dnsmasq详解及配置
0x00 nsmasq简介
Dnsmasq 提供 DNS 缓存和 DHCP 服务功能。作为域名解析服务器(DNS),dnsmasq可以通过缓存 DNS 请求来提高对访问过的网址的连接速度。作为DHCP 服务器,dnsmasq 可以用于为局域网电脑分配内网ip地址和提供路由。DNS和DHCP两个功能可以同时或分别单独实现。dnsmasq轻量且易配置,适用于个人用户或少于50台主机的网络。此外它还自带了一个 PXE 服务器。
0x01 Dnsmasq的主要作用
(1)将Dnsmasq作为本地DNS服务器使用,直接修改电脑的本地DNS的IP地址即可。
(2)应对ISP的DNS劫持(反DNS劫持),输入一个不存在的域名,正常的情况下浏览器是显示无法连接,DNS劫持会跳转到一个广告页面。先随便nslookup 一个不存在的域名,看看ISP商劫持的IP地址。
(3)智能DNS加快解析速度,打开/etc/dnsmasq.conf文件,server=后面可以添加指定的DNS,例如国内外不同的网站使用不同的DNS。
国内指定DNS
server=/cn/114.114.114.114
server=/taobao.com/114.114.114.114
server=/taobaocdn.com/114.114.114.114
国外指定DNS
server=/google.com/223.5.5.5
(4)屏蔽网页广告,将指广告的URL指定127这个IP,就可以将网页上讨厌的广告给去掉了。
address=/ad.youku.com/127.0.0.1
address=/ad.iqiyi.com/127.0.0.1
(5)指定域名解析到特定的IP上。这个功能可以让你控制一些网站的访问,非法的DNS就经常把一些正规的网站解析到不正确IP上。
address=/freehao123.com/123.123.123.123
(6)管理控制内网DNS,首先将局域网中的所有的设备的本地DNS设置为已经安装Dnsmasq的服务器IP地址。然后修改已经安装Dnsmasq的服务器Hosts文件:/etc/hosts,指定域名到特定的IP中。
例如想让局域网中的所有用户访问www.freehao123.com时跳转到192.168.0.2,添加:192.168.0.2 www.freehao123.com在Hosts文件中既可,整个过程也可以说是“DNS劫持”。
0x02 dnsmasq的解析流程
dnsmasq先去解析hosts文件, 再去解析/etc/dnsmasq.d/下的*.conf文件,并且这些文件的优先级要高于dnsmasq.conf,我们自定义的resolv.dnsmasq.conf中的DNS也被称为上游DNS,这是最后去查询解析的;
如果不想用hosts文件做解析,我们可以在/etc/dnsmasq.conf中加入no-hosts这条语句,这样的话就直接查询上游DNS了,如果我们不想做上游查询,就是不想做正常的解析,我们可以加入no-reslov这条语句。
0x03 dnsmasq的参数及常用设置说明
编辑 dnsmasq 的配置文件 /etc/dnsmasq.conf 。这个文件包含大量的选项注释。
1.dnsmasq经常修改的比较重要参数说明
col 1 | col 2 |
---|---|
具体参数 | 参数说明 |
resolv-file | 定义dnsmasq从哪里获取上游DNS服务器的地址, 默认从/etc/resolv.conf获取。 |
strict-order | 表示严格按照resolv-file文件中的顺序从上到下进行DNS解析,直到第一个解析成功为止。 |
listen-address | 定义dnsmasq监听的地址,默认是监控本机的所有网卡上。 |
address | 启用泛域名解析,即自定义解析a记录,例如:address=/long.com/192.168.115.10 访问long.com时的所有域名都会被解析成192.168.115.10 |
bogus-nxdomain | 对于任何被解析到此 IP 的域名,将响应 NXDOMAIN 使其解析失效,可以多次指定 |
通常用于对于访问不存在的域名,禁止其跳转到运营商的广告站点
server | 指定使用哪个DNS服务器进行解析,对于不同的网站可以使用不同的域名对应解析。
例如:server=/google.com/8.8.8.8 #表示对于google的服务,使用谷歌的DNS解析。
2.查看配置文件语法是否正确,可执行下列命令
[root@localhost ~]# dnsmasq --test
dnsmasq: syntax check OK.
3.DNS 缓存设置
要在单台电脑上以守护进程方式启动dnsmasq做DNS缓存服务器,编辑/etc/dnsmasq.conf,添加监听地址:
listen-address=127.0.0.1
如果用此主机为局域网提供默认 DNS,请用为该主机绑定固定 IP 地址,设置:
listen-address=192.168.x.x
这种情况建议配置静态IP
多个ip地址设置:
listen-address=127.0.0.1,192.168.x.x
4.三个以上域名服务器
Linux 处理 DNS 请求时有个限制,在 resolv.conf 中最多只能配置三个域名服务器(nameserver)。作为一种变通方法,可以在 resolv.conf 文件中只保留 localhost 作为域名服务器,然后为外部域名服务器另外创建 resolv-file 文件。首先,为 dnsmasq 新建一个域名解析文件:
[root@localhost ~]# vim /etc/resolv.dnsmasq.conf
# Google's nameservers, for example
nameserver 8.8.8.8
nameserver 8.8.4.4
然后编辑 /etc/dnsmasq.conf 让 dnsmasq 使用新创建的域名解析文件:
[root@localhost ~]# vim /etc/dnsmasq.conf
...
resolv-file=/etc/resolv.dnsmasq.conf
5.使用dhcpcd
dhcpcd 可以是通过创建(或编辑)/etc/resolv.conf.head文件或 /etc/resolv.conf.tail文件来指定dns服务器,使/etc/resolv.conf不会被每次都被dhcpcd重写
echo "nameserver 127.0.0.1" > /etc/resolv.conf.head 设置dns服务器为127.0.0.1
6.使用dhclient
要使用 dhclient, 取消 /etc/dhclient.conf 文件中如下行的注释:
prepend domain-name-servers 127.0.0.1;
7.使用NetworkManager
NetworkManager 可以靠自身配置文件的设置项启动 dnsmasq 。在 NetworkManager.conf 文件的 [main] 节段添加 dns=dnsmasq 配置语句,然后禁用由 systemd 启动的 dnsmasq.service:
[root@localhost ~]# vim /etc/NetworkManager/NetworkManager.conf
[main]
plugins=keyfile
dns=dnsmasq
可以在 /etc/NetworkManager/dnsmasq.d/ 目录下为 dnsmasq 创建自定义配置文件。例如,调整 DNS 缓存大小(保存在内存中):
[root@localhost ~]# vim /etc/NetworkManager/dnsmasq.d/cache
cache-size=1000
dnsmasq 被 NetworkManager 启动后,此目录下配置文件中的配置将取代默认配置。
IPv6
启用 dnsmasq 在 NetworkManager 可能会中断仅持IPv6的DNS查询 (例如 dig -6 [hostname]) 否则将工作。 为了解决这个问题,创建以下文件将配置 dnsmasq 总是监听IPv6的loopback:
[root@localhost ~]# vim /etc/NetworkManager/dnsmasq.d/ipv6_listen.conf
listen-address=::1
此外, dnsmasq不优先考虑上游IPv6的DNS。不幸的是NetworkManager已不这样做 (Ubuntu Bug)。 一种解决方法是将禁用IPv4 DNS的NetworkManager的配置,假设存在。
其他方式
另一种选择是在NetworkManagers“设置(通常通过右键单击小程序)和手动输入设置。设置将取决于前端中使用的类型;这个过程通常涉及右击小程序,编辑(或创建)一个配置文件,然后选择DHCP类型为“自动(指定地址)。”DNS地址将需要输入,通常以这种形式:127.0.0.1, DNS-server-one, ....
8.DHCP 服务器设置
dnsmasq默认关闭DHCP功能,如果该主机需要为局域网中的其他设备提供IP和路由,应该对dnsmasq 配置文件(/etc/dnsmasq.conf)必要的配置如下:
[root@localhost ~]# vim /etc/dnsmasq.conf
# Only listen to routers' LAN NIC. Doing so opens up tcp/udp port 53 to
# localhost and udp port 67 to world:
interface=
# dnsmasq will open tcp/udp port 53 and udp port 67 to world to help with
# dynamic interfaces (assigning dynamic ips). Dnsmasq will discard world
# requests to them, but the paranoid might like to close them and let the
# kernel handle them:
bind-interfaces
# Dynamic range of IPs to make available to LAN pc
dhcp-range=192.168.111.50,192.168.111.100,12h
# If you’d like to have dnsmasq assign static IPs, bind the LAN computer's
# NIC MAC address:
dhcp-host=aa:bb:cc:dd:ee:ff,192.168.111.50
查看租约
[root@localhost ~]# cat /var/lib/misc/dnsmasq.leases
9.添加自定义域
它可以将一个自定义域添加到主机中的(本地)网络:
local=/home.lan/
domain=home.lan
10.启动守护进程
设置为开机启动:
[root@localhost ~]# systemctl enable dnsmasq
立即启动 dnsmashq:
[root@localhost ~]# systemctl start dnsnsmasq
需要重启网络服务以使 DHCP 客户端重建一个新的 /etc/resolv.conf
查看dnsmasq是否启动正常,查看系统日志:
[root@localhost ~]# journalctl -u d
0x04 dnsmasq 的配置文件 /etc/dnsmasq.conf详解
# 不加载本地的 /etc/hosts 文件
#no-hosts
# 添加读取额外的 hosts 文件路径,可以多次指定。如果指定为目录,则读取目录中的所有文件。
#addn-hosts=/etc/dnsmasq.hosts.d
# 读取目录中的所有文件,文件更新将自动读取
#hostsdir=/etc/dnsmasq.hosts.d
# 例如,/etc/hosts中的os01将扩展成os01.example.com
#expand-hosts
##############################################################################
# 缓存时间设置,一般不需要设置
# 本地 hosts 文件的缓存时间,通常不要求缓存本地,这样更改hosts文件后就即时生效。
#local-ttl=3600
# 同 local-ttl 仅影响 DHCP 租约
#dhcp-ttl=
# 对于上游返回的值没有ttl时,dnsmasq给一个默认的ttl,一般不需要设置,
#neg-ttl=
# 指定返回给客户端的ttl时间,一般不需要设置
#max-ttl=
# 设置在缓存中的条目的最大 TTL。
#max-cache-ttl=
# 不需要设置,除非你知道你在做什么。
#min-cache-ttl=
# 一般不需要设置
#auth-ttl=
##############################################################################
# 记录dns查询日志,如果指定 log-queries=extra 那么在每行开始处都有额外的日志信息。
#log-queries
# 设置日志记录器,'-' 为 stderr,也可以是文件路径。默认为:DAEMON,调试时使用 LOCAL0。
#log-facility=
#log-facility=/var/log/dnsmasq/dnsmasq.log
# 异步log,缓解阻塞,提高性能。默认为5,最大100。
#log-async[=
#log-async=50
##############################################################################
# 指定用户和组
#user=nobody
#group=nobody
##############################################################################
# 指定DNS的端口,默认53,设置 port=0 将完全禁用 DNS 功能,仅使用 DHCP/TFTP
#port=53
# 指定 EDNS.0 UDP 包的最大尺寸,默认为 RFC5625 推荐的 edns-packet-max=4096
#edns-packet-max=
# 指定向上游查询的 UDP 端口,默认是随机端口,指定后降低安全性、加快速度、减少资源消耗。
# 设置为 '0' 由操作系统分配。
#query-port=53535
# 指定向上游查询的 UDP 端口范围,方便防火墙设置。
#min-port= #max-port= # 指定接口,指定后同时附加 lo 接口,可以使用'*'通配符。 # 不能使用接口别名(例如:"eth1:0"),请用 listen-address 选项替代。 #interface=wlp2s0 # 指定排除的接口,排除优先级高,可以使用'*'通配符 #except-interface= # 仅接受同一子网的 DNS 请求。 # 仅在未指定 interface、except-interface、listen-address 或者 auth-server 时有效。 #local-service # 指定不提供 DHCP 或 TFTP 服务的接口,仅提供 DNS 服务。 #no-dhcp-interface=enp3s0 # 指定IP地址,可以多次指定。 # interface 选项和 listen-address 选项可以同时使用。 # 下面两行与指定 interface 选项的作用类似。 listen-address=192.168.10.17 #listen-address=127.0.0.1 # 通常情况下即使设置了 interface 选项(例如:interface=wlp2s0 ) # 将仍然绑定到通配符地址(例如:*:53 )。 # 开启此项将仅监听指定的接口。 # 适用于在同一主机的不同接口或 IP 地址上运行多个 dns 服务器。 bind-interfaces # 对于新添加的接口不进行绑定。仅 Linux 系统支持,其他系统等同于 bind-interfaces 选项。 #bind-dynamic ############################################################################## # 如果 hosts 中的主机有多个 IP 地址,仅返回对应子网的 IP 地址。 localise-queries # 如果反向查找的是私有地址例如192.168.X.X,仅从 hosts 文件查找,不再转发到上游服务器 #bogus-priv # 对于任何被解析到此 IP 的域名,将响应 NXDOMAIN 使其解析失效,可以多次指定 # 通常用于对于访问不存在的域名,禁止其跳转到运营商的广告站点。 #bogus-nxdomain=64.94.110.11 # 忽略包含指定地址的 A 记录查询的回复。 # 例如上游有台 dns 服务器伪造 www.baidu.com 的 IP 为 1.1.1.1 并且响应速度非常快。 # 指定 ignore-address=1.1.1.1 可以忽略它的响应信息, # 从而等待 www.baidu.com 正确的查询结果。 #ignore-address= filterwin2k ############################################################################## # 指定 resolv-file 文件路径,默认/etc/resolv.conf #resolv-file=/etc/resolv.conf # 不读取 resolv-file 来确定上游服务器 #no-resolv # 在编译时需要启用 DBus 支持。 #enable-dbus[= # 严格按照resolv.conf中的顺序进行查找 #strict-order # 向所有上游服务器发送查询,而不是一个。 all-servers # 启用转发循环检测 #dns-loop-detect ############################################################################## # 这项安全设置是拒绝解析包含私有 IP 地址的域名, # 这些IP地址包括如下私有地址范围:10.0.0.0/8、172.16.0.0/12、192.168.0.0/16。 # 其初衷是要防止类似上游DNS服务器故意将某些域名解析成特定私有内网IP而劫持用户这样的安全***。 # 直接在配置文件中注销 stop-dns-rebind 配置项从而禁用该功能。 # 这个方法确实可以一劳永逸的解决解析内网 IP 地址的问题, # 但是我们也失去了这项安全保护的特性,所以在这里我不推荐这个办法。 # 使用 rebind-domain-ok 进行特定配置,顾名思义该配置项可以有选择的忽略域名的 rebind 行为 stop-dns-rebind rebind-localhost-ok #rebind-domain-ok=[ rebind-domain-ok=/.test.com/ ############################################################################## # 也不要检测 /etc/resolv.conf 的变化 #no-poll # 重启后清空缓存 clear-on-reload # 完整的域名才向上游服务器查找,如果仅仅是主机名仅查找hosts文件 domain-needed ############################################################################## # IP地址转换 #alias=[ ############################################################################## #local=[/[ #server=[/[ server=/test.com/192.168.10.117 server=/10.168.192.in-addr.arpa/192.168.10.117 #rev-server= # 将任何属于 # 也就是将 # 一次只能指定一个 IPv4 或者 IPv6 地址,要同时返回 IPv4 和IPv6 地址,请多次指定 address= 选项。 # 注意: /etc/hosts 以及 DHCP 租约将覆盖此项设置。 #address=/ #ipset=/ #mx-host= #mx-target= # SRV 记录 #srv-host=<_service>.<_prot>.[ # A, AAAA 和 PTR 记录 #host-record= # TXT 记录 #txt-record= # PTR 记录 #ptr-record= #naptr-record= # CNAME 别名记录 #cname= #dns-rr= #interface-name= #synth-domain= < address range>[, #add-mac[=base64|text] #add-cpe-id= #add-subnet[[=[ ############################################################################## ############################################################################## # 缓存条数,默认为150条,cache-size=0 禁用缓存。 cache-size=1000 # 不缓存未知域名缓存,默认情况下dnsmasq缓存未知域名并直接返回为客户端。 no-negcache # 指定DNS同属查询转发数量 dns-forward-max=1000 ############################################################################## #dnssec #trust-anchor=[ #dnssec-check-unsigned #dnssec-no-timecheck #dnssec-timestamp= #proxy-dnssec #dnssec-debug ############################################################################## #auth-server= #auth-zone= #auth-zone= #auth-soa= #auth-sec-servers= #auth-peer= # 启用连接跟踪,读取 Linux 入栈 DNS 查询请求的连接跟踪标记, # 并且将上游返回的响应信息设置同样的标记。 # 用于带宽控制和防火墙部署。 # 此选项必须在编译时启用 conntrack 支持,并且内核正确配置并加载 conntrack。 # 此选项不能与 query-port 同时使用。 #conntrack ############################################################################## # # DHCP 选项 # ############################################################################## # 设置 DHCP 地址池,同时启用 DHCP 功能。 # IPv4 # 需用 dhcp-host 手动分配地址池中的 IP 地址。 # 当 #dhcp-range=[tag: #dhcp-range=172.16.0.2,172.16.0.250,255.255.255.0,1h #dhcp-range=192.168.10.150,192.168.10.180,static,255.255.255.0,1h # 根据 MAC 地址或 id 固定分配客户端的 IP 地址、主机名、租期。 # IPv4 下指定 id:* 将忽略 DHCP 客户端的 ID ,仅根据 MAC 来进行 IP 地址分配。 # 在读取 /etc/hosts 的情况,也可以根据 /etc/hosts 中的主机名分配对应 IP 地址。 # 指定 ignore 将忽略指定客户端得 DHCP 请求。 #dhcp-host=[ #dhcp-hostsfile= #dhcp-hostsdir= # 读取 /etc/ethers 文件 与使用 dhcp-host 的作用相同。IPv6 无效。 #read-ethers # 指定给 DHCP 客户端的选项信息, # 默认情况下 dnsmasq 将发送:子网掩码、广播地址、DNS 服务器地址、网关地址、域等信息。 # 指定此选项也可覆盖这些默认值并且设置其他选项值。 # 重要:可以使用 option: # # dnsmasq --help dhcp 以及 dnsmasq --help dhcp6 查看,这点很重要。 # 例如设置网关参数,既可以使用 dhcp-option=3,192.168.4.4 也可以使用 dhcp-option = option:router,192.168.4.4。 # 0.0.0.0 意味着当前运行 dnsmasq 的主机地址。 # 如果指定了多个 tag: # [encap: #dhcp-option=[tag: #dhcp-option-force=[tag: #dhcp-optsfile= #dhcp-optsdir= #dhcp-option=3,1.2.3.4 #dhcp-option=option:router,1.2.3.4 #dhcp-option=option:router,192.168.10.254 #dhcp-option=option:dns-server,192.168.10.254,221.12.1.227,221.12.33.227 ############################################################################## # (IPv4 only) 禁用重用服务器名称和文件字段作为额外的 dhcp-option 选项。 # 一般情况下 dnsmasq 从 dhcp-boot 移出启动服务器和文件信息到 dhcp-option 选项中。 # 这使得在 dhcp-option 选项封包中有额外的选项空间可用,但是会使老的客户端混淆。 # 此选项将强制使用简单并安全的方式来避免此类情况。可以认为是一个兼容性选项。 #dhcp-no-override ############################################################################## # 配置 DHCP 中继。 # # 所有在 # 可以多次配置此选项,使用同一个 # # 如果是 DHCPv6, # 在这种情况下必须指定接口 # #dhcp-relay= ############################################################################## # 设置标签 #dhcp-vendorclass=set: #dhcp-userclass=set: #dhcp-mac=set: #dhcp-circuitid=set: #dhcp-remoteid=set: #dhcp-subscrid=set: #dhcp-match=set: #tag-if=set: #dhcp-proxy[= ############################################################################## # 不分配匹配这些 tag: #dhcp-ignore=tag: #dhcp-ignore-names[=tag: #dhcp-generate-names=tag: # IPv4 only 使用广播与匹配 tag: #dhcp-broadcast[=tag: ############################################################################## # IPv4 only 设置 DHCP 服务器返回的 BOOTP 选项, # # 如果未设置服务器名称将设为空,服务器地址设为 dnsmasq 的 IP 地址。 # 如果指定了多个 tag: # 如果指定 #dhcp-boot=[tag: # 根据不同的类型使用不同的选项。 # 使用示例: # dhcp-match=set:EFI_x86-64,option:client-arch,9 # dhcp-boot=tag:EFI_x86-64,uefi/grubx64.efi # #dhcp-match=set:EFI_Xscale,option:client-arch,8 # #dhcp-boot=tag:EFI_Xscale,uefi/grubx64.efi # #dhcp-match=set:EFI_BC,option:client-arch,7 # #dhcp-boot=tag:EFI_BC,uefi/grubx64.efi # #dhcp-match=set:EFI_IA32,option:client-arch,6 # #dhcp-boot=tag:EFI_IA32,uefi/grubx64.efi # #dhcp-match=set:Intel_Lean_Client,option:client-arch,5 # #dhcp-boot=tag:Intel_Lean_Client,uefi/grubx64.efi # #dhcp-match=set:Arc_x86,option:client-arch,4 # #dhcp-boot=tag:Arc_x86,uefi/grubx64.efi # #dhcp-match=set:DEC_Alpha,option:client-arch,3 # #dhcp-boot=tag:DEC_Alpha,uefi/grubx64.efi # #dhcp-match=set:EFI_Itanium,option:client-arch,2 # #dhcp-boot=tag:EFI_Itanium,uefi/grubx64.efi # #dhcp-match=set:NEC/PC98,option:client-arch,1 # #dhcp-boot=tag:NEC/PC98,uefi/grubx64.efi # dhcp-match=set:Intel_x86PC,option:client-arch,0 # dhcp-boot=tag:Intel_x86PC,pxelinux.0 ############################################################################## # DHCP 使用客户端的 MAC 地址的哈希值为客户端分配 IP 地址, # 通常情况下即使客户端使自己的租约到期,客户端的 IP 地址仍将长期保持稳定。 # 在默认模式下,IP 地址是随机分配的。 # 启用 dhcp-sequential-ip 选项将按顺序分配 IP 地址。 # 在顺序分配模式下,客户端使租约到期更像是仅仅移动一下 IP 地址。 # 在通常情况下不建议使用这种方式。 #dhcp-sequential-ip ############################################################################## # 多数情况下我们使用 PXE,只是简单的允许 PXE 客户端获取 IP 地址, # 然后 PXE 客户端下载 dhcp-boot 选项指定的文件并执行,也就是 BOOTP 的方式。 # 然而在有适当配置的 DHCP 服务器支持的情况下,PXE 系统能够实现更复杂的功能。 # pxe-service 选项可指定 PXE 环境的启动菜单。 # 为不同的类型系统设定不同的启动菜单,并且覆盖 dhcp-boot 选项。 # # IA32_EFI, X86-64_EFI, Xscale_EFI, BC_EFI, ARM32_EFI 和 ARM64_EFI,其他类型可能为一个整数。 # # 注意:"layer" 后缀 (通常是 ".0") 由 PXE 提供,也就是 PXE 客户端默认在文件名附加 .0 后缀。 # 示例:pxe-service=x86PC, "Install Linux", pxelinux (读取 pxelinux.0 文件并执行) # pxe-service=x86PC, "Install Linux", pxelinux, 1.2.3.4(不适用于老的PXE) # # 或者 # 示例:pxe-service=x86PC, "Install windows from RIS server", 1 # pxe-service=x86PC, "Install windows from RIS server", 1, 1.2.3.4 # 未指定 # 示例:pxe-service=x86PC, "Boot from local disk" # pxe-service=x86PC, "Boot from local disk", 0 # 如果指定 #pxe-service=[tag: # 在 PXE 启动后弹出提示, # 如果未指定此选项,在有多个启动选项的情况下等待用户选择,不会超时。 #pxe-prompt=[tag: # 根据不同的类型使用不同的菜单,使用示例: # #pxe-prompt="What system shall I netboot?", 120 # # or with timeout before first available action is taken: # pxe-prompt="Press F8 or Enter key for menu.", 60 # pxe-service=x86PC, "Now in x86PC (BIOS mode), boot from local", 0 # pxe-service=x86PC, "Now in x86PC (BIOS mode)", pxelinux # pxe-service=PC98, "Now in PC98 mode", PC98 # pxe-service=IA64_EFI, "Now in IA64_EFI mode", IA64_EFI # pxe-service=Alpha, "Now in Alpha mode", Alpha # pxe-service=Arc_x86, "Now in Arc_x86 mode", Arc_x86 # pxe-service=Intel_Lean_Client, "Now in Intel_Lean_Client mode", Intel_Lean_Client # pxe-service=IA32_EFI, "Now in IA32_EFI mode", IA32_EFI # pxe-service=X86-64_EFI, "Now in X86-64_EFI (UEFI mode), boot from local", 0 # pxe-service=X86-64_EFI, "Now in X86-64_EFI (UEFI mode)", grub/grub-x86_64.efi # pxe-service=Xscale_EFI, "Now in Xscale_EFI mode", Xscale_EFI # pxe-service=BC_EFI, "Now in BC_EFI mode", BC_EFI # # CentOS7 系统不支持下列两个选项 # #pxe-service=ARM32_EFI,"Now in ARM32_EFI mode",ARM32_EFI # #pxe-service=ARM64_EFI,"Now in ARM64_EFI mode",ARM64_EFI ############################################################################## # 默认为150,即最多分配150个ip地址出去,最大1000个ip #dhcp-lease-max=150 # (IPv4 only) 指定DHCP端口,默认为67和68。如果不指定则为1067和1068,单指定一个,第二个加1 #dhcp-alternate-port[= # 谨慎使用此选项,避免 IP 地址浪费。(IPv4 only) 允许动态分配 IP 地址给 BOOTP 客户端。 # 注意:BOOTP 客户端获取的 IP 地址是永久的,将无法再次分配给其他客户端。 #bootp-dynamic[= # 谨慎使用此选项。 # 默认情况下 DHCP 服务器使用 ping 的方式进行确保 IP 未被使用的情况下将 IP 地址分配出去。 # 启用此选项将不使用 ping 进行确认。 #no-ping ############################################################################## # 记录额外的 dhcp 日志,记录所有发送给 DHCP 客户端的选项(option)以及标签(tag)信息 #log-dhcp # 禁止记录日常操作日志,错误日志仍然记录。启用 log-dhcp 将覆盖下列选项。 #quiet-dhcp #quiet-dhcp6 #quiet-ra # 修改 DHCP 默认租约文件路径,默认情况下无需修改 #dhcp-leasefile=/var/lib/dnsmasq/dnsmasq.leases # (IPv6 only) #dhcp-duid= ############################################################################## #dhcp-script= #dhcp-luascript= #dhcp-scriptuser=root #script-arp #leasefile-ro #bridge-interface= ############################################################################## # 给 DHCP 服务器指定 domain 域名信息,也可以给对应的 IP 地址池指定域名。 # 直接指定域名 # 示例:domain=thekelleys.org.uk # 子网对应的域名 # 示例:domain=wireless.thekelleys.org.uk,192.168.2.0/24 # ip范围对应的域名 # 示例:domain=reserved.thekelleys.org.uk,192.68.3.100,192.168.3.200 #domain= < address range>[,local]] # 在默认情况下 dnsmasq 插入普通的客户端主机名到 DNS 中。 # 在这种情况下主机名必须唯一,即使两个客户端具有不同的域名后缀。 # 如果第二个客户端使用了相同的主机名,DNS 查询将自动更新为第二个客户端的 IP 地址。 # 如果设置了 dhcp-fqdn 选项,普通的主机名将不再插入到 DNS 中去, # 仅允许合格的具有域名后缀的主机名插入到 DNS 服务器中。 # 指定此选项需同时指定不含 < address range> 地址范围的 domain 选项。 #dhcp-fqdn # 通常情况下分配 DHCP 租约后,dnsmasq 设置 FQDN 选项告诉客户端不要尝试 DDNS 更新主机名与 IP 地址。 # 这是因为 name-IP 已自动添加到 dnsmasq 的 DNS 视图中的。 # 设置此选项将允许客户端 DDNS 更新, # 在 windows 下允许客户端更新 windows AD 服务器是非常有用的。 # 参看 RFC 4702 。 #dhcp-client-update #enable-ra #ra-param= ############################################################################## # # TFTP 选项 # ############################################################################## # 对于绝大多数的配置,仅需指定 enable-tftp 和 tftp-root 选项即可。 # 是否启用内置的 tftp 服务器,可以指定多个逗号分隔的网络接口 #enable-tftp[= #enable-tftp #enable-tftp=enp3s0,lo # 指定 tftp 的根目录,也就是寻找传输文件时使用的相对路径,可以附加接口, #tftp-root= #tftp-root=/var/lib/tftpboot/ # 如果取消注释,那么即使指定的 tftp-root 无法访问,仍然启动 tftp 服务。 #tftp-no-fail # 附加客户端的 IP 地址作为文件路径。此选项仅在正确设置了 tftp-root 的情况下可用, # 示例:如果 tftp-root=/tftp,客户端为 192.168.1.15 请求 myfile.txt 文件时, # 将优先请求 /tftp/192.168.1.15/myfile.txt 文件, 其次是 /tftp/myfile.txt 文件。 # 感觉没什么用。 #tftp-unique-root # 启用安全模式,启用此选项,仅允许 tftp 进程访问属主为自己的文件。 # 不启用此选项,允许访问所有 tftp 进程属主可读取的文件。 # 如果 dnsmasq 是以 root 用户运行,tftp-secure 选项将允许访问全局可读的文件。 # 一般情况下不推荐以 root 用户运行 dnsmasq。 # 在指定了 tftp-root 的情况下并不是很重要。 #tftp-secure # 将所有文件请求转换为小写。对于 Windows 客户端来说非常有用,建议开启此项。 # 注意:dnsmasq 的 TFTP 服务器总是将文件路径中的“\”转换为“/”。 #tftp-lowercase # 允许最大的连接数,默认为 50 。 # 如果将连接数设置的很大,需注意每个进程的最大文件描述符限制,详见文档手册。 #tftp-max= #tftp-max=50 # 设置传输时的 MTU 值,建议不设置或按需设置。 # 如果设定的值大于网络接口的 MTU 值,将按照网络接口的 MTU 值自动分片传输(不推荐)。 #tftp-mtu= # 停止 tftp 服务器与客户端协商 "blocksize" 选项。启用后,防止一些古怪的客户端出问题。 #tftp-no-blocksize # 指定 tftp 的连接端口的范围,方便防火墙部署。 # tftp 侦听在 69/udp ,连接端口默认是由系统自动分配的, # 非 root 用户运行时指定的连接端口号需大于 1025 最大 65535。 #tftp-port-range= ############################################################################### #conf-dir= #conf-file=/etc/dnsmasq.more.conf conf-dir=/etc/dnsmasq.d #servers-file= 每天我们的工作和娱乐休闲都离不开电脑,经常看到电脑右下角弹出图片广告!大部分这个都是被劫持DNS商家推送过来的,看起来很讨厌。虽然很多门户网站,比如360、百度、阿里都有推出他们DNS服务,我们将本地的DNS IP地址更换成他们的,在一定程度上,可以解决我们访问网速、广告拦截的问题。但是他们会推送自己的广告业务。所以我们自己可以架设本地DNS服务器,这样用自己的DNS就不会有广告的问题。 Dnsmasq也不是仅仅这个用途,我们也可以作为局域网机器批量IP维护使用,以及局域网解决特定网址域名禁止访问。 [root@localhost ~]# yum install -y dnsmasq 这里使用的是CentOS 7.x环境,如果需要编译安装可以直接到官方网站(http://www.thekelleys.org.uk/dnsmasq/)选择版本编译。 安装完毕后,可以通过dnsmasq -v命令查看版本,有版本号出来就代表安装上了。 修改配置文件前一定要先备份 [root@localhost ~]# echo 'resolv-file=/etc/dnsmasq.d/resolv.dnsmasq.conf'>> /etc/dnsmasq.conf 表示dnsmasq 会从这个指定的文件中寻找上游dns服务器。 [root@localhost ~]# echo 'addn-hosts=/etc/dnsmasq.d/dnsmasq.hosts' >> /etc/dnsmasq.conf 添加读取额外的 hosts 文件路径,可以多次指定 [root@localhost ~]# vim /etc/dnsmasq.conf strict-order 取消这一行的注释,表示严格按照resolv.conf中的顺序进行查找 listen-address=127.0.0.1 添加监听地址这个 dnsmasq 本机自己使用有效。 listen-address=192.168.115.120 用此主机为局域网提供默认 DNS,写本机的局域网IP listen-address=127.0.0.1,192.168.115.120 多个ip地址设置 如果想允许所有的用户使用你的DNS解析服务器,把listen-address去掉即可。 [root@localhost ~]# echo 'nameserver 127.0.0.1' > /etc/resolv.conf [root@localhost ~]# cp /etc/resolv.conf /etc/dnsmasq.d/resolv.dnsmasq.conf [root@localhost ~]# echo 'nameserver 8.8.8.8' >>/etc/dnsmasq.d/resolv.dnsmasq.conf [root@localhost ~]# echo 'nameserver 192.168.115.120' >>/etc/dnsmasq.d/resolv.dnsmasq.conf [root@localhost ~]# cp /etc/hosts /etc/dnsmasq.d/dnsmasq.hosts resolv.dnsmasq.conf中设置的是真正的Nameserver,可以填写各大商家提供的免费DNS地址。 [root@localhost ~]# systemctl restart dnsmasq 重启dnsmasq服务 [root@localhost ~]# systemctl enable dnsmasq 设置成开机自启动 [root@localhost ~]# netstat -antp|grep 53 查看端口是否启动成功 [root@localhost ~]# dig www.taobao.com .........................................................省略若干 ;; Query time: 77 mse 第一次查询没有缓存,时间77 ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: 二 1月 16 13:09:32 CST 2018 ;; MSG SIZE rcvd: 120 [root@localhost ~]# dig www.taobao.com .........................................................省略若干 ;; Query time: 0 msec 第二次再次查询,时间为0 ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: 二 1月 16 13:11:39 CST 2018 ;; MSG SIZE rcvd: 123 将Dnsmasq作为本地DNS服务器使用,直接修改电脑的本地DNS的IP地址即可 输入一个不存在的域名,正常的情况下浏览器是显示无法连接,DNS劫持会跳转到一个广告页面。先随便nslookup 一个不存在的域名,看看ISP商劫持的IP地址。 接着编辑/etc/dnsmasq.conf文件,把bogus-nxdomain='劫持IP' 加入进去,后面的IP是刚刚查询到的DNS劫持IP地址。 重启dnsmasq,再尝试打开不存在的域名,这时浏览器就会显示正常的无法连接页面了。 打开/etc/dnsmasq.conf文件,server=添加指定的DNS,例如国内外不同的网站使用不同的DNS。 [root@localhost ~]# vim /etc/dnsmasq.conf 国内指定DNS server=/cn/114.114.114.114 server=/taobao.com/114.114.114.114 server=/taobaocdn.com/114.114.114.114 国外指定DNS server=/google.com/223.5.5.5 将广告的URL指定127.0.0.1这个IP,就可以将网页上讨厌的广告给去掉了。 [root@localhost ~]# vim /etc/dnsmasq.conf address=/ad.youku.com/127.0.0.1 address=/ad.iqiyi.com/127.0.0.1 这个功能可以让你控制一些网站的访问,非法的DNS就经常把一些正规的网站解析到不正确IP上。 [root@localhost ~]# vim /etc/dnsmasq.conf address=/freehao123.com/123.123.123.123 首先将局域网中的所有的设备的本地DNS设置为已经安装Dnsmasq的服务器IP地址。然后修改已经安装Dnsmasq的服务器Hosts文件:/etc/hosts,指定域名到特定的IP中。 例如:想让局域网中的所有用户访问www.abc.com时跳转到192.168.115.100,添加'192.168.115.100 www.abc.com'到Hosts文件中既可,整个过程也可以说是“DNS劫持”。0x05 利用Dnsmasq搭建自有的无广告DNS服务器
1.使用Dnsmasq搭建自有DNS的作用
2.dnsmasq的安装
3.修改Dnsmasq配置文件 dnsmasq.conf
4.修改/etc/resolv.conf文件,并创建resolv.dnsmasq.conf和dnsmasq.hosts文件
5.启动Dnsmasq
6.测试是否配置成功。
0x06 Dnsmasq的使用及实现的功能
1.作为本地DNS使用
2.应对ISP的DNS劫持。
3.智能DNS加快解析速度。
4.屏蔽网页广告。
5.指定域名解析到特定的IP上
6.管理控制内网DNS