服务器使用 pdnsd 部署 DNS forwarder 的方法

cokebar 2014-11-16 18:15 2023-03-14 21:51 网络技术 88 条评论

Assume that you use Ubuntu.

Download & Install pdnsd:

apt-get install pdnsd

1	apt-get install pdnsd

At the setup configuration step, choose manual. Then modify the config file: /etc/pdnsd.conf

At the global section, change server_ip, add server_port, increase or decrease the perm_cache, change min_ttl & max_ttl at your own need, just like:

global {
	perm_cache=4096;   //cache size,KB
	cache_dir="/var/cache/pdnsd";  //cache file position
	run_as="pdnsd";     //just leave default
	server_ip = 0.0.0.0;  // Use your interface name, or your IP address
				// or 0.0.0.0
	server_port = 1212;   //bind port, just do not use port 53
	status_ctl = on;
  	paranoid=on;
//	query_method=tcp_udp;	// pdnsd must be compiled with tcp
				// query support for this to work.
	min_ttl=1d;       // Retain cached entries at least 1 day.
	max_ttl=1w;	   // One week.
	neg_ttl=120s;
	timeout=5;        // Global timeout option (10 seconds).
}

global {

perm_cache=4096; //cache size,KB

cache_dir="/var/cache/pdnsd"; //cache file position

run_as="pdnsd"; //just leave default

server_ip = 0.0.0.0; // Use your interface name, or your IP address

// or 0.0.0.0

server_port = 1212; //bind port, just do not use port 53

status_ctl = on;

paranoid=on;

// query_method=tcp_udp; // pdnsd must be compiled with tcp

// query support for this to work.

min_ttl=1d; // Retain cached entries at least 1 day.

max_ttl=1w; // One week.

neg_ttl=120s;

timeout=5; // Global timeout option (10 seconds).

}

Then add the upstream DNS server, just like:

server {
	label = "mydns";
	ip = 	1.2.3.4
	,	1.2.3.5
	,	1.2.3.6
	;
	timeout = 3;
	uptest = none;
	purge_cache = off;
	edns_query = on;
	exclude = .localdomain;
}

server {

label = "mydns";

ip = 1.2.3.4

, 1.2.3.5

, 1.2.3.6

;

timeout = 3;

uptest = none;

purge_cache = off;

edns_query = on;

exclude = .localdomain;

}

Comment out the unnecessary sections, such as root-servers & resolvconf:

/*
server {
    label="resolvconf";
}
*/

/*
server {
	label = "root-servers";
	root_server=on;
...
...
	policy = included;
	preset = off;
}
*/

server {

label="resolvconf";

}

server {

label = "root-servers";

root_server=on;

...

policy = included;

preset = off;

}

Here’s an example for pdnsd.conf

To see more details of pdnsd, just look at pdnsd Documents

Modify the file /etc/default/pdnsd, change START_DAEMON=no to START_DAEMON=yes and save the file. Finally start pdnsd:

service pdnsd start

1	service pdnsd start

Add firewall rule if neccessary (Assume that you use UFW):

ufw allow 1212

1	ufw allow 1212

Check it on your PC:

dig @X.X.X.X -p 1212 www.youtube.com

; <<>> DiG 9.9.5-3-Ubuntu <<>> @X.X.X.X -p 2121 www.youtube.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64845
;; flags: qr rd ra; QUERY: 1, ANSWER: 12, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1024
;; QUESTION SECTION:
;www.youtube.com.               IN      A

;; ANSWER SECTION:
www.youtube.com.        86400   IN      CNAME   youtube-ui.l.google.com.
youtube-ui.l.google.com. 86400  IN      A       173.194.117.232
youtube-ui.l.google.com. 86400  IN      A       173.194.117.231
youtube-ui.l.google.com. 86400  IN      A       173.194.117.233
youtube-ui.l.google.com. 86400  IN      A       173.194.117.238
youtube-ui.l.google.com. 86400  IN      A       173.194.117.224
youtube-ui.l.google.com. 86400  IN      A       173.194.117.227
youtube-ui.l.google.com. 86400  IN      A       173.194.117.225
youtube-ui.l.google.com. 86400  IN      A       173.194.117.230
youtube-ui.l.google.com. 86400  IN      A       173.194.117.229
youtube-ui.l.google.com. 86400  IN      A       173.194.117.228
youtube-ui.l.google.com. 86400  IN      A       173.194.117.226

;; Query time: 80 msec
;; SERVER: X.X.X.X#1212(X.X.X.X)
;; WHEN: Sun Nov 16 10:13:39 UTC 2014
;; MSG SIZE  rcvd: 254

dig @X.X.X.X -p 1212 www.youtube.com

; <<>> DiG 9.9.5-3-Ubuntu <<>> @X.X.X.X -p 2121 www.youtube.com

; (1 server found)

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64845

;; flags: qr rd ra; QUERY: 1, ANSWER: 12, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 1024

;; QUESTION SECTION:

;www.youtube.com. IN A

;; ANSWER SECTION:

www.youtube.com. 86400 IN CNAME youtube-ui.l.google.com.

youtube-ui.l.google.com. 86400 IN A 173.194.117.232

youtube-ui.l.google.com. 86400 IN A 173.194.117.231

youtube-ui.l.google.com. 86400 IN A 173.194.117.233

youtube-ui.l.google.com. 86400 IN A 173.194.117.238

youtube-ui.l.google.com. 86400 IN A 173.194.117.224

youtube-ui.l.google.com. 86400 IN A 173.194.117.227

youtube-ui.l.google.com. 86400 IN A 173.194.117.225

youtube-ui.l.google.com. 86400 IN A 173.194.117.230

youtube-ui.l.google.com. 86400 IN A 173.194.117.229

youtube-ui.l.google.com. 86400 IN A 173.194.117.228

youtube-ui.l.google.com. 86400 IN A 173.194.117.226

;; Query time: 80 msec

;; SERVER: X.X.X.X#1212(X.X.X.X)

;; WHEN: Sun Nov 16 10:13:39 UTC 2014

;; MSG SIZE rcvd: 254

pve物理机启用IPv6

DNS，pdnsd

88 条评论

韩少西 2014-12-28 于 21:01 回复

service pdnsd restart
* Stopping pdnsd [ OK ]
/etc/resolvconf/update.d/libc: Warning: /etc/resolv.conf is not a symbolic link to /run/resolvconf/resolv.conf
* Starting pdnsd [ OK ]
/etc/resolvconf/update.d/libc: Warning: /etc/resolv.conf is not a symbolic link to /run/resolvconf/resolv.conf

pdnsd可以正常使用，可是这两条警告好碍眼啊，删了也还有。怎么能去掉呢？
1. cokebar 文章作者 2014-12-28 于 22:23 回复
  
  结论先写在上面：不想麻烦的话，无视它吧，因为没有任何影响。原因如下：
  系统的DNS信息是由/etc/resolv.conf来配置的，有些VPS提供商会将DNS的信息直接写到/etc/resolv.conf里面，不过这样的问题是DNS配置就是完全的静态了，对于完全属于静态IP静态DNS的VPS来说这样没有问题，不过对于普通用户来说这样会有问题，换个网络你就得改文件太蛋疼了，于是有了下面这种方式：
  resolvconf这个程序（注意不是resolv.conf文件）会在运行时获取系统的DNS信息（比如说你通过eth0接入网络，DHCP方式，此时resolvconf就会读取从DHCP获取的DNS信息），放在/run/resolvconf/resolv.conf里面，我们都知道/run里面的都是运行时临时程序生成的，所以就是动态的信息了，然后/etc/resolv.conf则是/run/resolvconf/resolv.conf的一个符号连接，这样，resolvconf更新DNS信息后，就能及时反映到/etc/resolv.conf里面了；
  pdnsd之所以出现这样的警告，就是因为/etc/resolv.conf是个静态文件而不是符号连接；不过由于本文搭建pdnsd是用作DNS转发，而且手动指定了upstream server，并不使用resolveconf（那一section被我注释掉了），所以这个warning即使出现也不会对你造成任何影响；而如果想要去掉这个warning，你就得手动为这个文件建立符号连接，此时还会有额外的操作（不同VPS提供商，情况还有不同），然后你会发现好麻烦。。还不如无视了算了
  1. 韩少西 2014-12-29 于 09:19 回复
    
    谢谢啦，看来我只有无视了，linode 用ubuntu 14.10的时候没有遇见，换成14.04就出现这个警告了，不知道跟系统有没有关系，反正我用的很好，无视好了，感谢！
引用: Shadowsocks + GfwList 实现 OpenWRT 路由器自动翻墙 - 飞羽博客
引用: Shadowsocks + Redsocks 实现 OpenWRT 路由器自动翻墙
dover 2015-01-10 于 17:15 回复

报错了。。。。

root@default:~# service pdnsd start
Starting pdnsdError in config file (line 36): invalid option for server section: edns_query
failed!
1. cokebar 文章作者 2015-01-10 于 18:00 回复
  
  我打错了应该是edns_query=on;
  1. dover 2015-01-10 于 19:00 回复
    
    改了on了，还是报同样的错呢？
2. cokebar 文章作者 2015-01-10 于 19:08 回复
  
  检查pdnsd版本 edns在1.2.9才加进去
  1. dover 2015-01-10 于 19:27 回复
    
    请问如何查看版本？
dover 2015-01-10 于 20:18 回复

C:\Users\User>dig @x.x.x.x -p 1212 http://www.youtube.com

; <> DiG 9.10-P2 <> @x.x.x.x -p 1212 http://www.youtube.com
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached
1. cokebar 文章作者 2015-01-10 于 20:24 回复
  
  先在VPS上试dig 再到PC上试记得防火墙开端口
  1. dover 2015-01-10 于 20:28 回复
    
    请问下，如何安装最新版，我现在装的是1.2.8，是直接用apt-get install pdnsd安装的
    1. cokebar 文章作者 2015-01-10 于 20:36
      
      有些发行版所带的包并不是最新需要切换testing源 http://chuansongme.com/n/506449
    2. dover 2015-01-11 于 15:28
      
      装了UFW，并且也执行了ufw allow 5300
      
      dig 但仍然报 ;; connection timed out; no servers could be reached
      
      在VPS的dig的结果是;; SERVER: 127.0.0.2#5300(127.0.0.2)
      
      127.0.0.2是怎么个情况呢？
  2. dover 2015-01-11 于 02:37 回复
    
    请问是不是必须安装UFW？
    1. cokebar 文章作者 2015-01-11 于 09:44
      
      不是必须但是如果你防火墙规则阻止了端口通讯就需要开端口
    2. dover 2015-01-11 于 15:29
      
      装了UFW，并且也执行了ufw allow 5300
      dig 但仍然报 ;; connection timed out; no servers could be reached
      在VPS的dig的结果是;; SERVER: 127.0.0.2#5300(127.0.0.2)
      127.0.0.2是怎么个情况呢？
2. cokebar 文章作者 2015-01-11 于 16:13 回复
  
  server_ip=0.0.0 0
  1. lee 2015-01-15 于 13:33 回复
    
    上周按你教程搞了很久，本地机dig都是 connection timed out; no servers could be reached
    你这个回复太好了，一改立即好了。。。
    1. cokebar 文章作者 2015-01-15 于 21:36
      
      所以说不能照搬啊我那个写的是eth0 有些主机的外网网卡可不一定是eth0
lee 2015-01-15 于 14:07 回复

目前已按本博客教程在路由做了透明翻
pdnsd也成功了

当在外时（无法用已翻路由时）可否连接这个dns服务器做域名解板避免dns污染
目前在外是osx用的是dnscrypt
1. cokebar 文章作者 2015-01-15 于 21:38 回复
  
  支持非标端口的dns client应该都可以
引用: openwrt路由器配置+SS+SAMBA+迅雷远程 | yfeer's blog
袁皓 2015-02-22 于 02:13 回复

pdnsd监听的端口为什么是非53呢？如果不设定具体端口，也就是把server_port这段去掉会有什么影响？因为我没有设定端口也成功搞定了……
1. cokebar 文章作者 2015-02-22 于 09:35 回复
  
  server_port不写就是默认53 53除了可能会遭受GFW的抢答污染外还可能遭遇攻击
gang 2015-03-08 于 22:51 回复

之前按教程用dnsmasq在vps做dns转发，但是openwrt路由器的dns很不稳定，并且导致vps自己的dns也乱了，什么地址都不能解析，就把dnsmasq关了，重新安装配置pdnsd，目前看来openwrt的dns很稳定，而vps的dns也正常了
wx 2015-04-09 于 13:19 回复

请教Centos 6 怎么安装pdnsd？
1. cokebar 文章作者 2015-04-09 于 13:26 回复
  
  从源码编译安装不就行了
  1. wx 2015-04-09 于 15:11 回复
    
    不是太熟悉啊。
    
    rpm -ivh pdnsd-1.2.9a-par.src.rpm 然后就不会了。
    
    到/root/rpmbuild/SOURCES/pdnsd-1.2.9a 下面执行什么configure 、 make &&make install一通，好像没编译成功。。。。
  2. wx 2015-04-09 于 15:36 回复
    
    我搞好了。原来我的CENTOS6 应该要安装64位版。。。。。