Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.5.3. 了解 Dnssec-trigger

/etc/resolv.conf 中安装和配置了 unbound 后,来自应用程序的所有 DNS 查询将由 unbound 来处理。DNSSEC-trigger 仅在触发时重新配置 unbound 解析器。这主要适用于连接到不同 Wi-Fi 网络的客户端机器(如笔记本电脑)。流程如下:
  • 当通过 DHCP 获取新 DNS 服务器时,NetworkManager 会触发 dnssec-trigger
  • 然后,DNSSEC-trigger 对服务器执行一系列测试,并决定是否正确支持 DNSSEC。
  • 如果存在,dnssec-trigger 会重新配置 unbound 以将该 DNS 服务器用作所有查询的转发器。
  • 如果测试失败,dnssec-trigger 将忽略新的 DNS 服务器并尝试一些可用的回退方法。
  • 如果它确定有无限制端口53(UDP 和 TCP),它将告知 unbound 成为完整的递归 DNS 服务器,而无需使用任何转发器。
  • 如果无法做到这一点,例如因为除到达网络 DNS 服务器本身之外,防火墙会阻止端口 53,它将尝试使用 DNS 端口 80,或者 TLS 封装 DNS 到端口 443。可以在 /etc/dnssec-trigger/dnssec-trigger.conf 中配置在端口 80 和 443 上运行 DNS 的服务器。已注释掉的示例应在默认配置文件中提供。
  • 如果这些回退方法也失败,dnssec-trigger 将提供非安全操作(完全绕过 DNSSEC),或者仅以缓存模式运行,它将不尝试新的 DNS 查询,而是应答其在缓存中已有的所有内容。
Wi-Fi Hotspots 在授予访问互联网之前,将用户重定向到登录页面。在上面概述的探测序列中,如果检测到重定向,系统将提示用户询问是否需要登录才能访问 Internet。dnssec-trigger 守护进程每十秒继续探测 DNSSEC 解析器。有关使用 dnssec-trigger 图形工具的详情,请查看 第 4.5.8 节 “使用 Dnssec-trigger”