilir.

Inform:Bilgilendir:

Normal şekilde yanıtlar, ancak istemci sorgusunu günlüğe kaydeder.

Inform Deny: Bilgilendir Reddet:

Sorguyu reddeder ve günlüğe kaydeder.

No default:Varsayılan yok:

Sorgu davranışını etkilemeden bölge için herhangi bir varsayılan içeriği devre dışı bırakır.

 

DNSSEC:

İstemcilerin DNS yanıtlarının kökenine ve içeriğine güvenmesine olanak tanıyan Etki Alanı Adı Sistemi Güvenlik Uzantılarını (DNSSEC) etkinleştirir. Bu varsayılan olarak etkindir.

DNSSEC, DNS önbelleği zehirlenmesi veya diğer sorgu müdahalesi gibi DNS yanıtlarının manipülasyonuna karşı koruma sağlar, ancak yanıtların içeriğini gizli hale getirmez.

DNSSEC, yönlendirme sunucuları DNSSEC'yi desteklemediği sürece, kök sunucuları doğrudan kullanırken en iyi şekilde çalışır. Yönlendirme DNS sunucuları DNSSEC'yi desteklese bile, yanıt tam olarak doğrulanamaz.

Yukarı akış DNS sunucuları DNSSEC'yi yönlendirme modunda veya etki alanı geçersiz kılmalarıyla desteklemiyorsa, DNS sorgularının yukarı akışta kesildiği biliniyorsa veya istemciler büyük DNS yanıtlarıyla ilgili sorunlar yaşıyorsa, DNSSEC'nin devre dışı bırakılması gerekebilir.

Python Module: Python Modülü:

DNS Çözücü Python modülünü etkinleştirir. Bu özellik, sorgular veya sonuçlar üzerinde işlem yapmak için bir Python betiği kullanır. Örneğin, bir betik belirli etki alanlarının veya kayıt türü kombinasyonlarının çözümlenmesini önleyebilir.

Python Module Order: Python Modül Sırası:

Python modülünün DNS çözümleme sürecindeki konumunu kontrol eder. DNSSEC devre dışı bırakılırsa, bu seçeneğin bir etkisi olmaz.

Pre Validator: Ön Doğrulayıcı:

Betik, DNSSEC doğrulamasından önce çalıştırılır.

Post Validator: Son Doğrulayıcı:

Betik, DNSSEC doğrulamasından sonra çalıştırılır.

Python Module Script:Python Modül Betiği:

Çalıştırılacak Python betiği dosyası. Betik, /var/unbound/ dizinindeki güvenlik duvarına yüklenmelidir. Dosya adı .py ile bitmelidir.

 

DNS Query Forwarding: DNS Sorgu Yönlendirme:

Bağlantısızın çözümleyici modunu (işaretlenmemiş) veya yönlendirme modunu (işaretlenmiş) kullanıp kullanmadığını kontrol eder. Modların açıklaması için DNS Çözümleyici Moduna bakın.

Varsayılan, çözümleyici modudur (işaretlenmemiş).

İşaretlendiğinde, bağlantısız, kök sunucuları doğrudan kullanmak yerine Sistem > Genel Kurulum'dan sistem DNS Sunucularını veya dinamik bir WAN'dan alınanları kullanır.

Giden sorgular için DNS over TLS'yi kullanırken veya en iyi çoklu WAN yapılandırmaları için olduğu gibi belirli durumlarda yönlendirme modu gerekir veya bu modla daha iyi çalışır.

Use SSL/TLS for outgoing DNS Queries to Forwarding Servers: Giden DNS Sorgularını Yönlendirme Sunucularına SSL/TLS kullanarak gönderin:

Varsayılan 853 bağlantı noktasında SSL/TLS kullanarak tüm yukarı akış yönlendirme DNS sunucularına sorgular gönderir. DNS Sorgu Yönlendirmesinin işaretlenmesini gerektirir.

Ayrıntılı talimatlar için DNS over TLS'yi Yapılandırmaya bakın.

Uyarı

Tüm yukarı akış yönlendirme sunucuları, 853 numaralı bağlantı noktasında SSL/TLS sorgularını desteklemelidir.

DHCP Registration: DHCP Kaydı:

DHCP istemcileri için dahili makine adlarının DNS Çözücüsünde kayıtlı olup olmadığını kontrol eder. Sistem > Genel Kurulum'daki etki alanı adı, ana bilgisayarlarda etki alanı adı olarak kullanılır.

Bu özellik, DNS Çözücüsünü DNS sunucusu olarak kullanan sistemlerin bu adları DNS kullanarak çözmesine olanak tanır.

Not

Bu, yalnızca DHCP isteklerinde bir ana bilgisayar adı belirten istemciler için çalışır.

Uyarı

DNS Çözücü, DHCP kiralama verilerinden öğrendiği ana bilgisayar adlarını güncellerken yeniden yüklenir. Çok sayıda DHCP istemcisinin bulunduğu yoğun ağlarda, bu, bağlantısız yeniden yüklemeler olarak geçici DNS kesintilerine neden olabilir. Çoğu durumda bu, yalnızca DNS Çözücüsünde yükü artıran veya yeniden yüklemeyi normalden daha uzun süren eklenti paketleri kullanıldığında bir faktördür.

Static DHCP: Statik DHCP:

Bu, DHCP kiralamalarını DNS çözücüsünde Kaydet ile aynı şekilde çalışır, ancak DHCP statik eşleme adreslerini kaydeder.

OpenVPN Client: OpenVPN İstemcisi:

OpenVPN istemci adlarının DNS Çözücüsünde kayıtlı olup olmadığını kontrol eder.

Bu seçenek ayarlanırsa, bağlı OpenVPN istemcilerinin ortak adı (CN), VPN içindeki istemci adresiyle birlikte DNS Çözücüsünde kaydedilir. Sistem > Genel Kurulum'daki etki alanı, bu girişlerde etki alanı adı olarak kullanılır.

Not

Bu seçenek, bir OpenVPN sunucusunun Uzaktan Erişim SSL/TLS modunda veya Kullanıcı Adı Ortak Ad olarak etkinken Kullanıcı Kimlik Doğrulama modunda çalışmasını gerektirir.

Custom Options: Özel Seçenekler:

GUI tarafından doğrudan desteklenmeyen gelişmiş bağımsız yönergeler için bir metin alanı.

İpucu

Özel seçenekler girildikten sonra bağımsız doğru şekilde başlamazsa, özel seçenekler metin alanının en üstündeki bir satıra server: ekleyin.

 

 

Host Overrides Ana Bilgisayar Geçersiz Kılmalar¶

DNS Çözümleyici yapılandırmasının Ana Bilgisayar Geçersiz Kılmalar bölümünde özel DNS girişleri oluşturulabilir.

Ana bilgisayar geçersiz kılmaları yeni kayıtları tanımlar veya mevcut kayıtları geçersiz kılar, böylece yerel istemciler yukarı akış DNS sunucularından gelen yanıtlar yerine yapılandırılmış yanıtları alır.

Bu, bölünmüş DNS yapılandırmaları (bkz. Bölünmüş DNS) ve belirli belirli web sitelerine erişimi engellemenin yarı etkili bir yolu olarak yararlıdır.

Uyarı

Sitelere erişimi engellemenin tek yolu olarak DNS geçersiz kılma işlevini kullanmayın.

DNS üzerinden engelleme, yerel istemcilerin tek DNS kaynağı olarak güvenlik duvarını kullanmasını gerektirir. İstemcilerin DNS yanıtlarını güvenlik duvarından almasını sağlama önerileri için İstemci DNS İsteklerini Yönlendirme ve Harici İstemci DNS Sorgularını Engelleme bölümüne bakın. Teknik olmayan kullanıcıları durduracaktır, ancak daha teknik yeteneğe sahip olanlar için bunu aşmak kolaydır.

Aynı ana bilgisayar adı için birden fazla kayıt tanımlanabilir ve sonuçta tüm IP adresleri döndürülür. Bu, tek bir ana bilgisayar adı için hem IPv4 (A) hem de IPv6 (AAAA) sonucu sağlamak için kullanılabilir.

Host: Ana Bilgisayar:

Bu alan, DNS geçersiz kılma kaydının ana bilgisayar adı bölümünü tanımlar (etki alanı olmadan), örn. www.

Bu, etki alanının kendisi için bir geçersiz kılma kaydı oluşturmak için boş bırakılabilir, @ kaydına benzer.

Domain: Etki Alanı:

DNS geçersiz kılma kaydının etki alanı adı bölümünü tanımlar, örn. example.com.

Bu alan zorunludur.

IP Address: IP Adresi:

Bu girdinin DNS araması için sonuç olarak döndürülecek IP adresi (IPv4 veya IPv6). Tek bir adres veya birden fazla adresin virgülle ayrılmış listesi olabilir.

Description: Açıklama:

Bu girdiyi tanımlamak veya hakkında daha fazla bilgi vermek için kullanılan bir metin açıklaması.

Additional Names for This Host:Bu Ana Bilgisayar İçin Ek Adlar:

Aynı IP adresi için ek ana bilgisayar adlarını tanımlayarak bunları tek bir geçersiz kılma girişinde tutar.

 

Domain Overrides Alan Adı Geçersiz Kılmalar

Alan adı geçersiz kılmaları DNS Çözücü yapılandırmasının en altında bulunur. Bu girdiler belirli bir alandaki ana bilgisayarları çözümlemek için kullanılacak alternatif bir DNS sunucusu belirtir.

Alan adı geçersiz kılmalarının yaygın bir kullanımı, VPN üzerinden erişilebilen ana sitedeki bir DNS sunucusunu kullanarak uzak sitelerdeki dahili DNS alan adlarını çözümlemektir. Bu tür ortamlarda, tüm DNS sorguları genellikle DNS üzerinde merkezi denetim için merkezi sitede çözümlenir, ancak bazı kuruluşlar İnternet DNS'inin her sitede yerel bir önbellek çözücüsü ile çözümlenmesine izin vermeyi ve yalnızca dahili alan adları için sorguları merkezi DNS sunucusuna iletmeyi tercih eder (ör. Bölünmüş DNS için).

Not

Bunun IPsec üzerinden çalışması için statik bir rota gerekebilir. Daha fazla bilgi için IPsec Üzerinden Güvenlik Duvarı Hizmetlerine Erişim bölümüne bakın.

Bu, belirli web sitelerine erişimi engellemenin yarı etkili bir yolu olarak da kullanılabilir.

Uyarı

Sitelere erişimi engellemenin tek yolu olarak DNS geçersiz kılma işlevini kullanmayın.

DNS üzerinden engelleme, yerel istemcilerin tek DNS kaynağı olarak güvenlik duvarını kullanmasını gerektirir. İstemci DNS İsteklerini Yönlendirme ve Harici İstemci DNS Sorgularını Engelleme bölümüne bakın ve istemcilerin DNS yanıtlarını güvenlik duvarından almasını sağlama konusunda öneriler alın. Teknik olmayan kullanıcıları durduracaktır ancak daha teknik yeteneğe sahip olanlar için atlatması kolaydır.

Alan Adı:

Bu girdi kullanılarak çözülecek alan adı.

Bunun geçerli bir TLD olması gerekmez, herhangi bir şey olabilir (ör. yerel, test, laboratuvar) veya gerçek bir alan adı (example.com) olabilir.
IP Adresi:

Alan Adı'ndaki ana bilgisayar adları için sorguların gönderildiği DNS sunucusunun IP Adresini belirtir. Hedef DNS sunucusu 53'ten farklı bir bağlantı noktasında çalışıyorsa, IP adresinden sonra değerleri ayıran bir @ işaretiyle bağlantı noktası numarasını ekleyin, örneğin: 192.0.2.3@5353
TLS Sorguları:

Bu alan adına giden tüm sorguların bu sunucuya SSL/TLS kullanılarak gönderilip gönderilmeyeceğini kontrol eder. TLS Ana Bilgisayar Adı:

SSL/TLS sunucu sertifikasını doğrulamak için kullanılan isteğe bağlı bir ana bilgisayar adı.
Açıklama:

Bu girişi tanımlamak veya hakkında daha fazla bilgi vermek için kullanılan bir metin açıklaması.

 

DNS Resolver Advanced Options DNS Çözücü Gelişmiş Seçenekleri¶

pfSense® yazılımı, DNS Çözücü'de (Unbound) bulunan daha yaygın gelişmiş seçeneklerden bazılarını yapılandırmak için bir GUI sağlar.

Ayrıca bkz.

Aşağıdaki seçenekler unbound.conf man sayfasında bulunduğu şekilde belgelenmiştir.
Gelişmiş Gizlilik Seçenekleri¶

Kimliği Gizle:

Unbound'un sunucu kimliği için sorgulara izin verip vermeyeceğini kontrol eder. Bu, ekstra gizlilik sağlar.

Ayarlandığında, Unbound id.server ve hostname.bind için sorguları reddeder.
Sürümü Gizle:

Unbound'un sunucu sürümü için sorgulara izin verip vermeyeceğini kontrol eder. Bu, ekstra gizlilik sağlar.

Ayarlandığında, Unbound version.server ve version.bind için sorguları reddeder.
Sorgu Adı Küçültme:

Unbound'un ekstra gizlilik için bir sorgu ile gönderilen veri miktarını en aza indirmeye çalışıp çalışmayacağını kontrol eder. Varsayılan olarak işaretli değildir.

Ayarlandığında, Unbound yalnızca QNAME'nin minimum gerekli etiketlerini gönderir ve mümkün olduğunda QTYPE'ı A olarak ayarlar.

Not

Bu en iyi çaba yaklaşımıdır; Unbound, bir DNSSEC imzalı bölgeden NXDOMAIN alındığında hariç, bir yukarı akış sunucusu NOERROR dışındaki bir RCODE ile yanıt verdiğinde tam QNAME'i ve orijinal QTYPE'ı gönderir.

Ayrıca bkz.

Sorgu Adı Küçültme hakkında ayrıntılı bilgi için RFC 7816'ya bakın.
Sıkı Sorgu Adı Küçültme:

Unbound'un, çok sayıda sorguyu çözmede potansiyel olarak başarısız olma pahasına daha güçlü gizlilik için Sorgu Adı Küçültme'yi sıkı bir şekilde gerçekleştirip gerçekleştirmediğini kontrol eder. Varsayılan işaretli değildir.

Ayarlandığında, tam QNAME'i ve orijinal QTYPE'ı potansiyel olarak bozuk ad sunucularına göndermeye geri dönmeyen sıkı modda QNAME küçültmeyi etkinleştirir.

Bu seçenek Sorgu Adı Küçültme gerektirir.

Uyarı

Son derece dikkatli kullanın. Bu seçenek etkinleştirildiğinde önemli sayıda etki alanı çözümlenemez.

Gelişmiş Çözücü Seçenekleri¶

Önceden Getirme Desteği:

Unbound'un önbelleği güncel tutmaya yardımcı olmak için son kullanma tarihinden önce ileti önbelleği öğelerini önceden getirip getirmeyeceğini kontrol eder.

Bu seçenek sunucuda yaklaşık %10 daha fazla DNS trafiği ve yüküne neden olabilir, ancak sık istenen öğeler önbellekten silinmez.
DNS Anahtarını Önceden Getirme Desteği:

Unbound'un bir Temsilci İmzalayıcı kaydıyla karşılaşıldığında doğrulama sürecinde daha erken DNSKEY'leri getirip getirmeyeceğini kontrol eder.

Bu, isteklerin gecikmesini azaltmaya yardımcı olur ancak biraz daha fazla CPU kullanır ve önbelleğin sıfırın üzerine ayarlanmasını gerektirir.
DNSSEC Verilerini Güçlendir:

Unbound'un güvene dayalı bölgeler için DNSSEC verilerini gerektirip gerektirmediğini kontrol eder.

İşaretlendiğinde (varsayılan), güvene dayalı bir bölge için bir yanıtta DNSSEC verileri yoksa bölge sahte olur.

İşaretlenmemişse ve Unbound DNSSEC verisi almıyorsa, Unbound bölgenin güven bağlantısı yokmuş gibi davranır; bölge güvenli olmayan olarak işaretlenir ancak veriler hala kullanılır. Bu, DNSSEC verisi almayla ilgili sorunları çözebilir ancak sonuçları olası bir düşürme saldırısına da açar.
Servis Süresi Doldu:

Unbound'un önbellek kayıtlarını 0 TTL ile sunup sunmayacağını kontrol eder.

Etkinleştirildiğinde, Unbound'un 0 TTL ile bile bir sorgu sunmasına izin verir. TTL 0 ise, önbellek sunulduğunda istemci DNS isteğine gecikme eklemeden önbelleğin güncellenmesini sağlamak için arka planda yeni bir kayıt istenir.
Eski UDP Sorgularını Bırak:

Soket tamponunda bekleyen UDP sorgularını bırakmadan önce saniye cinsinden zaman aşımı. Uzun süre bekleyen sorguların işlenmesine gerek yoktur ve bırakılabilirler. Çoğu kurulumda 3 değeri güvenli olmalıdır. Saldırgan NSEC:

Unbound'un DNSSEC NSEC zincirinin içeriğine göre olumsuz yanıtları tahmin etmeye ne kadar saldırgan bir şekilde çalıştığını kontrol eder.

Etkinleştirildiğinde, Unbound, önceki NXDOMAIN yanıtlarından gelen bilgileri kullanarak NXDOMAIN ve diğer retleri sentezlemek için DNSSEC NSEC zincirini kullanır. Bu, yüksek var olmayan ad arama oranlarına sahip hedeflere yönelik sorgu oranını azaltmaya yardımcı olur.
İleti Önbellek Boyutu:

DNS yanıt kodlarını ve doğrulama durumlarını önbelleğe almak için kullanılan bellek miktarını kontrol eder. Varsayılan değer 4 MB'dir.

Not

Kaynak kayıt kümesi (RRSet) önbelleği otomatik olarak bu miktarın iki katına ayarlanır. RRSet önbelleği gerçek kaynak kayıt verilerini içerir.
Giden TCP Arabellekleri:

İş parçacığı başına tahsis edilecek giden TCP arabelleklerinin sayısı. Varsayılan değer 10'dur.

0 olarak ayarlanırsa, TCP sorguları yetkili sunuculara gönderilmez.
Gelen TCP Arabellekleri:

İş parçacığı başına tahsis edilecek gelen TCP arabelleklerinin sayısı. Varsayılan değer 10'dur.

0 olarak ayarlanırsa, istemcilerden TCP sorguları kabul edilmez.
EDNS Arabellek Boyutu:

EDNS yeniden birleştirme arabellek boyutu olarak duyurulacak bayt boyutu sayısı. Bu değer, eşlere gönderilen UDP veri paketlerine yerleştirilir.

Varsayılan değer Otomatik'tir ve etkin arayüzlerin MTU değerlerine göre hesaplanır. Açılır listede çeşitli diğer ortak değerler sağlanır.

Otomatik mod, etkin arayüzlerin en küçük MTU'sunu kullanarak ve IPv4/IPv6 başlık boyutunu çıkararak optimum arabellek boyutunu ayarlar. Genellikle zaman aşımı olarak görülen parçalanma yeniden birleştirme sorunları oluşursa, 1432 değerini deneyin.

512, 1220 ve 1232 değerleri çoğu IPv4 ve IPv6 MTU yolu sorununu atlatır ancak aşırı miktarda TCP geri dönüşü oluşturabilir.
İş Parçacığı Başına Sorgu Sayısı:

Her Bağlanmamış iş parçacığının aynı anda hizmet vereceği sorgu sayısı. Varsayılan değer 512'dir.

Hizmet verilmesi gereken ek sorgular gelirse ve hiçbir sorgu itilerek çıkarılamazsa, yeni sorgular düşürülür
İtiş Zaman Aşımı:

Sunucu çok meşgul olduğunda kullanılan milisaniye cinsinden zaman aşımı. Bu, yavaş sorgular veya yüksek sorgu oranları nedeniyle hizmet reddi durumlarına karşı koruma sağlar. Varsayılan değer 200 milisaniyedir.

Yetkili sunuculara gidiş-dönüş süresini yaklaşık olarak belirleyen bir değere ayarlayın. Yeni sorgular geldikçe, %50'sinin çalışmasına izin verilir ve belirtilen zaman aşımından daha eskiyse %50'si yeni sorgularla değiştirilir.
RRset'ler ve Mesajlar için Maksimum TTL:

Önbellekteki RRset'ler ve mesajlar için saniye cinsinden belirtilen Maksimum Yaşam Süresi (TTL). Varsayılan değer 86400 saniyedir (1 gün).

Dahili TTL süresi dolduğunda önbellek öğesi sona erer. Bu, çözücünün daha sık veri sorgulaması yapmasını ve çok büyük TTL değerlerine güvenmemesini sağlamak için yapılandırılabilir
RRset'ler ve Mesajlar için Minimum TTL:

Önbellekteki RRset'ler ve mesajlar için saniye cinsinden belirtilen Minimum Yaşam Süresi. Varsayılan değer 0 saniyedir.

Bir kaydın TTL değeri yapılandırılmış minimum değerden düşükse, veriler alan sahibinin amaçladığından daha uzun süre önbelleğe alınabilir ve böylece verileri aramak için daha az sorgu yapılır. 0 değeri, önbellekteki verilerin alan sahibinin amaçladığından daha uzun süre tutulmamasını sağlar.

Uyarı

Yüksek değerler, önbellekteki veriler değiştiğinde gerçek verilerle eşleşmeyebileceğinden sorunlara yol açabilir.
Ana Bilgisayar Önbellek Girişleri için TTL:

Altyapı ana bilgisayar önbelleğindeki girişler için Yaşama Süresi (dakika cinsinden). Varsayılan değer 15 dakikadır.

Altyapı ana bilgisayar önbelleği, DNS sunucuları için gidiş-dönüş zamanlaması, aksaklık ve EDNS destek bilgilerini içerir.
Önbelleğe Alınacak Ana Bilgisayar Sayısı:

Bilgileri önbelleğe alınan altyapı ana bilgisayarlarının sayısı. Varsayılan değer 10.000'dir.
İstenmeyen Yanıt Eşiği:

Unbound'un her iş parçacığındaki toplam istenmeyen yanıt sayısını izleyip izlemediğini kontrol eder. Varsayılan değer devre dışıdır

Eşiğe ulaşıldığında, bir savunma eylemi gerçekleştirilir ve günlük dosyasına bir uyarı yazdırılır. Savunma eylemi, RRSet ve ileti önbelleklerini temizlemek ve umarız tüm zehirleri temizlemektir.

Etkinleştirilirse, 10 milyon değeri en iyi başlangıç değeridir. Günlük Düzeyi:

Unbound tarafından kaydedilen verilerin ayrıntı düzeyini kontrol eder. Varsayılan Düzey 1'dir.

Düzey 0:

Günlük yok, yalnızca hatalar.
Düzey 1:

Temel işletim bilgileri.
Düzey 2:

Ayrıntılı işletim bilgileri.
Düzey 3:

Sorgu düzeyi bilgileri, sorgu başına çıktı.
Düzey 4:

Algoritma düzeyi bilgileri.
Düzey 5:

Önbellek ıskalamaları için istemci kimliğini günlüğe kaydeder.

Otomatik Eklenen Erişim Kontrolünü Devre Dışı Bırak:

Unbound'un otomatik erişim kontrol girişlerini kullanıp kullanmayacağını kontrol eder. Varsayılan işaretli değildir.

Otomatik erişim kontrol girişleri, bu güvenlik duvarının dahili arayüzlerinde bulunan IPv4 ve IPv6 ağlarından ve VPN'ler için kullanılan belirli bilinen alt ağlardan gelen sorgulara izin verir.

İşaretlendiğinde, sorgulara izin verilen ağlar Erişim Listeleri sekmesinde manuel olarak yapılandırılmalıdır. Otomatik Eklenen Ana Bilgisayar Girişlerini Devre Dışı Bırak:

Unbound'un bu güvenlik duvarının birincil IPv4 ve IPv6 adreslerini Sistem > Genel Kurulum'da yapılandırıldığı gibi sistem etki alanı için kayıt olarak kaydedip kaydetmeyeceğini kontrol eder.

İşaretlendiğinde, bu otomatik girişler yapılandırmadan çıkarılır.
Deneysel Bit 0x20 Desteği:

Sahtecilik girişimlerini engellemek için DNS sorgusunda 0x20 kodlu rastgele bitler kullanın. Daha fazla bilgi için uygulama taslağı dns-0x20'ye bakın:
DNS64 Desteği:

Unbound'un DNS64 (RFC 6147) desteğini etkinleştirip etkinleştirmediğini kontrol eder.

DNS64, yalnızca IPv6 istemcisi ile yalnızca IPv4 sunucuları arasında istemci-sunucu iletişimini etkinleştirmek için bir IPv6/IPv4 çeviricisiyle kullanılır.

 

DNS Resolver Access Lists DNS Çözücü Erişim Listeleri

Unbound, hangi istemcilerin sorgu göndermesine izin verileceğini kontrol etmek için erişim listeleri (ACL'ler) gerektirir. Varsayılan olarak, bu güvenlik duvarının dahili arayüzlerinde bulunan IPv4 ve IPv6 ağlarına izin verilir. Ek ağlara manuel olarak izin verilmelidir.

Not

Otomatik ACL'ler, Gelişmiş Ayarlar sekmesindeki Otomatik Eklenen Erişim Kontrolünü Devre Dışı Bırak seçeneği kullanılarak devre dışı bırakılabilir.

DNS Çözücü için erişim listelerini yönetmek için Hizmetler > DNS Çözücü, Erişim Listeleri sekmesine gidin. Bu sayfada yeni girişler eklemenin yanı sıra mevcut girişleri düzenleme veya silme denetimleri bulunur.

Bir giriş eklerken veya düzenlerken, aşağıdaki seçenekler kullanılabilir:

Erişim Listesi Adı:

Erişim listesi yapılandırma dosyasında yorum olarak görünen erişim listesi adı.
Eylem:

Unbound'un bu erişim listesinde bulunan ağlar için sorguları nasıl işleyeceğini kontrol eder.

Reddet:

Yapılandırılmış ağlardaki istemcilerden gelen sorguları durdurur
Reddet:

Yapılandırılmış ağlardaki istemcilerden gelen sorguları durdurur ve REDDEDİLDİ yanıt kodunu geri gönderir
İzin Ver:

Yapılandırılmış ağlardaki istemcilerden gelen sorgulara izin verir
Snoop'a İzin Ver:

Yapılandırılmış ağlardaki istemcilerden gelen yinelemeli ve yinelemeli olmayan sorgulara izin verir, önbellek dinleme için kullanılır ve genellikle yalnızca yönetim ana bilgisayarlarında yapılandırılır.
Yerel Olmayanı Reddet:

Bu ACL'deki ağ içindeki ana bilgisayarlardan yalnızca yetkili yerel veri sorgularına izin ver. Sınırsız, izin verilmeyen iletileri bırakacaktır.
Yerel Olmayanı Reddet:

Bu ACL'deki ağ içindeki ana bilgisayarlardan yalnızca yetkili yerel veri sorgularına izin ver. Sınırsız, izin verilmeyen iletiler için REDDEDİLDİ yanıt kodunu geri gönderir.

Açıklama:

Bu girdiyle ilgili referans notları için daha uzun bir metin alanı.
Ağlar:

Bu erişim listesi girdisi tarafından yönetilen IPv4 veya IPv6 ağlarının listesi.

CLI Komutları CLI Commands

Unbound, DNS Önbellek sunucusunu yönetmek için çeşitli komut satırı yardımcı programları sağlar. Aşağıdaki kontrol komutları şu anda webGUI'de mevcut değildir ancak komut satırından çalıştırılabilir.

Not

Unbound varsayılan conf dosyası konumunu kullanmaz; Unbound'a yapılandırma dosyası konumunu söylemek için -c bayrağını kullanın:

unbound-control -c /var/unbound/unbound.conf <unbound-command-to-run>

<name> öğesini önbellekten kaldırın, A, AAAA, NS SOA, CNAME, DNAME, MX, PTR, SRV ve NAPTR kayıtlarını içeren tüm kayıt türleri:

unbound-control -c /var/unbound/unbound.conf flush <name>

<type> öğesinin belirli bir kayıt türü olduğu önbellekten <name> ve <type> öğesini kaldırın:

unbound-control -c /var/unbound/unbound.conf flush_type <name> <type>

<name> öğesinde veya altındaki tüm bilgileri önbellekten kaldırın. Örneğin, .com, .com öğesinin altındaki tüm girdileri kaldıracaktır. Bu işlemin yavaş olduğunu unutmayın çünkü tüm önbellek incelenmelidir:

unbound-control -c /var/unbound/unbound.conf flush_zone <name>

Unbound'u yeniden yükleyin ve tüm önbelleği temizleyin:

unbound-control -c /var/unbound/unbound.conf reload

Unbound'un bir bölgeyi aramak için Sorgulayacağı ad sunucularını belirleyin:

unbound-control -c /var/unbound/unbound.conf lookup <name>

Kaynak

• https://bobcares.com/blog/pfsense-dns-resolver/
• https://docs.netgate.com/pfsense/en/latest/services/dns/resolver-modes.html