一、DNS转发:轻量高效的本地解析服务
功能定位:
VyOS采用PowerDNS recursor构建DNS转发器,具备两大模式:
- 全递归解析:不依赖上游服务器,自主完成DNS查询(避免隐私泄露)
- 转发模式:将查询请求递交给指定DNS服务器(节省资源)
适用场景:
- 企业内网本地DNS缓存加速
- 分割视图DNS(Split-Horizon)实现内外网解析隔离
- 规避公共DNS追踪(隐私增强)
二、核心配置详解
1. 基础转发规则
# 转发到系统预设DNS(如/etc/resolv.conf)set service dns forwarding system# 转发到DHCP分配的DNS(指定接口)set service dns forwarding dhcp eth0# 指定自定义上游DNS(支持IPv4/IPv6)set service dns forwarding name-server 8.8.8.8set service dns forwarding name-server 2001:4860:4860::88882. 分割视图DNS(Split-Horizon)
场景:内外网域名解析分离(如内网example.com解析到私有IP)
# 特定域名指向专属DNSset service dns forwarding domain example.com server 192.0.2.254set service dns forwarding domain example.com server 2001:db8:cafe::13. 安全加固配置
# 限制查询来源(防DDoS放大攻击)set service dns forwarding allow-from 192.168.1.0/24set service dns forwarding allow-from 2001:db8::/64# 禁用RFC1918反向解析(转交上游)set service dns forwarding no-serve-rfc1918# DNSSEC验证策略(推荐validate模式)set service dns forwarding dnssec validate4. 性能优化技巧
# 调整缓存大小(百万级条目优化)set service dns forwarding cache-size 1000000# 设置否定响应TTL(默认3600秒)set service dns forwarding negative-ttl 1800# 忽略本地hosts文件(强制使用转发器)set service dns forwarding ignore-hosts-file三、动态DNS(DDNS):IP变动自动更新域名
核心价值:
当公网IP变化时(如PPPoE拨号),自动同步域名解析记录,解决:
- 家庭宽带访问NAS/服务器
- 企业分支VPN端点域名绑定
支持协议:
- RFC 2136:直连DNS服务器更新(需秘钥)
- HTTP API:兼容第三方服务(DynDNS/Cloudflare等)
四、DDNS配置实战
方案1:RFC 2136标准更新(自建DNS适用)
# 创建密钥认证更新任务set service dns dynamic interface eth0 rfc2136 MyDNSset service dns dynamic interface eth0 rfc2136 MyDNS key /config/auth/dns.keyset service dns dynamic interface eth0 rfc2136 MyDNS server ns1.vyos.netset service dns dynamic interface eth0 rfc2136 MyDNS zone vyos.netset service dns dynamic interface eth0 rfc2136 MyDNS record www.vyos.netset service dns dynamic interface eth0 rfc2136 MyDNS ttl 300方案2:第三方服务更新(如DynDNS)
# 配置服务商凭证set service dns dynamic interface pppoe0 service dyndnsset service dns dynamic interface pppoe0 service dyndns login my_accountset service dns dynamic interface pppoe0 service dyndns password S3cr3tP@ssset service dns dynamic interface pppoe0 service dyndns host-name home.dyndns.orgNAT环境特殊处理
# 通过Web服务获取公网IP(替代接口地址)set service dns dynamic interface eth0 use-web url "http://ip.vyos.io"set service dns dynamic interface eth0 use-web skip "Current IP: "五、企业级应用案例
场景描述:
- 总部VPN网关使用DDNS绑定域名
vpn.company.com - 内网用户通过本地DNS解析
internal.company.com到私有服务器
配置实现:
# 动态DNS更新(Cloudflare示例)
set service dns dynamic interface eth0 service cloudflare
set service dns dynamic interface eth0 service cloudflare login API_TOKEN
set service dns dynamic interface eth0 service cloudflare password API_KEY
set service dns dynamic interface eth0 service cloudflare zone company.com
set service dns dynamic interface eth0 service cloudflare host-name vpn.company.com
# 内网分割视图DNS
set service dns forwarding domain internal.company.com server 10.1.1.1
set service dns forwarding listen-address 10.1.1.254
set service dns forwarding allow-from 10.0.0.0/8运维贴士:
- 查看DNS转发状态:
show dns forwarding status - 检查动态更新日志:
show log dns dynamic - 测试解析效果:
nslookup internal.company.com 10.1.1.254
技术总结:VyOS的DNS服务将轻量设计与企业级功能完美结合,无论是本地缓存加速还是混合云动态解析,均可通过简洁配置快速落地。
