页次: 1
#1 2014-04-11 00:50:57
- jack
- 会员
- 注册时间: 2013-03-02
- 帖子: 40
dnsmasq 2.69支持dnssec了
根据CHANGELOG里的说明,dnsmasq 2.69支持DNSSEC验证和缓存。在编译dnsmasq时加上以下参数:
make dnsmasq COPTS=-DHAVE_DNSSEC依赖的库是nettle和gmp,archlinux官方源的dnsmasq,编译时已加上此参数。dnsmasq 2.69-1有个问题,就是打包时没有把trust-anchors.conf包含进去,dnsmasq 2.69-2解决了这个问题。
想编译为静态链接,使用的参数是:
make dnsmasq COPTS='-DHAVE_DNSSEC -DHAVE_DNSSEC_STATIC'安装后,在dnsmasq.conf里取消下面两行的注释。
conf-file=/usr/share/dnsmasq/trust-anchors.conf
dnssec离线
#2 2014-04-11 01:07:01
- 依云
- 会员
- 所在地: a.k.a. 百合仙子
- 注册时间: 2011-08-21
- 帖子: 8,917
- 个人网站
Re: dnsmasq 2.69支持dnssec了
赞!
离线
#3 2014-04-16 01:22:28
- jack
- 会员
- 注册时间: 2013-03-02
- 帖子: 40
Re: dnsmasq 2.69支持dnssec了
经过几天的使用后,放弃只用dnsmasq的想法了,重新换回unbound+dnsmasq的组合。原因是访问支持dnssec的网站时,dnsmasq验证签名的速度很慢,用dig测试一下,也能看出来。
dig +dnssec 域名一些支持dnssec的网站:
www.yandex.com
www.gentoo.org
www.debian.org
www.gnome.org
unbound.net
test.dnssec-or-not.net
dnssec.tanet.edu.tw
离线
#4 2014-04-16 02:24:02
- 依云
- 会员
- 所在地: a.k.a. 百合仙子
- 注册时间: 2011-08-21
- 帖子: 8,917
- 个人网站
Re: dnsmasq 2.69支持dnssec了
嗯,是要卡好久,但是 dig 显示的时间还是很短。
另外 RRSIG 不缓存的呀。
离线
#5 2014-04-17 01:36:23
- jack
- 会员
- 注册时间: 2013-03-02
- 帖子: 40
Re: dnsmasq 2.69支持dnssec了
我在用dig测试的时候,dnsmasq用时相对unbound要长得多。而且在某个dnssec test网站,dnsmasq测试耗时比unbound多几倍,却无法通过全部测试。
http://0skar.cz/dns/en/
RRSIG能被缓存吧?不过我在DNS方面只是一名菜鸟,观点上难免有错,还请指正,谢谢。dnsmasq 2.69的changelog提到,能缓存DNSKEY, DS, RRSIG:
In addition, and just as importantly, dnsmasq supplies
correct DNSSEC information to clients which are doing
their own validation, and caches DNSKEY, DS and RRSIG
records, which significantly improve the performance of
downstream validators.
从rfc4034的 3.1.4. Original TTL Field说明看,RRSIG缓存时间和TTL设置有关,申明位置在RRSIG后的第四字段:
http://www.ietf.org/rfc/rfc4034.txt
txt看着不方便,也可以看看这里:
http://www.simpledns.com/help/v52/index … _rrsig.htm
最近编辑记录 jack (2014-04-17 01:37:02)
离线
页次: 1