您尚未登录。

#1 2014-04-11 00:50:57

jack
会员
注册时间: 2013-03-02
帖子: 40

dnsmasq 2.69支持dnssec了

根据CHANGELOG里的说明,dnsmasq 2.69支持DNSSEC验证和缓存。在编译dnsmasq时加上以下参数:

make dnsmasq COPTS=-DHAVE_DNSSEC

依赖的库是nettle和gmp,archlinux官方源的dnsmasq,编译时已加上此参数。dnsmasq 2.69-1有个问题,就是打包时没有把trust-anchors.conf包含进去,dnsmasq 2.69-2解决了这个问题。

想编译为静态链接,使用的参数是:

make dnsmasq COPTS='-DHAVE_DNSSEC -DHAVE_DNSSEC_STATIC'

安装后,在dnsmasq.conf里取消下面两行的注释。

conf-file=/usr/share/dnsmasq/trust-anchors.conf
dnssec

离线

#2 2014-04-11 01:07:01

依云
会员
所在地: a.k.a. 百合仙子
注册时间: 2011-08-21
帖子: 8,384
个人网站

Re: dnsmasq 2.69支持dnssec了

赞!

离线

#3 2014-04-16 01:22:28

jack
会员
注册时间: 2013-03-02
帖子: 40

Re: dnsmasq 2.69支持dnssec了

经过几天的使用后,放弃只用dnsmasq的想法了,重新换回unbound+dnsmasq的组合。原因是访问支持dnssec的网站时,dnsmasq验证签名的速度很慢,用dig测试一下,也能看出来。

dig +dnssec 域名

一些支持dnssec的网站:
www.yandex.com
www.gentoo.org
www.debian.org
www.gnome.org
unbound.net
test.dnssec-or-not.net
dnssec.tanet.edu.tw

离线

#4 2014-04-16 02:24:02

依云
会员
所在地: a.k.a. 百合仙子
注册时间: 2011-08-21
帖子: 8,384
个人网站

Re: dnsmasq 2.69支持dnssec了

嗯,是要卡好久,但是 dig 显示的时间还是很短。
另外 RRSIG 不缓存的呀。

离线

#5 2014-04-17 01:36:23

jack
会员
注册时间: 2013-03-02
帖子: 40

Re: dnsmasq 2.69支持dnssec了

我在用dig测试的时候,dnsmasq用时相对unbound要长得多。而且在某个dnssec test网站,dnsmasq测试耗时比unbound多几倍,却无法通过全部测试。
http://0skar.cz/dns/en/

RRSIG能被缓存吧?不过我在DNS方面只是一名菜鸟,观点上难免有错,还请指正,谢谢。dnsmasq 2.69的changelog提到,能缓存DNSKEY, DS, RRSIG:

In addition, and just as importantly, dnsmasq supplies
    correct DNSSEC information to clients which are doing
    their own validation, and caches DNSKEY, DS and RRSIG
    records
, which significantly improve the performance of
    downstream validators.

从rfc4034的 3.1.4.  Original TTL Field说明看,RRSIG缓存时间和TTL设置有关,申明位置在RRSIG后的第四字段:
http://www.ietf.org/rfc/rfc4034.txt

txt看着不方便,也可以看看这里:
http://www.simpledns.com/help/v52/index … _rrsig.htm

最近编辑记录 jack (2014-04-17 01:37:02)

离线

页脚