5154

在互联网的庞大架构中,域名系统扮演着“电话簿”的角色，负责将我们易于记忆的域名（如 www.google.com）翻译成机器能够理解的IP地址，尽管公共DNS服务（如Google的8.8.8.8或Cloudflare的1.1.1.1）方便快捷，但搭建自己的DNS服务器能带来更高的控制权、更快的内网解析速度、增强的隐私保护以及实现广告拦截等高级功能，本文将详细介绍如何从零开始搭建一个功能完善的DNS服务器。

搭建前的准备工作

在开始之前,确保你已经具备了以下基本条件：

• 一台服务器：可以是一台闲置的物理计算机、一台虚拟机（VM）或一台云服务器（VPS），对于家庭或小型办公环境，一台低功耗的设备（如树莓派或NUC）也完全足够。
• 操作系统：推荐使用Linux发行版，如Ubuntu Server、Debian、CentOS或Rocky Linux，它们稳定、免费且拥有强大的社区支持。
• 基本网络知识：了解IP地址、子网掩码、网关等基本概念。
• 终端操作能力：熟悉Linux命令行界面（CLI）的基本操作。

选择合适的DNS服务器软件

市面上有多种开源的DNS服务器软件,各有侧重，选择哪一款取决于你的具体需求，以下是几款主流软件的对比：

对于初学者和希望全面掌控DNS的用户,BIND是一个很好的起点，因为它涵盖了DNS的所有方面，而对于仅仅希望为内网设备提供一个快速、安全的递归解析服务的用户，Unbound则更为简洁高效，本文将以BIND为例进行搭建演示。

使用BIND搭建DNS服务器

以下步骤将以Ubuntu/Debian系统为例，CentOS/RHEL系统的命令和路径可能略有不同。

步骤1：安装BIND

打开终端,使用包管理器进行安装，BIND在Ubuntu/Debian中的软件包名为bind9。

sudo apt update
sudo apt install bind9 bind9utils bind9-doc

安装完成后,BIND服务会自动启动，其主配置文件通常位于/etc/bind/named.conf。

步骤2：配置BIND

BIND的配置主要涉及几个核心文件,我们需要对其进行修改以满足我们的需求。

1. 主配置文件 (/etc/bind/named.conf) 这个文件通常不需要太多修改，它主要用于包含其他配置文件，确保它包含了以下两行：

   include "/etc/bind/named.conf.options";
   include "/etc/bind/named.conf.local";

2. 选项配置文件 (/etc/bind/named.conf.options) 这是全局设置的核心，你可以定义监听端口、允许查询的客户端范围、转发器等。

   sudo nano /etc/bind/named.conf.options

   修改为如下内容：

   options {
       directory "/var/cache/bind";
       // 如果希望服务器响应公网查询，设置为 "any"；内网使用则指定网段，如 "192.168.1.0/24";
       allow-query { any; }; 
       // 如果只希望内网使用，可以指定监听地址
       // listen-on { 192.168.1.10; };
       // 配置转发器，当本地服务器无法解析某个域名时，会将请求转发给公共DNS服务器
       forwarders {
           8.8.8.8;
           1.1.1.1;
       };
       // 启用DNSSEC验证
       dnssec-validation auto;
       listen-on-v6 { any; };
   };

3. 本地区域配置文件 (/etc/bind/named.conf.local) 你可以定义自己需要管理的域名区域（Zone），我们想创建一个名为lan.home的内部域名。

   

   sudo nano /etc/bind/named.conf.local

   添加以下内容,定义一个正向解析区域和一个反向解析区域：

   // 正向解析区域：将域名解析为IP
   zone "lan.home" {
       type master;
       file "/etc/bind/db.lan.home";
   };
   // 反向解析区域：将IP解析为域名
   // 注意：192.168.1 是你的网络段，反向书写
   zone "1.168.192.in-addr.arpa" {
       type master;
       file "/etc/bind/db.192.168.1";
   };

步骤3：创建区域数据库文件

现在需要创建上一步中指定的区域数据库文件,可以从模板复制一份进行修改。

1. 创建正向解析文件 (db.lan.home)

   sudo cp /etc/bind/db.local /etc/bind/db.lan.home
   sudo nano /etc/bind/db.lan.home

   如下：

   $TTL    604800
   @       IN      SOA     ns.lan.home. admin.lan.home. (
                             2         ; Serial
                        604800         ; Refresh
                         86400         ; Retry
                       2419200         ; Expire
                        604800 )       ; Negative Cache TTL
   ;
   @       IN      NS      ns.lan.home.
   @       IN      A       192.168.1.10
   ns      IN      A       192.168.1.10
   router  IN      A       192.168.1.1
   nas     IN      A       192.168.1.20

   这里定义了ns.lan.home（即DNS服务器本身）的IP为168.1.10，并添加了router和nas等内网设备的记录。

2. 创建反向解析文件 (db.192.168.1)

   sudo cp /etc/bind/db.127 /etc/bind/db.192.168.1
   sudo nano /etc/bind/db.192.168.1

   如下：

   $TTL    604800
   @       IN      SOA     ns.lan.home. admin.lan.home. (
                             1         ; Serial
                        604800         ; Refresh
                         86400         ; Retry
                       2419200         ; Expire
                        604800 )       ; Negative Cache TTL
   ;
   @       IN      NS      ns.lan.home.
   10      IN      PTR     ns.lan.home.
   1       IN      PTR     router.lan.home.
   20      IN      PTR     nas.lan.home.

   这里定义了IP地址168.1.10反向解析到ns.lan.home。

步骤4：检查配置并重启服务

在应用新配置前,最好检查一下语法是否有误。

sudo named-checkconf
sudo named-checkzone lan.home /etc/bind/db.lan.home
sudo named-checkzone 1.168.192.in-addr.arpa /etc/bind/db.192.168.1

如果没有任何输出,表示配置正确，现在重启BIND服务使配置生效。

sudo systemctl restart bind9
sudo systemctl status bind9

在客户端设备（如你的电脑）上，将DNS服务器地址修改为你刚刚搭建的服务器IP（如168.1.10），然后使用ping或dig命令测试。

ping nas.lan.home
dig lan.home

如果能够正确解析到对应的IP地址,那么恭喜你，你的DNS服务器已经成功搭建并运行了。

相关问答FAQs

问题1：自建DNS服务器和直接使用公共DNS（如8.8.8.8）相比，主要优缺点是什么？

解答： 自建DNS服务器和公共DNS各有千秋，主要区别在于控制权、性能和隐私。

• 优点：

  • 内网解析速度极快：对于内部域名（如nas.lan.home），请求无需发送到外网，直接在本地服务器上完成解析，延迟极低。
  • 高度自定义与控制：你可以随心所欲地创建、修改和管理内部域名，实现服务发现、负载均衡等高级功能。
  • 增强隐私保护：你的所有DNS查询记录都保留在自己的服务器上，不会被第三方（如ISP或DNS提供商）收集和分析。
  • 实现广告拦截与内容过滤：可以结合列表（如AdGuard DNS filter）在DNS层面屏蔽广告域名或恶意网站，保护整个网络。

• 缺点：

  • 维护成本：需要自己负责服务器的搭建、配置、更新和安全维护，需要一定的技术知识。
  • 可靠性依赖自身：如果自建的服务器宕机，整个网络的域名解析服务都会中断，除非你配置了备用DNS。
  • 外网解析速度可能较慢：对于首次访问的外部域名，自建服务器需要递归查询，可能不如大型公共DNS服务商（如Cloudflare）的全球Anycast网络响应迅速，但通过缓存机制，后续访问会很快。

问题2：在家庭宽带这种动态IP地址环境下，如何影响自建DNS服务器？有什么解决方案？

解答： 家庭宽带通常使用动态IP地址，这意味着你的公网IP会定期改变，这主要影响的是你希望从外部网络访问自建DNS服务器的场景。

• 影响分析：

  • 纯内网使用：如果你搭建的DNS服务器仅用于家庭内部设备解析内网域名（如nas.lan.home），那么动态公网IP完全没有影响，因为你的内网设备通过内网IP（如168.1.10）访问DNS服务器，不涉及公网。
  • 希望外网访问：如果你希望在外部（在手机流量下）也能使用这台DNS服务器，或者让这台服务器为某个域名提供权威解析，那么动态IP就是一个问题，因为你无法将一个固定的域名指向一个会变化的IP。

• 解决方案： 对于需要外网访问的场景，主流的解决方案是动态域名系统（DDNS）。

  1. 注册DDNS服务：选择一个DDNS提供商（如No-IP, Dynu, 或一些路由器自带的服务），注册一个域名（例如myhomedns.ddns.net）。
  2. 配置路由器或客户端：在你的路由器或DNS服务器上运行一个DDNS客户端，这个客户端会定期检测当前的公网IP，一旦发现IP变化，就会自动向DDNS服务商报告，并更新myhomedns.ddns.net指向的IP地址。
  3. 使用域名访问：之后，你就可以在任何地方通过myhomedns.ddns.net这个固定的域名来访问你家的DNS服务器了，你甚至可以将这个域名作为你其他域名的NS记录，实现真正的权威解析。

  确保在路由器上做好端口转发,将外网的53端口（TCP和UDP）转发到内网DNS服务器的IP地址上，也要注意防火墙设置，保障服务器的安全。