「Dnsmasq」の版間の差分

提供: ArchWiki
ナビゲーションに移動 検索に移動
(デーモンの起動の項目を翻訳して追加)
(→‎DNS キャッシュの設定: 英語版に追従して項目を変更して内容を更新)
44行目: 44行目:
 
}}
 
}}
   
== DNS キャッシュの設定 ==
+
=== DNS サーバー ===
   
単一のコンピュータ dnsmasq を DNS キャッシュデーモンとしてセットアップするには {{ic|/etc/dnsmasq.conf}} を編集して {{ic|listen-address}} ディレクティブをアンコメントし、ローカルホストの IP アドレスを追してください:
+
dnsmasq を1台のコンピュータで DNS キャッシュデーモンとして設定するには {{ic|listen-address}} ディレクティブローカルホストの IP アドレスを追してください
   
listen-address=127.0.0.1
+
listen-address=::1,127.0.0.1
   
ネットワーク上の他のコンピュータのために LAN IP アドレスを受信るようにするには:
+
このコンピュータを使用して、ネットワーク上の他のコンピュータの LAN IP アドレスをリッスンしま。この場合、静的 LAN IP を使用することをお勧めします。例
   
listen-address=192.168.1.1 # Example IP
+
listen-address=::1,127.0.0.1,192.168.1.1
   
  +
キャッシュされるドメイン名の数を {{ic|1=cache-size=''size''}} で設定します(デフォルトは {{ic|150}} で、ハードリミットは {{ic|10000}} です。)
この場合は LAN の固定 ip を使用することが推奨されます。
 
   
  +
cache-size=1000
複数 IP アドレスの設定:
 
   
  +
[[DNSSEC]] の検証には、{{Pkg|dnsmasq}} パッケージが提供する DNSSEC トラストアンカーを読み込み、オプション {{ic|dnssec}} を設定します。
listen-address=127.0.0.1,192.168.1.1
 
   
  +
conf-file=/usr/share/dnsmasq/trust-anchors.conf
  +
dnssec
  +
  +
使いたいオプションは {{man|8|dnsmasq}} を参照してください。
 
=== DNS アドレスファイル ===
 
=== DNS アドレスファイル ===
   

2022年1月29日 (土) 00:00時点における版

dnsmasq は DNS キャッシュと DHCP サーバーとしてのサービスを提供します。ドメインネームサーバ (DNS) としては DNS クエリをキャッシュすることで以前に訪れたことのあるサイトへの接続速度を向上させることができ、DHCP サーバーとして dnsmasq は LAN 上のコンピュータに内部 IP アドレスとルートを割り当てるのに使えます。サービスのどちらか、または両方として役立てることが可能です。dnsmasq は軽量で設定が簡単です。個人のコンピュータでの利用や、50以下のコンピュータが繋がったネットワークでの使用を想定して作られています。また、PXE サーバーも含まれています。

インストール

公式リポジトリから dnsmasqインストールしてください。

デーモンの起動

dnsmasq.serviceスタート/有効化 します。

dnsmasq が正常に起動したかどうかは、システムの ジャーナル を確認します。

# journalctl -u dnsmasq.service

また、DHCP クライアントが新しい /etc/resolv.conf を作成できるように、ネットワークを再起動する必要があります。

設定

dnsmasq を設定するには、/etc/dnsmasq.conf を編集します。 ファイルにはオプションを説明するコメントが含まれています。 利用可能なすべてのオプションについては dnsmasq(8) を参照してください。

ノート: dnsmasq のデフォルト設定では、 DNS サーバーが有効になります。 必要ない場合は、port=0 を設定することで明示的に無効にする必要があります。

dnsmasq をローカル DNS リゾルバとして使用しない場合は、nss-lookup.target をプルインしないように 編集dnsmasq.service} して下さい。

/etc/systemd/system/dnsmasq.service.d/no-nss-lookup-target.conf
[Unit]
Wants=
ヒント: 構成ファイルの構文をチェックするには、以下を実行します:
$ dnsmasq --test

DNS サーバー

dnsmasq を1台のコンピュータで DNS キャッシュデーモンとして設定するには、 listen-address ディレクティブでローカルホストの IP アドレスを追加してください。

listen-address=::1,127.0.0.1

このコンピュータを使用して、ネットワーク上の他のコンピュータの LAN IP アドレスをリッスンします。この場合、静的 LAN IP を使用することをお勧めします。例

listen-address=::1,127.0.0.1,192.168.1.1

キャッシュされるドメイン名の数を cache-size=size で設定します(デフォルトは 150 で、ハードリミットは 10000 です。)

cache-size=1000

DNSSEC の検証には、dnsmasq パッケージが提供する DNSSEC トラストアンカーを読み込み、オプション dnssec を設定します。

conf-file=/usr/share/dnsmasq/trust-anchors.conf
dnssec

使いたいオプションは dnsmasq(8) を参照してください。

DNS アドレスファイル

dnsmasq を設定した後は、DHCP クライアントが /etc/resolv.conf にある既知の DNS アドレスの前にローカルホストのアドレスを挿入させるようにする必要があります。これによって外部の DNS でクエリを解決しようとする前に全てのクエリが dnsmasq に送られるようになります。DHCP クライアントを設定した後は変更を適用するためにネットワークを再起動してください。

resolv.conf

まず一つ目の選択肢は resolv.conf の設定です。これを使うには、/etc/resolv.conf の一番上のネームサーバをローカルホストに変えて下さい:

/etc/resolv.conf
nameserver 127.0.0.1
# External nameservers
...

これで DNS クエリは最初に dnsmasq によって解決されるようになります。dnsmasq がクエリを解決できなかった場合にのみ外部のサーバーが使用されます。残念ながら、dhcpcd はデフォルトで /etc/resolv.conf を上書きするようになっているので、DHCP を使っている場合は /etc/resolv.conf を保護すると良いでしょう。保護するには、dhcpcd の設定ファイルに nohook resolv.conf を追加してください:

/etc/dhcpcd.conf
...
nohook resolv.conf

resolv.conf の書き込みを保護することも可能です:

# chattr +i /etc/resolv.conf
3つ以上のネームサーバ

Linux による DNS クエリの処理には resolv.conf で使えるネームサーバは3つまでという制約があります。対応策として、resolv.conf にはローカルホストのネームサーバだけを記述して、外部のネームサーバ用に resolv-file を分けて作成する方法があります。まず、dnsmasq のための resolv ファイルを新しく作成してください:

/etc/resolv.dnsmasq.conf
# Google's nameservers, for example
nameserver 8.8.8.8
nameserver 8.8.4.4

それから /etc/dnsmasq.conf を新しい resolv ファイルを使用するように編集してください:

/etc/dnsmasq.conf
...
resolv-file=/etc/resolv.dnsmasq.conf
...

dhcpcd

dhcpcd には /etc/resolv.conf にネームサーバを前と後ろに追加する機能があります。それぞれ /etc/resolv.conf.head/etc/resolv.conf.tail ファイルを作成します:

echo "nameserver 127.0.0.1" > /etc/resolv.conf.head

dhclient

dhclient の場合、/etc/dhclient.conf の以下の部分をアンコメントしてください:

prepend domain-name-servers 127.0.0.1;

NetworkManager

NetworkManager には dnsmasq を使って DNS を有効化するプラグインがあります。DNS ルックアップがキャッシュされることにより、解決時間が短くなったり、VPN ホストの DNS ルックアップを該当する VPS の DNS サーバーに転送することができます (複数の VPN に接続する場合に特に有用です)。

dnsmasq がインストールされていること、ただし無効化されていることを確認してください。それから、/etc/NetworkManager/NetworkManager.conf を編集して [main] セクションの dns を変更してください:

/etc/NetworkManager/NetworkManager.conf
[main]
...
dns=dnsmasq

NetworkManager を再起動するかマシンを再起動してください。NetworkManager は自動的に dnsmasq を起動して 127.0.0.1 を /etc/resolv.conf に追加します。実際の DNS サーバーは /run/NetworkManager/resolv.conf で確認できます。(bind-tools[リンク切れ: 置換パッケージ: bind] でインストールできる) $ dig example.com を使って何回か DNS ルックアップを実行してみて dnsmasq が使われていることを確認してください。

カスタム設定

/etc/NetworkManager/dnsmasq.d/ にカスタム設定ファイルを作成することで dnsmasq のためのカスタム設定を作ることができます。例えば、DNS キャッシュの容量を変更するには (RAM に保存されます):

/etc/NetworkManager/dnsmasq.d/cache.conf
cache-size=1000

IPv6

NetworkManager で dnsmasq を有効にすると IPv6 の DNS ルックアップ (dig -6 [hostname]) が出来なくなります。この問題を解決するには、以下のファイルを作成して IPv6 のループバックも受信するように dnsmasq を設定します:

/etc/NetworkManager/dnsmasq.d/ipv6_listen.conf
listen-address=::1

さらに、dnsmasq は上流の IPv6 DNS を優先させません。残念ながら NetworkManager では優先させることが出来ないようです (Ubuntu Bug)。NetworkManager の設定で IPv4 の DNS を無効化するのが回避策になります。

他の方法

他にも NetworkManager のアプレットを使って設定を手動で入力する方法もあります (通常はアプレットを右クリックします)。設定方法は使用しているフロントエンドの種類によりますが、基本的には、アプレットを右クリックして、プロファイルを編集(または作成)し、DHCP タイプとして 'Automatic (specify addresses)' を選択します。DNS アドレスは次のような形式で入力する必要があります: 127.0.0.1, DNS-server-one, ...

テスト

ルックアップの速度をテストするには、dnsmasq を起動してから訪れたことのないウェブサイトを選択してください (digbind-tools[リンク切れ: 置換パッケージ: bind] パッケージに入っています):

$ dig archlinuxjp.org | grep "Query time"

dnsmasq を正しく設定していれば、このコマンドを二回目に実行するとキャッシュされた DNS の IP が使用され、ルックアップの時間が速くなっているはずです:

$ dig archlinuxjp.org | grep "Query time"
;; Query time: 18 msec
$ dig archlinuxjp.org | grep "Query time"
;; Query time: 2 msec

DHCP サーバーの設定

デフォルトで dnsmasq の DHCP 機能は無効にされているため、使用したいときは /etc/dnsmasq.conf で有効にする必要があります。以下は中心となる設定です:

# Only listen to routers' LAN NIC.  Doing so opens up tcp/udp port 53 to
# localhost and udp port 67 to world:
interface=<LAN-NIC>

# dnsmasq will open tcp/udp port 53 and udp port 67 to world to help with
# dynamic interfaces (assigning dynamic ips). Dnsmasq will discard world
# requests to them, but the paranoid might like to close them and let the 
# kernel handle them:
bind-interfaces

# Dynamic range of IPs to make available to LAN pc
dhcp-range=192.168.111.50,192.168.111.100,12h

# If you’d like to have dnsmasq assign static IPs, bind the LAN computer's
# NIC MAC address:
dhcp-host=aa:bb:cc:dd:ee:ff,192.168.111.50

テスト

dnsmasq が動いているコンピュータに接続されたコンピュータから、DHCP を使って IP アドレスを自動的に割り当てるように設定し、ネットワークに通常通りにログインしてください。

TFTP サーバーの設定

転送ファイルを保存する TFTP のルートディレクトリ (例: /srv/tftp) を作成してください。

dnsmasq の TFTP セキュアモードを使うには TFTP のルートディレクトリとファイルの所有者を全て dnsmasq ユーザーに設定してください。

dnsmasq.conf で TFTP を有効化:

/etc/dnsmasq.conf
enable-tftp
tftp-root=/srv/tftp
tftp-secure

PXE の設定

PXE を使うには DHCP と TFTP サーバーが必要ですが、どちらの機能も dnsmasq によって提供されています.

ヒント: dnsmasq を使って既存の DHCP サーバーを使ってネットワークに PXE ブートオプションを追加することもできます:
/etc/dnsmasq.conf
interface=enp0s0
bind-dynamic
dhcp-range=192.168.0.1,proxy
  1. TFTP サーバーDHCP サーバーを設定
  2. PXE 互換のブートローダー (例: PXELINUX) を TFTP のルートにコピーして設定
  3. /etc/dnsmasq.conf で PXE を有効化:
ノート:
  • ファイルのパスは TFTP ルートからの相対パスです。
  • ファイルに .0 拡張子が付く場合、pxe-service オプションで拡張子を除外する必要があります。

ファイルを送信するには:

dhcp-boot=lpxelinux.0

クライアントアーキテクチャに応じてファイルを送信するには:

pxe-service=x86PC, "PXELINUX (BIOS)", "bios/lpxelinux"
pxe-service=X86-64_EFI, "PXELINUX (EFI)", "efi64/syslinux.efi"
ノート: pxe-service が機能しない場合 (特に UEFI を使用するクライアントの場合)、dhcp-matchdhcp-boot を組み合わせることができます。dhcp 起動プロトコルで使用する client-arch の数について詳しくは RFC4578 を見てください。
dhcp-match=set:efi-x86_64,option:client-arch,7
dhcp-match=set:efi-x86_64,option:client-arch,9
dhcp-match=set:efi-x86,option:client-arch,6
dhcp-match=set:bios,option:client-arch,0
dhcp-boot=tag:efi-x86_64,"efi64/syslinux.efi"
dhcp-boot=tag:efi-x86,"efi32/syslinux.efi"
dhcp-boot=tag:bios,"bios/lpxelinux.0"

後はブートローダー次第です。

デーモンの起動

dnsmasq.service起動有効化してください。

dnsmasq が正しく起動したか確認するには、システムの journal をチェック:

$ journalctl -u dnsmasq

DHCP クライアントが /etc/resolv.conf を新しく作成できるようにネットワークの再起動も必要です。

ヒントとテクニック

OpenDNS が Google へのクエリをリダイレクトするのを止める

OpenDNS が全ての Google クエリを OpenDNS の検索サーバーにリダイレクトを止めさせるには、以下を /etc/dnsmasq.conf に追加してください:

server=/www.google.com/<ISP DNS IP>

リースを表示する

$ cat /var/lib/misc/dnsmasq.leases

カスタムドメインの追加

(ローカル) ネットワークの hosts にカスタムドメインを追加することができます:

local=/home.lan/
domain=home.lan

この例では hostname.home.lan を (hosts ファイルに定義されている) ホスト/デバイスとして ping できます。

hosts エントリにカスタムドメインを追加するには expand-hosts をアンコメントしてください:

expand-hosts

この設定を使わない場合、/etc/hosts のエントリにドメインを追加する必要があります。

アドレスの上書き

キャプティブポータルを使用する場合など、特定の場面では特定のドメインをハードコードされたアドレスセットに解決するのが役に立つ場合があります。address の設定で解決できます:

address=/example.com/1.2.3.4

さらに、特殊なワイルドカードを使うことで /etc/hosts や DHCP が返答がないドメイン名について特定のアドレスを返すようにすることが可能です:

address=/#/1.2.3.4

複数のインスタンスを動作する

複数の dnsmasq サーバーをインターフェイスで動作させたい場合:

固定

インターフェイスごとに固定のサーバーを使いたい場合、interfacebind-interface オプションを使ってください。2番目の dnsmasq が起動するようになります。

動的

インターフェイスを除外して他のインターフェイスにバインドできます:

except-interface=lo
bind-dynamic
ノート: libvirt では上記がデフォルトです。

参照