首页 DNS内容详情

如何在VPS上搭建DNS服务器?

HCRM技术_小炮 DNS 2025-07-11 10 2

在 VPS 上搭建专属 DNS 服务器:提升掌控力与隐私保护

vps怎么做dns

DNS(域名系统)堪称互联网的“电话簿”,负责将我们熟悉的域名(如www.yourdomain.com)翻译成机器可识别的 IP 地址,虽然依赖公共 DNS(如 114.114.114.114 或 8.8.8.8)很方便,但拥有自己的 DNS 服务器能带来显著优势:

提升访问速度 本地缓存减少解析延迟,特别适合频繁访问的站点。

强化隐私保护 避免第三方记录你的域名查询历史。

高度自定义 轻松创建私有域名(如home.yourlan)、屏蔽广告/恶意域名。

学习与实践 深入理解网络基础架构的绝佳途径。

vps怎么做dns

环境准备(通用步骤)

1、获取 VPS: 选择可靠的云服务商(阿里云、腾讯云、Vultr、Linode 等),部署 Linux 系统(推荐 Ubuntu 22.04 LTS 或 CentOS Stream 9)。

2、系统更新:sudo apt update && sudo apt upgrade -y (Ubuntu/Debian) 或sudo dnf update -y (CentOS/Rocky)。

3、配置防火墙: 开放 DNS 服务端口(UDP/TCP 53)。

    sudo ufw allow 53/tcp
    sudo ufw allow 53/udp
    sudo ufw reload

方案选择与部署

vps怎么做dns

方案一:权威 DNS (管理自有域名解析) - 推荐nsd

nsd (Name Server Daemon) 以安全、高效、符合标准著称,适合权威解析。

1、安装nsd

    # Ubuntu/Debian
    sudo apt install nsd -y
    # CentOS/Rocky (需启用 EPEL)
    sudo dnf install epel-release -y
    sudo dnf install nsd -y

2、关键配置文件:

主配置文件 (/etc/nsd/nsd.conf): 定义服务器运行参数、区域文件存放目录。

    server:
        ip-address: 0.0.0.0 # 监听所有 IPv4 地址
        ip-address: ::      # 监听所有 IPv6 地址
        do-ip4: yes
        do-ip6: yes
        hide-version: yes    # 增强安全性,隐藏版本号
        identity: ""         # 隐藏主机名
    # 日志配置(可选)
    logfile: "/var/log/nsd.log"

区域文件目录 (/etc/nsd/zones/): 存放具体的域名解析记录文件(如yourdomain.com.zone)。

3、创建区域文件 (示例:yourdomain.com.zone):

    $ORIGIN yourdomain.com.
    $TTL 3600        ; 默认缓存时间
    @       IN      SOA     ns1.yourdomain.com. admin.yourdomain.com. (
                            2024052001  ; 序列号 (修改时递增!)
                            28800       ; Refresh
                            7200        ; Retry
                            864000      ; Expire
                            3600        ; Negative TTL
    )
    ; 名称服务器记录 (NS)
                    IN      NS      ns1.yourdomain.com.
    ; A 记录 (主机名 -> IPv4)
    @               IN      A       192.0.2.10    ; 主域名解析到 VPS IP
    ns1             IN      A       192.0.2.10    ; NS 服务器地址
    www             IN      A       192.0.2.10
    mail            IN      A       192.0.2.20    ; 邮件服务器
    internal        IN      A       10.0.0.100    ; 内网地址
    ; CNAME 记录 (别名)
    web             IN      CNAME   www
    ; MX 记录 (邮件交换)
                    IN      MX      10 mail.yourdomain.com.
    ; TXT 记录 (SPF, DKIM, DMARC 等)
    @               IN      TXT     "v=spf1 mx ~all"
    mail._domainkey IN      TXT     "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC..." ; 替换为你的 DKIM 公钥
    _dmarc          IN      TXT     "v=DMARC1; p=none; rua=mailto:admin@yourdomain.com"

重要:yourdomain.com192.0.2.10/20、DKIM 公钥等替换为你的实际信息,每次修改文件后需递增SOA 记录的序列号。

4、配置nsd 加载区域:

/etc/nsd/nsd.conf 末尾添加

    zone:
        name: "yourdomain.com"
        zonefile: "zones/yourdomain.com.zone"

检查配置语法sudo nsd-checkconf /etc/nsd/nsd.conf

重启服务sudo systemctl restart nsd

5、域名注册商设置: 将你的域名的 DNS 服务器 (Nameservers) 指向 VPS 的 IP 地址(如ns1.yourdomain.com ->192.0.2.10),通常需要同时设置主备 NS(可部署第二台 VPS 或暂时使用注册商提供的备用 NS)。

方案二:递归 DNS (本地缓存解析) - 推荐unbound

unbound 是轻量级、安全且验证完整的递归解析器,适合本地缓存和过滤。

1、安装unbound

    # Ubuntu/Debian
    sudo apt install unbound -y
    # CentOS/Rocky
    sudo dnf install unbound -y

2、配置unbound (/etc/unbound/unbound.conf):

    server:
        interface: 0.0.0.0 # 监听所有 IPv4
        interface: ::0      # 监听所有 IPv6
        access-control: 192.0.2.0/24 allow  # 允许你的本地网络查询 (替换为实际网段)
        access-control: 127.0.0.0/8 allow
        access-control: ::1 allow
        hide-identity: yes
        hide-version: yes
        prefetch: yes       # 提升性能
        do-ip6: yes
    # 添加根提示文件 (Root Hints)
    root-hints: "/var/cache/unbound/root.hints"
    # 启用 DNSSEC 验证 (强烈推荐)
    auto-trust-anchor-file: "/var/lib/unbound/root.key"

3、下载根提示文件:

    sudo wget https://www.internic.net/domain/named.root -O /var/cache/unbound/root.hints

4、设置信任锚 (DNSSEC):

    sudo unbound-anchor -a "/var/lib/unbound/root.key"

5、重启服务:sudo systemctl restart unbound

方案三:权威 + 递归 (可选组合)

可在同一台 VPS 上同时运行nsd(管理自有域名)和unbound(处理递归查询),配置unbound 将对自己域名的查询转发给本地的nsd

在 /etc/unbound/unbound.conf 的 server: 部分后添加
stub-zone:
    name: "yourdomain.com"
    stub-addr: 127.0.0.1@53 # 指向本地 nsd

关键配置:反向 DNS (PTR 记录)

这对于邮件服务器信誉至关重要。通常需要在 VPS 服务商的控制面板中设置,将你的 VPS IP 的反向解析 (PTR / rDNS) 设置为你的域名(如mail.yourdomain.com),联系你的 VPS 提供商了解具体设置方法。

验证 DNS 服务

1、本地测试 (dig /nslookup):

    dig @your-vps-ip www.yourdomain.com A   # 测试权威解析
    dig @your-vps-ip google.com A           # 测试递归解析 (unbound)
    nslookup -q=PTR your-vps-ip             # 测试反向解析 (需服务商支持)

2、在线工具验证:

权威 DNS 配置MXToolbox DNS Lookup, DNSChecker.org

DNS 安全记录MXToolbox SPF/DKIM/DMARC Checker

递归 DNS 泄露/安全测试DNSLeakTest.com, Cloudflare 1.1.1.1/help

安全加固要点

1、最小权限原则: 使用非 root 用户运行服务,限制区域文件权限。

2、防火墙: 仅允许必要的 IP 或网络段访问 UDP/TCP 53 端口。

3、服务隔离: 权威 (nsd) 与递归 (unbound) 分开放置更安全。

4、及时更新:sudo apt update && sudo apt upgrade /sudo dnf update

5、日志监控: 定期检查/var/log/nsd.log/var/log/unbound.log

6、禁用不必要功能:nsd 的递归查询 (recursion no)。

个人观点

自建 DNS 绝非仅是技术挑战,它是夺回网络自主权的关键一步,公共 DNS 的便利性背后,是海量查询数据被巨头掌握的现实,在 VPS 上运行nsdunbound,意味着你的域名解析路径不再受制于人,内部网络访问更迅捷,隐私数据也无需流经第三方服务器,虽然初始配置需要投入精力,但一旦完成,这种对核心网络服务的完全掌控感,以及随之而来的速度与隐私提升,将彻底改变你对互联网基础服务的理解——真正的数字自主,从管理自己的 DNS 开始。

文章摘自:https://idc.huochengrm.cn/dns/10575.html

相关文章

评论

精彩评论
  • 冠语诗
     回复
    2025-07-11 03:22:51

    在VPS上搭建DNS服务器,首先需要选择合适的操作系统和安装必要的软件,配置网络参数后创建正向与反向解析区域文件并设置相关记录值;确保防火墙安全策略允许外部访问并确保服务稳定运行即可成功完成部署工作!

  • 严沛白
     回复
    2025-07-11 09:57:39

    在VPS上搭建DNS服务器,需安装DNS服务器软件如BIND,配置区域文件、转发器、记录类型等,并确保网络设置正确,以保证DNS解析服务的正常运行。

最近发表