運維分享之Dnsmasq進階技巧

導讀許多人熟知并熱愛 Dnsmasq，并在他們的本地域名服務上使用它。今天我們將介紹進階配置文件管理、如何測試你的配置、一些基礎的安全知識、DNS 泛域名、快速 DNS 配置，以及其他一些技巧與竅門。下個星期我們將繼續詳細講解如何配置 DNS 和 DHCP。

測試配置

館陶網站制作公司哪家好，找創新互聯！從網頁設計、網站建設、微信開發、APP開發、響應式網站開發等網站項目制作，到程序開發，運營維護。創新互聯從2013年成立到現在10年的時間，我們擁有了豐富的建站經驗和運維經驗，來保證我們的工作的順利進行。專注于網站建設就選創新互聯。

當你測試新的配置的時候，你應該從命令行運行 Dnsmasq，而不是使用守護進程。下面的例子演示了如何不用守護進程運行它，同時顯示指令的輸出并保留運行日志：

# dnsmasq --no-daemon --log-queries dnsmasq: started, version 2.75 cachesize 150 dnsmasq: compile time options: IPv6 GNU-getopt DBus i18n IDN DHCP DHCPv6 no-Lua TFTP conntrack ipset auth DNSSEC loop-detect inotify dnsmasq: reading /etc/resolv.conf dnsmasq: using nameserver 192.168.0.1#53 dnsmasq: read /etc/hosts - 9 addresses

在這個小例子中你能看到許多有用的信息，包括版本、編譯參數、系統名字服務文件，以及它的監聽地址。可以使用 Ctrl+C 停止進程。在默認情況下，Dnsmasq 沒有自己的日志文件，所以日志會被記錄到 /var/log 目錄下的多個地方。你可以使用經典的 grep 來找到 Dnsmasq 的日志文件。下面這條指令會遞歸式地搜索 /var/log，在每個匹配的文件名之后顯示匹配的行號，并忽略 /var/log/dist-upgrade 里的內容：

# grep -ir --exclude-dir=dist-upgrade dnsmasq /var/log/

使用 grep --exclude-dir= 時有一個有趣的小陷阱需要注意：不要使用完整路徑，而應該只寫目錄名稱。

你可以使用如下的命令行參數來讓 Dnsmasq 使用你指定的文件作為它專屬的日志文件：

# dnsmasq --no-daemon --log-queries --log-facility=/var/log/dnsmasq.log

或者在你的 Dnsmasq 配置文件中加上 log-facility=/var/log/dnsmasq.log。

配置文件

Dnsmasq 的配置文件位于 /etc/dnsmasq.conf。你的Linux發行版也可能會使用 /etc/default/dnsmasq、/etc/dnsmasq.d/，或者 /etc/dnsmasq.d-available/（不，我們不能統一標準，因為這違反了 Linux 七嘴八舌秘密議會Linux Cat Herd Ruling Cabal的旨意）。你有很多自由來隨意安置你的配置文件。

/etc/dnsmasq.conf 是德高望重的老大。Dnsmasq 在啟動時會最先讀取它。/etc/dnsmasq.conf 可以使用 conf-file= 選項來調用其他的配置文件，例如 conf-file=/etc/dnsmasqextrastuff.conf，或使用 conf-dir= 選項來調用目錄下的所有文件，例如 conf-dir=/etc/dnsmasq.d。

每當你對配置文件進行了修改，你都必須重啟 Dnsmasq。

你也可以根據擴展名來包含或忽略配置文件。星號表示包含，不加星號表示排除：

conf-dir=/etc/dnsmasq.d/, *.conf, *.foo conf-dir=/etc/dnsmasq.d, .old, .bak, .tmp

你可以用 --addn-hosts= 選項來把你的主機配置分布在多個文件中。

Dnsmasq 包含了一個語法檢查器：

$ dnsmasq --test dnsmasq: syntax check OK.

實用配置

永遠加入這幾行：

domain-needed bogus-priv

它們可以避免含有格式出錯的域名或私有 IP 地址的數據包離開你的網絡。讓你的名字服務只使用 Dnsmasq，而不去使用 /etc/resolv.conf 或任何其他的名字服務文件： no-resolv 使用其他的域名服務器。第一個例子是只對于某一個域名使用不同的域名服務器。第二個和第三個例子是 OpenDNS 公用服務器：

server=/fooxample.com/192.168.0.1 server=208.67.222.222 server=208.67.220.220

你也可以將某些域名限制為只能本地解析，但不影響其他域名。這些被限制的域名只能從 /etc/hosts 或 DHCP 解析：

local=/mehxample.com/ local=/fooxample.com/

限制 Dnsmasq 監聽的網絡接口：

interface=eth0 interface=wlan1

Dnsmasq 在默認設置下會讀取并使用 /etc/hosts。這是一個又快又好的配置大量域名的方法，并且 /etc/hosts 只需要和 Dnsmasq 在同一臺電腦上。你還可以讓這個過程再快一些，可以在 /etc/hosts 文件中只寫主機名，然后用 Dnsmasq 來添加域名。/etc/hosts 看上去是這樣的：

127.0.0.1 localhost 192.168.0.1 host2 192.168.0.2 host3 192.168.0.3 host4

然后把下面這幾行寫入 dnsmasq.conf（當然，要換成你自己的域名）：

expand-hosts domain=mehxample.com

Dnsmasq 會自動把這些主機名擴展為完整的域名，比如 host2 會變為 host2.mehxample.com。

DNS 泛域名

一般來說，使用 DNS 泛域名不是一個好習慣，因為它們太容易被誤用了。但它們有時會很有用，比如在你的局域網的嚴密保護之下的時候。一個例子是使用 DNS 泛域名會讓 Kubernetes 集群變得容易管理許多，除非你喜歡給你成百上千的應用寫 DNS 記錄。假設你的 Kubernetes 域名是 mehxample.com，那么下面這行配置可以讓 Dnsmasq 解析所有對 mehxample.com 的請求：

address=/mehxample.com/192.168.0.5

這里使用的地址是你的集群的公網 IP 地址。這會響應對 mehxample.com 的所有主機名和子域名的請求，除非請求的目標地址已經在 DHCP 或者 /etc/hosts 中配置過。下星期我們將探索更多的管理 DNS 和 DHCP 的細節，包括對不同的子網絡使用不同的設置，以及提供權威域名服務器。

作者：CARLA SCHRODER 譯者：yixunx 校對：wxy

本文由LCTT原創翻譯，Linux中國榮譽推出

原文來自：https://www.linuxprobe.com/share-dnsmasq-skill.html

當前題目：運維分享之Dnsmasq進階技巧
轉載來源：http://vcdvsql.cn/article24/chchje.html

成都網站建設公司_創新互聯，為您提供虛擬主機、做網站、建站公司、響應式網站、App設計、網站維護